Prawie cały komputer zaszyfrowany plikami .crypted.

Post12 sie 2013, 12:26

Hey! Mam taki troszkę ogromny problem. Mianowicie, jakieś 4-5 dni temu zainstalowałem sobie na komputerze parę trainerów. Jeden z nich okazał się być wirusem, i zauważyłem, że mój pulpit został doszczętnie zaszyfrowany. Każdy plik zmienił rozszerzenie na .crypted. Gdy rozszerzenie usuwałem plik okazywał się być uszkodzony. Zapomniałem dodać, że gdy zauważyłem, że cały pulpit jest zaszyfrowany pośpiesznie uruchomiłem menadżer zadań i usunąłem jakiś podejrzany proces. Zaszyfrowano mi część dysku C, oraz garstkę dysku D. Dodatkowo gdy uruchomiłem komputer ponownie pojawił się komunikat, że policja zablokowała mi komputer, bla bla bla.. ukash żąda 200 euro. No i napisało mi też, że komputer jest zaszyfrowany. Takiego wirusa jeszcze nie spotkałem

. Napisałem na innym forum, no i pewien Pan pomógł mi odzyskać komputer i próbował rozszyfrować te pliki. Następnego dnia gdy włączyłem komputer infekcja powróciła, "policja" znowu chciała 200 euro. Mój kolega z forum powiedział, że nie ma pojęcia skąd to się wzięło. No ale ponownie pomógł mi ją usunąć i ponownie szukał rozwiązania tych plików .crypted. Dodatkowo! Kiedy infekcja powróciła WSZYSTKIE programy, foldery, zdjęcia i w ogóle, które przeglądałem wczoraj zostały zaszyfrowane! Nawet pliki rozszyfrowujące, które podesłał mi kolega z forum. Dodatkowo już większa część dysku D została zaszyfrowana! Następnego dnia (czyli dzisiaj) mój kolega napisał mi, że nie ma pojęcia jak te pliki rozszyfrować. Już z 15 programów próbowałem i nic.. Z czego tylko jeden wykrył pliki .crypted (Kaspersky RectorDecryptor) i mi je "rozszyfrował". A raczej skopiował i nic nie zmienił

Pan z innego forum powiedział bym opisał swój problem tutaj.. I oto jestem. Także bardzo proszę o pomoc. Mam parę ważnych plików których nie chciał bym utracić.. Jeśli ktoś chce link do tamtego tematu gdzie prosiłem o pomoc to z chęcią podam. A oto i logi z OTL:

OTL - Dostępne tylko dla zarejestrowanych użytkowników
Extras - Dostępne tylko dla zarejestrowanych użytkowników

Post12 sie 2013, 12:44

Hey! Mam taki troszkę ogromny problem. Mianowicie, jakieś 4-5 dni temu zainstalowałem sobie na komputerze parę trainerów. Jeden z nich okazał się być wirusem, i zauważyłem, że mój pulpit został doszczętnie zaszyfrowany. Każdy plik zmienił rozszerzenie na .crypted. Gdy rozszerzenie usuwałem plik okazywał się być uszkodzony. Zapomniałem dodać, że gdy zauważyłem, że cały pulpit jest zaszyfrowany pośpiesznie uruchomiłem menadżer zadań i usunąłem jakiś podejrzany proces. Zaszyfrowano mi część dysku C, oraz garstkę dysku D. Dodatkowo gdy uruchomiłem komputer ponownie pojawił się komunikat, że policja zablokowała mi komputer, bla bla bla.. ukash żąda 200 euro. No i napisało mi też, że komputer jest zaszyfrowany. Takiego wirusa jeszcze nie spotkałem .

To Ransom, a dokładniej jego odmiana Xorist. Na chwilę obecną do wykonania jest Dostępne tylko dla zarejestrowanych użytkowników. Masz tam opisaną dokładnie procedurę. użyj tego w podany sposób niezależnie od tego, czy ktoś ci kazał używać czegoś podobnego, czy nie. Oczywiście z tego narzędzie także chce zobaczyć log.

Z czego tylko jeden wykrył pliki .crypted (Kaspersky RectorDecryptor) i mi je "rozszyfrował".

Na pewno naruszył nieco strukturę infekcji, bo to ta sama rodzina wirusów, jednak inna odmiana. Program, o którym tu mówisz działa na odmianę Rector.

Jeśli ktoś chce link do tamtego tematu gdzie prosiłem o pomoc to z chęcią podam.

Tak. To wymagane.

Mój kolega poddał się i zaproponował mi to forum.. I oto jestem.

Tak więc oto witam Cię

. Grunt to znaleźć źródło infekcji, będziemy działać wieloetapowo, na kilku frontach, zarówno optymalizacyjnych, jak i "wojennych".

"NSS" = Norton Security Scan
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Intelore - RAR Password Recovery" = RAR Password Recovery v1.1 RC16 (remove only)
"com.adobe.downloadassistant.AdobeDownloadAssistant" = Adobe Download Assistant
"BadCopy Pro" = BadCopy Pro
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call

Odinstaluj to, oraz zbędne Ci oprogramowanie (nieużywane programy, gry). Poza tym użyj tego i Dostępne tylko dla zarejestrowanych użytkowników.

Combofix.

Wejdź w START -> URUCHOM -> i wklej tam:

"C:\Users\1\Desktop\ComboFix.exe" /uninstall

Zapewne użyto Go w celach walki z tą infekcją (nie nadaje się do tego, ale warto spróbować), więc pomijam komentarz o zakazie jego używania.

File not found -- C:\Users\1\Desktop\Wszystko co się dzieje w szkole spisane

Do usunięcia tego użyj Dostępne tylko dla zarejestrowanych użytkowników.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-3374562511-2249349261-2254905696-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Before = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3374562511-2249349261-2254905696-1000\..\SearchScopes\{67AC601F-3833-4420-83B3-9A9575E4EB50}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&st=6&barid={38C56FE8-2061-11E2-8FC4-6CF049E0DDE4}
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_94.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.132.0: C:\Program Files (x86)\Battlelog Web Plugins\1.132.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprndlchromebrowserrecordext;version=1.3.0: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprndlhtml5videoshim;version=1.3.0: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprndlpepperflashvideoshim;version=1.3.0: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll File not found
FF - HKLM\Software\MozillaPlugins\@realnetworks.com/npdlplugin;version=1: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\1\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll File not found
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: D:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird
[2013-08-08 22:41:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\1\AppData\Roaming\mozilla\Firefox\Profiles\of18bhrv.default-1361032401484\extensions\un4cjl1rgcr@uq-ijbrw.com
[2013-08-08 22:41:21 | 000,000,000 | ---D | M] (No name found) -- C:\Users\1\AppData\Roaming\mozilla\Firefox\Profiles\of18bhrv.default-1361032401484\extensions\zuoiomib@xmfimadawxk.edu
[2013-08-08 22:41:21 | 000,294,784 | ---- | M] () (No name found) -- C:\Users\1\AppData\Roaming\mozilla\firefox\profiles\of18bhrv.default-1361032401484\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}.xpi.crypted
[2013-08-08 22:41:22 | 000,002,688 | ---- | M] () -- C:\Users\1\AppData\Roaming\mozilla\firefox\profiles\of18bhrv.default-1361032401484\searchplugins\babylon.xml.crypted
[2013-08-08 22:41:22 | 000,002,688 | ---- | M] () -- C:\Users\1\AppData\Roaming\mozilla\firefox\profiles\of18bhrv.default-1361032401484\searchplugins\BrowserProtect.xml.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdfkbdkkfmmckaadapdipihjfaacnkgd\3_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fanogbnclpilemkifpjeglokomebpnef\1.43_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmolgbmkhjnoekekdogckilbbedhdnoh\1.0.194_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji\1.3.0_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\joepfemoahndhaicaeaimohjnehakggf\10.16.4.512_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdfkbdkkfmmckaadapdipihjfaacnkgd\3_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fanogbnclpilemkifpjeglokomebpnef\1.43_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmolgbmkhjnoekekdogckilbbedhdnoh\1.0.194_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji\1.3.0_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\joepfemoahndhaicaeaimohjnehakggf\10.16.4.512_0\.crypted
O2 - BHO: (RealNetworks Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll File not found
[2013-08-12 10:33:11 | 013,479,936 | R--- | C] (Tilted Mill Entertainment) -- C:\Users\1\Desktop\CaesarIV.exe
[2013-08-11 23:05:57 | 000,447,072 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\1\Desktop\rannohdecryptor.exe
[2013-08-11 23:05:52 | 000,596,064 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\1\Desktop\RectorDecryptor.exe
[2013-08-11 22:19:18 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-08-11 22:13:21 | 000,000,000 | ---D | C] -- C:\ComboFix
[2013-08-11 22:00:18 | 000,663,552 | ---- | C] (ESET) -- C:\Users\1\Desktop\ESETUninstaller.exe
[2013-08-11 17:35:51 | 000,116,496 | ---- | C] (ESET) -- C:\Users\1\Desktop\ESETTrustezebADecoder.exe
[2013-08-11 14:44:34 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013-08-10 18:22:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ReNamer
[2013-08-11 22:04:58 | 001,275,086 | ---- | M] () -- C:\Users\1\Desktop\Trainery.rar
[2013-08-11 22:04:31 | 000,569,538 | ---- | M] () -- C:\Users\1\Desktop\Sid_Meiers_Civilization_V_ALL_VERSIONS_+_12_Trainer.rar
[2013-08-11 22:04:12 | 000,353,284 | ---- | M] () -- C:\Users\1\Desktop\civilization5DX11_17trainer.zip
[2013-08-11 22:03:50 | 000,352,009 | ---- | M] () -- C:\Users\1\Desktop\civilization5DX11_14trainer.zip
[2013-08-11 22:00:19 | 000,663,552 | ---- | M] (ESET) -- C:\Users\1\Desktop\ESETUninstaller.exe
[2013-08-10 21:07:04 | 000,643,072 | ---- | M] () -- C:\Users\1\Trojan.Ransom.HM-Decrypt_v1.exe.crypted
[2013-08-10 21:07:04 | 000,127,488 | ---- | M] () -- C:\Users\1\ESETTrustezebADecoder.exe.crypted
[2013-08-10 21:07:04 | 000,127,488 | ---- | M] () -- C:\Users\1\Desktop\ESETTrustezebADecoder.exe.crypted
[2013-08-10 21:07:04 | 000,000,128 | ---- | M] () -- C:\Users\1\decoder_del.bat.crypted
[2013-08-10 21:04:35 | 000,057,728 | ---- | M] () -- C:\Users\1\Documents\Untitled.veg.crypted
[2013-08-10 21:04:35 | 000,057,088 | ---- | M] () -- C:\Users\1\Documents\ts3_clientui-win32-15001-2013-04-05 23_28_56.049793.dmp.crypted
[2013-08-10 21:04:35 | 000,003,200 | ---- | M] () -- C:\Users\1\Documents\Register Vegas Pro.htm.crypted
[2013-08-08 23:26:54 | 000,436,992 | ---- | M] () -- C:\Users\1\RootPackGen.xml.crypted
[2013-08-08 23:26:54 | 000,183,936 | ---- | M] () -- C:\Users\1\Pakowanie.xml.crypted
[2013-08-08 23:26:54 | 000,000,640 | ---- | M] () -- C:\Users\1\Rozpakowywanie.xml.crypted
[2013-08-08 23:26:53 | 000,000,640 | ---- | M] () -- C:\Users\1\gs.rar.crypted
[2013-07-19 10:56:54 | 000,000,201 | ---- | M] () -- C:\Windows\Cube7x7.ini
[2012-08-17 17:37:18 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\ESET
[2012-12-31 00:35:32 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\Need for Speed World
[2012-12-04 19:26:37 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\Opera
[2012-08-17 17:42:56 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\Publish Providers
[2012-09-08 14:03:51 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\PunkBuster
[2012-12-25 18:01:42 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\saves
[2013-04-26 19:24:09 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\skyz
[2012-11-11 11:50:55 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\The Creative Assembly
[2012-09-04 15:08:37 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\TuneUp Software
[2013-05-30 23:21:35 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\Unity
[2010-11-21 05:24:28 | 000,000,000 | -HSD | M] -- C:\Users\1\AppData\Roaming\uvcubsus
[2012-10-06 20:31:12 | 000,000,000 | ---D | M] -- C:\Users\1\AppData\Roaming\wargaming.net
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:FB6A21E3

:Services
gupdate
gupdatem

:Files
C:\Windows\CryptLogFile.txt
$RECYCLE.BIN /alldrives
C:\Program Files (x86)\Google\Update

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.

Post12 sie 2013, 13:34

Hey! Oto link do tamtego tematu: Dostępne tylko dla zarejestrowanych użytkowników

A oto co napotkałem gdy chciałem pobrać ten decryptor: Dostępne tylko dla zarejestrowanych użytkowników

Spróbuje poszukać innego źródła.

PS@ Pobieram program ze strony techspot.com

Okay! Usunąłem wszelkie niepotrzebne programy, także tamten na pulpicie co był dzięki temu programowi co mi podesłałeś

Usunąłem także combofixa, tak użyłem go, by zwalczyć infekcję. Oczywiście wiem o zakazie jego używania, zaproponował mi to ten sam Pan, który odesłał mnie do tego forum. Co do Decryptora, pobrałem go i wskazałem jakiś zakodowany plik. Rozpoczęło się skanowanie poczym po 39 sekundach.. wyszedł taki Dostępne tylko dla zarejestrowanych użytkowników. Co dalej robić? Skrypt w OTL czy próbować dalej?

Post12 sie 2013, 21:55

Okay! Usunąłem wszelkie niepotrzebne programy, także tamten na pulpicie co był dzięki temu programowi co mi podesłałeś Usunąłem także combofixa, tak użyłem go, by zwalczyć infekcję. Oczywiście wiem o zakazie jego używania, zaproponował mi to ten sam Pan, który odesłał mnie do tego forum. Co do Decryptora, pobrałem go i wskazałem jakiś zakodowany plik. Rozpoczęło się skanowanie poczym po 39 sekundach.. wyszedł taki log. Co dalej robić? Skrypt w OTL czy próbować dalej?

Nie zaznaczono jednej z opcji w programie. Opisano tą opcję w poradniku Kaspersky, ale jak to często bywa nie pomyśleli, żeby poradzić używania tej opcji. Otóż w Xorist naciśnij Change Parameters -> i zaznacz wszelkie dostępne tam opcje (nie tylko te dwie, które są domyślnie zaznaczone). Tak więc zaznaczone mają być: Hard Drives, Removable Drives, Network Drives i Delete Crypted Files After Decryption. Następnie wykonaj resztę instrukcji.

Post12 sie 2013, 22:04

Hey! Zaznaczyłem wszystkie opcje, kliknąłem Start scan po czym wybrałem zaszyfrowany plik. No raczej taki mam wybrać, nie? Tak tam piszę.. No i następnie znowu skanowanko, a na końcu.. nic. Plik .crypted pozostał taki jaki był. Za to w logu: "Can't init decryptor on file C:\AdwCleaner[R1].txt.crypted". Co teraz? Nagrałem nawet filmik jak to robię, ale mam cholernie wolny internet i wgrało dopiero 6%.

PS@ Nie wiem czy to pomoże ale oto ss deszyfratora po wykonaniu pracy: Dostępne tylko dla zarejestrowanych użytkowników

Post12 sie 2013, 22:13

Zaznaczyłem wszystkie opcje, kliknąłem [/b]Start scan[/b] po czym wybrałem zaszyfrowany plik. No raczej taki mam wybrać, nie? Tak tam piszę.. No i następnie znowu skanowanko, a na końcu.. nic. Plik .crypted pozostał taki jaki był. Za to w logu: "[/b]Can't init decryptor on file C:\AdwCleaner[R1].txt.crypted[/b]". Co teraz? Nagrałem nawet filmik jak to robię, ale mam cholernie wolny internet i wgrało dopiero 6%.

W porządku. Plik na którym się zatrzymało, usuń. Jeśli kolejne skanowania nic nie będą dawały to w takim razie będzie potrzebne trochę ręcznej roboty (chyba, ze skaner będzie pokazywał 0 plików odnalezionych - wtedy przejdź do wykonywania reszty moich poprzednich instrukcji). Pobierz Dostępne tylko dla zarejestrowanych użytkowników -> każdy plik z rozszerzeniem .crypted przeciągnij do programu -> ustaw usuwanie części .crypted. Wykonaj najlepiej wszystko, a jeśli już nie będziesz mógł to przejdź do wykonywania moich innych instrukcji, o których wspomniałem wcześniej.

Post13 sie 2013, 14:46

Okay, plik usunąłem, następnie ponownie uruchomiłem deszyfrator i wskazałem inny plik. Plik, który wskazałem zastąpił miejsce poprzedniego w linijce "Can't init decryptor on file C:\AdwCleaner[R1].txt.crypted". Spróbowałem też zmienić rozszerzenie tego pliku na normalne, tzn. usunąłem część .crypted. Następnie zaznaczyłem go do skanowania. Nie wykryło nic

Przechodzę do kolejnych instrukcji.

PS@ Użyłem tych twój programów co mi jeszcze podałeś. ESET'a bodajże odinstalowałem. Jakbyś go jeszcze zauważył to daj mi znać, bo nie jestem tak do końca pewien

A ten "NSSRT" w ogóle się nie uruchamia.. chyba, że uruchomił się i zadziałał z prędkością nad świetlną :shock:

Post14 sie 2013, 11:38

Okay, plik usunąłem, następnie ponownie uruchomiłem deszyfrator i wskazałem inny plik. Plik, który wskazałem zastąpił miejsce poprzedniego w linijce "Can't init decryptor on file C:\AdwCleaner[R1].txt.crypted". Spróbowałem też zmienić rozszerzenie tego pliku na normalne, tzn. usunąłem część .crypted. Następnie zaznaczyłem go do skanowania. Nie wykryło nic Przechodzę do kolejnych instrukcji.

To wcale nie jest minus

.

PS@ Użyłem tych twój programów co mi jeszcze podałeś. ESET'a bodajże odinstalowałem. Jakbyś go jeszcze zauważył to daj mi znać, bo nie jestem tak do końca pewien A ten "NSSRT" w ogóle się nie uruchamia.. chyba, że uruchomił się i zadziałał z prędkością nad świetlną . Ja w każdym razie nic nie zauważyłem.

Wygląda na to, że jest OK

.

pragnę dodać, że Pan z innego forum już kazał mi użyć tego programu, stąd zapewne takie małe logi

Widziałem

.

ADWCleaner.

Naciśnij w Nim przycisk Odinstaluj.

[2013-08-12 10:25:32 | 017,180,673 | ---- | C] () -- C:\Users\1\Desktop\CaesarIV.exe.crypted
[2013-08-10 21:04:34 | 007,509,636 | ---- | C] () -- C:\Users\1\Documents\DSCN1962.JPG.crypted
[2013-08-08 22:34:54 | 000,008,448 | ---- | C] () -- C:\Users\1\AppData\Local\Resmon.ResmonCfg.crypted
[2013-08-08 22:34:54 | 000,004,224 | ---- | C] () -- C:\Users\1\AppData\Local\recently-used.xbel.crypted
[2013-08-08 22:34:54 | 000,003,968 | ---- | C] () -- C:\Users\1\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.crypted

Użyj jeszcze Xorist w odniesieniu dla tych plików.

"Delete FXP Files 2009 - Demo" = Delete FXP Files 2009 - Demo

Odinstaluj.

Rozszerzenie .crypted.

Użyj ReNamer`a tak, jak wspomniałem wcześniej (aby znaleźć wszelkie pliki z tym rozszerzeniem wejdź w START -> Wyszukaj -> Pliki i Foldery -> wklej tam -> *.crypted.

Dodatkowo dzisiaj gdy włączam komputer mam coś takiego, nie wiem czy to w czymś może pomóc: to, to i to

To robota OTL`a, tak ma być, znikną na końcu

.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\WEB ASSISTANT\FIREFOX
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdfkbdkkfmmckaadapdipihjfaacnkgd\3_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fanogbnclpilemkifpjeglokomebpnef\1.43_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmolgbmkhjnoekekdogckilbbedhdnoh\1.0.194_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji\1.3.0_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\joepfemoahndhaicaeaimohjnehakggf\10.16.4.512_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdfkbdkkfmmckaadapdipihjfaacnkgd\3_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\fanogbnclpilemkifpjeglokomebpnef\1.43_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\hmolgbmkhjnoekekdogckilbbedhdnoh\1.0.194_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\idhngdhcfkoamngbedgpaokgjbnpdiji\1.3.0_0\.crypted
CHR - Extension: No name found = C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\joepfemoahndhaicaeaimohjnehakggf\10.16.4.512_0\.crypted
[2013-08-12 23:02:36 | 002,066,480 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\1\Desktop\TDSSKiller.exe
[2013-08-12 22:37:02 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013-08-12 13:10:02 | 000,000,000 | ---D | C] -- C:\Users\1\Desktop\xoristdecryptor
[2013-08-12 13:07:25 | 000,000,000 | -H-D | C] -- C:\ProgramData\{93F12E73-5AED-46C1-AE84-4E311A4255D1}
[2013-08-12 13:07:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Delete FXP Files 2009 - Demo
[2013-08-12 13:09:57 | 000,529,593 | ---- | M] () -- C:\Users\1\Desktop\xoristdecryptor.zip

:Files
$RECYCLE.BIN /alldrives
C:\PROGRAM FILES\WEB ASSISTANT
c:\users\1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\YoWindow.lnk

:Reg
[-HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"screenSHU"=-
"DAEMON Tools Lite"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PAC7302_Monitor"=-
"Nvtmru"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Malwarebytes Anti-Malware (z pełnego skanowania wszystkich dysków) + log z USBFix (z opcji Deletion, przy podpiętych wszelkich pamięciach przenośnych) + nowe logi z OTL.

Post14 sie 2013, 13:06

(Post będę aktualizował na bieżąco

) Ym.. nie mogę znaleźć na komputerze ADWCleanera (oczywiście szukając przy pomocy opcji "szukaj"). Więc albo go usunąłem wcześniej

, albo usunąłem sam plik. No trudno

Użyłem Xorist w odniesieniu do tych wszystkich plików, i nic. Nie wykrywa nic przy każdym użyciu. Odinstalowałem niepotrzebny program. No dobra, program ReNamer męczy się, by ogarnąć te wszystkie pliki. Ale tak btw. to jak wcześniej usunąłem rozszerzenie .crypted z innego pliku to wtedy Xorist w ogóle nie wykrywał infekcji

No ale cóż, ufam, że wiesz co robisz

. ADW Cleaner odinstalowany, a ReNamer wciąż jest "zacięty".

PS@ ReNamer działa, plików .crypted jest dokładnie 84948 :O. Usuwam rozszerzenie .crypted. (ReNamer postanowił się znowu "zaciąć" i już od 20 minut jest "zacięty")

Okay, mam taki mały problem. Otóż ustawiłem tak ReNamera - Dostępne tylko dla zarejestrowanych użytkowników, ale on nie zmienia mi nazwy pliku. Możesz mi w tym pomóc?

Post15 sie 2013, 10:59

Użyłem Xorist w odniesieniu do tych wszystkich plików, i nic. Nie wykrywa nic przy każdym użyciu.

OK. Edytuj je również w ReNamer.

PS@ ReNamer działa, plików .crypted jest dokładnie 84948 :O. Usuwam rozszerzenie .crypted.

Doskonale.

(ReNamer postanowił się znowu "zaciąć" i już od 20 minut jest "zacięty")

Ma trochę pracy, a więc to potrwa

.

Możesz mi w tym pomóc?

Dostępne tylko dla zarejestrowanych użytkowników.

(Post będę aktualizował na bieżąco )

Odpowiedź pisz teraz pod moim postem.

Post15 sie 2013, 20:40

Okay. Ten program co mi go podałeś ma ograniczenie do 10 000 plików. Ale już ogarnąłem ten pierwszy, bowiem testowałem na razie jeden plik i w końcu pomyślnie zmieniło mi jego nazwę. Teraz tylko czekam aż reszta się zmieni.

PS@ Malutka część plików została zmieniona, ale reszta została. Tym ReNamerem co mi podałeś powoli zmieniam wszystko. Tzn. daje do niego 5000-7000 plików i przetwarzam i tak w kółko. Tylko wyskakują jakieś dziwne błędy..

Dobra! Rozgryzłem to

! Otóż po przestawieniu paru opcji większość tych błędów została naprawiona. Pozostały tylko te pliki, które zostały czymś zastąpione. Tzn. jest ich duplikat. Jak w przypadku poradnika którego pobrałem, nie można było zmienić jego nazwy, ponieważ wtedy w tym folderze były, by dwa pliki o tej samej nazwie. Takich plików jest nie wiele, jakieś tam pliki konfiguracyjne z gry Rigs of Rods czy właśnie ten poradnik.

Ok, skończyłem. Wszystkie pliki .crypted nie mają teraz tego rozszerzenia. Poświęciłem na to cały dzisiejszy dzień

Przechodzę do kolejnych instrukcji. (zostało jeszcze parę plików .crypted ale są to kopie plików .crypted (bez końcówki .crypted) z folderu LoL'a, które zrobił RectorDecryptor. Więc skoro on zrobił te kopie to ja nie mogę usunąć końcówki .crypted z oryginałów, ponieważ były, by wtedy 2 pliki o tej samej nazwie. A skoro to niemożliwe to ReNamer się burzy.. no cóż)

Konfiguracja Dostępne tylko dla zarejestrowanych użytkowników:
Po przeniesieniu do niego plików klikasz "Click here to add rule", wchodzisz w zakładkę "Remove" i w tym Dostępne tylko dla zarejestrowanych użytkowników wpisujesz ".crypted". Następnie odznaczasz "Skip extension" i to byłoby, by na tyle. Na koniec klikasz "Add rule" i po jakichś 40 minutach gdy program przygotuje sobie wszystko do zmian, klikasz Dostępne tylko dla zarejestrowanych użytkowników.

Konfiguracja Dostępne tylko dla zarejestrowanych użytkowników

Ten program posiada ograniczenie, że może zmienić nazwę tylko dziesięciu tysiącom plików na raz. Oczywiście to spore obciążenie, tak przekładać tylko 6-9 tysięcy plików na raz, i od nowa ale za to program jest bardzo szybki. Powracając do tematu, zaznaczamy około 5-9,9 tysięcy plików, a następnie przenosimy je w Dostępne tylko dla zarejestrowanych użytkowników. Następnie klikamy Dostępne tylko dla zarejestrowanych użytkowników i w okienku które się pojawi wybieramy opcję Dostępne tylko dla zarejestrowanych użytkowników. Okienko ustawiamy Dostępne tylko dla zarejestrowanych użytkowników. Na koniec klikamy w Dostępne tylko dla zarejestrowanych użytkowników i proszę bardzo, pliki zostaną zmienione. Te w których wykaże się błąd zmień w innym programie. Jeśli nadal będą występowały błędy oznacza to, że plik nie może zostać zmieniony, bo w tym samym folderze jest już plik o takiej nazwie.

Pozdrawiam

Post15 sie 2013, 21:28

Ok, skończyłem. Wszystkie pliki .crypted nie mają teraz tego rozszerzenia. Poświęciłem na to cały dzisiejszy dzień Przechodzę do kolejnych instrukcji. (zostało jeszcze parę plików .crypted ale są to kopie plików .crypted (bez końcówki .crypted) z folderu LoL'a, które zrobił RectorDecryptor. Więc skoro on zrobił te kopie to ja nie mogę usunąć oryginałów, ponieważ były, by wtedy 2 pliki o tej samej nazwie. A skoro to niemożliwe to ReNamer się burzy.. no cóż)

Opisz konfigurację programu, która w Twoim przypadku okazała się prawidłowa (może przydać się komuś innemu - oszczędzisz mi na przyszłość pracy z tłumaczeniem komuś, jak należy ustawić ten program).

kominekl pisze:Następnie podaj log z Malwarebytes Anti-Malware (z pełnego skanowania wszystkich dysków) + log z USBFix (z opcji Deletion, przy podpiętych wszelkich pamięciach przenośnych) + nowe logi z OTL.

Nadal na to czekam

.

Post16 sie 2013, 11:11

Dodaje logi

Z usuwania OTL: Dostępne tylko dla zarejestrowanych użytkowników
Z Malwarebytes: Dostępne tylko dla zarejestrowanych użytkowników (dobry jest ten log? wyszedł mi on ale gdy wyłączałem program pisało, że skanowanie trwa dalej, mimo to odruchowo wcisnąłem, by wyłączył się program, bo się nieco spieszyłem)
Z USBFix: Dostępne tylko dla zarejestrowanych użytkowników
Z OTL: Dostępne tylko dla zarejestrowanych użytkowników
z Extras: Dostępne tylko dla zarejestrowanych użytkowników

Post16 sie 2013, 11:46

Z Malwarebytes: Dostępne tylko dla zarejestrowanych użytkowników (dobry jest ten log? wyszedł mi on ale gdy wyłączałem program pisało, że skanowanie trwa dalej, mimo to odruchowo wcisnąłem, by wyłączył się program, bo się nieco spieszyłem)

Nie śpiesz się, wykonaj pełne skanowanie do końca a po skanowaniu usuń zainfekowane pliki i wstaw ponownie loga.
Masz bardzo dużo zainfekowanych plików - Nie wykonano akcji

Post16 sie 2013, 16:48

Okay, ponowiłem skanowanie, tym razem mam nadzieję poprawnie

Dostępne tylko dla zarejestrowanych użytkowników