Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Jak naprawić pliki - infekcja How recover + bmm

monimoni81 10 Gru 2015 16:58 735 8
  • #1 10 Gru 2015 16:58
    monimoni81
    Poziom 4  

    Witam wszystkich i bardzo proszę o pomoc.
    Wczoraj przyczepił się do mnie paskudny wirus, który do wszystkich plików jpg, mp3 itp. pododawał koncówkę .vvv oraz poinstalował w folderach plik how recover + bmm

    Czy ktoś może mi pomóc pozbyć się intruza? Bardzo zależy mi na odzyskaniu zdjęć, które miałam na pulpicie, a tak jestem gotowa na format dysku
    Mam raport FRST tylko nie wiem jak go tutaj umieścić

    0 8
  • #2 10 Gru 2015 17:21
    Kolobos
    Spec od komputerów

    Plikow nie da sie odszyfrowac.

    Logi zamiesc w zalaczniku lub wklej na wklej.org i podaj linki.

    0
  • #4 10 Gru 2015 17:39
    Kolobos
    Spec od komputerów

    Mozesz probowac odzyskac pliki tak jak to opisano tutaj:
    http://www.bleepingcomputer.com/virus-removal/cryptowall-ransomware-information#restore
    Ale nie licz na sukces. Pliki na dysku zostaly juz nadpisane, a w "Poprzednich wersjach" zapewne nie ma za wiele.

    Odinstaluj:
    REACHit
    Trend Micro Titanium Internet Security

    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {339B4004-B0F9-43C8-A58F-B43CF3D2AC4F} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
    Task: {693A39ED-AB9E-4AAC-A4B9-64BDAFD1730F} - System32\Tasks\Lenovo\REACHit Agent Update => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe [2015-11-11] (Lenovo)
    Task: {84F48068-0EF6-410B-89CB-4819E9D228C4} - System32\Tasks\Web Protector Plus Server => C:\Program Files (x86)\WebProtectorPlus\server64\WebProtectorPlusServer.exe <==== UWAGA
    Task: {B522FE9D-54C2-4AE2-ABFD-B53D492E5DC3} - System32\Tasks\Lenovo\REACHit Agent Startup => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe [2015-11-11] (Lenovo)
    Task: {E0923AA7-0F10-4795-B4FC-77288AB91F8E} - System32\Tasks\{762B456D-13C8-4700-A072-BBC6128902EB} => pcalua.exe -a "C:\Users\user\Desktop\Dark Realm Queen of Flames CE.exe" -d C:\Users\user\Desktop
    Task: {F376738A-9E09-449D-B6EE-922C0F233969} - System32\Tasks\Web Protector Plus => C:\Program Files (x86)\WebProtectorPlus\WebProtectorPlus.exe [2015-02-19] () <==== UWAGA
    () C:\Program Files (x86)\WebProtectorPlus\WebProtectorPlus.exe
    HKU\S-1-5-21-223896248-1180583563-1534639890-1000\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\user\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid 3f220a12da2c47d39237cd77c2a39f6d-b7ad430b4d340db226a5db7c20dca767e335ff3c --CMPID 0913b
    HKU\S-1-5-21-223896248-1180583563-1534639890-1000\...\Run: [Acrndtd] => C:\Users\user\AppData\Roaming\stlvmacroic.exe
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+bmm.html [2015-12-10] ()
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+bmm.txt [2015-12-10] ()
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ntm.html [2015-12-09] ()
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\how_recover+ntm.txt [2015-12-09] ()
    StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=144...id=HGSTXHTS725050A7E630_TF655AWHGHA9SLGHA9SLX




    FF Extension: Web Protector - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\zjgrph1h.default\extensions\{d8d31aa1-b2d5-1cd9-ec71-867d38c2945c} [2015-12-10] [Brak podpisu cyfrowego]
    FF Extension: Website Xplorer - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\zjgrph1h.default\Extensions\{a2bfe612-4cf5-48ea-907c-f3fb25bc9d6b} [2015-12-10] [Brak podpisu cyfrowego]
    FF HKLM-x32\...\Firefox\Extensions: [quick_searchff@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\zjgrph1h.default\extensions\quick_searchff@gmail.com => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\zjgrph1h.default\extensions\defsearchp@gmail.com => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\zjgrph1h.default\extensions\deskCutv2@gmail.com => nie znaleziono
    CHR Extension: (WebProtector) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfecnpmgnlnbmipaogfhoacoioifjgko [2015-12-10]
    CHR HKU\S-1-5-21-223896248-1180583563-1534639890-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [kfecnpmgnlnbmipaogfhoacoioifjgko] - hxxp://clients2.google.com/service/update2/crx
    S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
    2015-12-10 15:40 - 2015-12-10 15:40 - 03452054 _____ C:\Users\user\Desktop\Howto_RESTORE_FILES.bmp
    2015-12-10 15:40 - 2015-12-10 15:40 - 00009601 _____ C:\Users\user\Desktop\Howto_RESTORE_FILES.html
    2015-12-10 15:40 - 2015-12-10 15:40 - 00009601 _____ C:\Users\user\Desktop\how_recover+bmm.html
    2015-12-10 15:40 - 2015-12-10 15:40 - 00002776 _____ C:\Users\user\Desktop\Howto_RESTORE_FILES.txt
    2015-12-10 15:40 - 2015-12-10 15:40 - 00002776 _____ C:\Users\user\Desktop\how_recover+bmm.txt
    2015-12-10 15:12 - 2015-12-10 15:12 - 00001822 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\REACHit Drive.lnk
    2015-12-10 15:09 - 2015-12-10 15:40 - 00000000 ____D C:\Users\user\REACHit
    2015-12-10 15:09 - 2015-12-10 15:31 - 00000000 ____D C:\Users\user\AppData\Local\Lenovo
    2015-12-10 15:08 - 2015-12-10 15:30 - 00000000 ____D C:\Users\user\AppData\Local\Downloaded Installations
    2015-12-10 15:08 - 2015-12-10 15:08 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lenovo
    2015-12-10 15:07 - 2015-12-10 15:12 - 00000000 ____D C:\Windows\System32\Tasks\Lenovo
    2015-12-10 15:07 - 2015-12-10 15:08 - 00000000 ____D C:\Program Files (x86)\Lenovo
    2015-12-10 15:07 - 2015-12-10 15:07 - 00000000 ____D C:\Windows\Downloaded Installations
    2015-12-10 15:06 - 2015-12-10 15:06 - 00000000 ____D C:\ProgramData\Package Cache
    2015-12-10 15:01 - 2015-12-10 15:01 - 00962128 _____ (Installer Soft Program ) C:\Users\user\Desktop\Undelete-360-22077-dp.exe
    2015-12-10 11:54 - 2015-12-10 15:40 - 00009601 _____ C:\Users\user\how_recover+bmm.html
    2015-12-10 11:54 - 2015-12-10 15:40 - 00009601 _____ C:\Users\user\Downloads\how_recover+bmm.html
    2015-12-10 11:54 - 2015-12-10 15:40 - 00009601 _____ C:\Users\user\Documents\how_recover+bmm.html
    2015-12-10 11:54 - 2015-12-10 15:40 - 00009601 _____ C:\Users\user\AppData\Roaming\how_recover+bmm.html
    2015-12-10 11:54 - 2015-12-10 15:40 - 00009601 _____ C:\Users\user\AppData\how_recover+bmm.html
    2015-12-10 11:54 - 2015-12-10 15:40 - 00002776 _____ C:\Users\user\how_recover+bmm.txt
    2015-12-10 11:54 - 2015-12-10 15:40 - 00002776 _____ C:\Users\user\Downloads\how_recover+bmm.txt
    2015-12-10 11:54 - 2015-12-10 15:40 - 00002776 _____ C:\Users\user\Documents\how_recover+bmm.txt
    2015-12-10 11:54 - 2015-12-10 15:40 - 00002776 _____ C:\Users\user\AppData\Roaming\how_recover+bmm.txt
    2015-12-10 11:54 - 2015-12-10 15:40 - 00002776 _____ C:\Users\user\AppData\how_recover+bmm.txt
    2015-12-10 11:53 - 2015-12-10 15:39 - 00009601 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_recover+bmm.html
    2015-12-10 11:53 - 2015-12-10 15:39 - 00009601 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\how_recover+bmm.html
    2015-12-10 11:53 - 2015-12-10 15:39 - 00002776 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_recover+bmm.txt
    2015-12-10 11:53 - 2015-12-10 15:39 - 00002776 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\how_recover+bmm.txt
    2015-12-10 11:53 - 2015-12-10 15:38 - 00009601 _____ C:\Users\user\AppData\LocalLow\how_recover+bmm.html
    2015-12-10 11:53 - 2015-12-10 15:38 - 00002776 _____ C:\Users\user\AppData\LocalLow\how_recover+bmm.txt
    2015-12-10 11:45 - 2015-12-10 15:38 - 00009601 _____ C:\Users\user\AppData\Local\how_recover+bmm.html
    2015-12-10 11:45 - 2015-12-10 15:38 - 00002776 _____ C:\Users\user\AppData\Local\how_recover+bmm.txt
    2015-12-10 11:45 - 2015-12-10 15:30 - 00009601 _____ C:\Users\Public\how_recover+bmm.html
    2015-12-10 11:45 - 2015-12-10 15:30 - 00009601 _____ C:\Users\Public\Downloads\how_recover+bmm.html
    2015-12-10 11:45 - 2015-12-10 15:30 - 00009601 _____ C:\Users\Public\Documents\how_recover+bmm.html
    2015-12-10 11:45 - 2015-12-10 15:30 - 00002776 _____ C:\Users\Public\how_recover+bmm.txt
    2015-12-10 11:45 - 2015-12-10 15:30 - 00002776 _____ C:\Users\Public\Downloads\how_recover+bmm.txt
    2015-12-10 11:45 - 2015-12-10 15:30 - 00002776 _____ C:\Users\Public\Documents\how_recover+bmm.txt
    2015-12-10 11:45 - 2015-12-10 11:45 - 00009601 _____ C:\ProgramData\how_recover+bmm.html
    2015-12-10 11:45 - 2015-12-10 11:45 - 00002776 _____ C:\ProgramData\how_recover+bmm.txt
    2015-12-10 11:38 - 2015-12-10 11:38 - 00000253 _____ C:\Users\user\Documents\recover_file_xsvcalpgx.txt
    2015-12-10 00:18 - 2015-12-10 00:18 - 00009601 _____ C:\Users\user\how_recover+ntm.html
    2015-12-10 00:18 - 2015-12-10 00:18 - 00009601 _____ C:\Users\user\Downloads\how_recover+ntm.html
    2015-12-10 00:18 - 2015-12-10 00:18 - 00002776 _____ C:\Users\user\how_recover+ntm.txt
    2015-12-10 00:18 - 2015-12-10 00:18 - 00002776 _____ C:\Users\user\Downloads\how_recover+ntm.txt
    2015-12-10 00:17 - 2015-12-10 00:18 - 00009601 _____ C:\Users\user\Documents\how_recover+ntm.html
    2015-12-10 00:17 - 2015-12-10 00:18 - 00002776 _____ C:\Users\user\Documents\how_recover+ntm.txt
    2015-12-09 23:55 - 2015-12-09 23:55 - 00009601 _____ C:\Users\user\AppData\Roaming\how_recover+ntm.html
    2015-12-09 23:55 - 2015-12-09 23:55 - 00009601 _____ C:\Users\user\AppData\how_recover+ntm.html
    2015-12-09 23:55 - 2015-12-09 23:55 - 00002776 _____ C:\Users\user\AppData\Roaming\how_recover+ntm.txt
    2015-12-09 23:55 - 2015-12-09 23:55 - 00002776 _____ C:\Users\user\AppData\how_recover+ntm.txt
    2015-12-09 23:54 - 2015-12-10 00:18 - 00009601 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\how_recover+ntm.html
    2015-12-09 23:54 - 2015-12-10 00:18 - 00002776 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\how_recover+ntm.txt
    2015-12-09 23:54 - 2015-12-09 23:54 - 00009601 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_recover+ntm.html
    2015-12-09 23:54 - 2015-12-09 23:54 - 00002776 _____ C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\how_recover+ntm.txt
    2015-12-09 23:53 - 2015-12-09 23:53 - 00009601 _____ C:\Users\user\AppData\LocalLow\how_recover+ntm.html
    2015-12-09 23:53 - 2015-12-09 23:53 - 00002776 _____ C:\Users\user\AppData\LocalLow\how_recover+ntm.txt
    2015-12-09 23:46 - 2015-12-10 00:18 - 00009601 _____ C:\Users\user\AppData\Local\how_recover+ntm.html
    2015-12-09 23:46 - 2015-12-10 00:18 - 00002776 _____ C:\Users\user\AppData\Local\how_recover+ntm.txt
    2015-12-09 23:46 - 2015-12-09 23:46 - 00009601 _____ C:\Users\Public\how_recover+ntm.html
    2015-12-09 23:46 - 2015-12-09 23:46 - 00009601 _____ C:\Users\Public\Downloads\how_recover+ntm.html
    2015-12-09 23:46 - 2015-12-09 23:46 - 00009601 _____ C:\Users\Public\Documents\how_recover+ntm.html
    2015-12-09 23:46 - 2015-12-09 23:46 - 00009601 _____ C:\ProgramData\how_recover+ntm.html
    2015-12-09 23:46 - 2015-12-09 23:46 - 00002776 _____ C:\Users\Public\how_recover+ntm.txt
    2015-12-09 23:46 - 2015-12-09 23:46 - 00002776 _____ C:\Users\Public\Downloads\how_recover+ntm.txt
    2015-12-09 23:46 - 2015-12-09 23:46 - 00002776 _____ C:\Users\Public\Documents\how_recover+ntm.txt
    2015-12-09 23:46 - 2015-12-09 23:46 - 00002776 _____ C:\ProgramData\how_recover+ntm.txt
    2015-12-09 23:41 - 2015-12-09 23:41 - 00000253 _____ C:\Users\user\Documents\recover_file_goxpusjid.txt
    2015-12-09 23:36 - 2015-12-09 23:36 - 00000253 _____ C:\Users\user\Documents\recover_file_lgnjolmot.txt
    2015-12-10 11:54 - 2015-12-10 15:40 - 0009601 _____ () C:\Users\user\AppData\Roaming\how_recover+bmm.html
    2015-12-10 11:54 - 2015-12-10 15:40 - 0002776 _____ () C:\Users\user\AppData\Roaming\how_recover+bmm.txt
    2015-12-09 23:55 - 2015-12-09 23:55 - 0009601 _____ () C:\Users\user\AppData\Roaming\how_recover+ntm.html
    2015-12-09 23:55 - 2015-12-09 23:55 - 0002776 _____ () C:\Users\user\AppData\Roaming\how_recover+ntm.txt
    2015-12-10 11:45 - 2015-12-10 15:38 - 0009601 _____ () C:\Users\user\AppData\Local\how_recover+bmm.html
    2015-12-10 11:45 - 2015-12-10 15:38 - 0002776 _____ () C:\Users\user\AppData\Local\how_recover+bmm.txt
    2015-12-09 23:46 - 2015-12-10 00:18 - 0009601 _____ () C:\Users\user\AppData\Local\how_recover+ntm.html
    2015-12-09 23:46 - 2015-12-10 00:18 - 0002776 _____ () C:\Users\user\AppData\Local\how_recover+ntm.txt
    2013-07-03 17:26 - 2013-07-03 17:26 - 0000017 _____ () C:\Users\user\AppData\Local\resmon.resmoncfg
    2015-12-10 11:45 - 2015-12-10 11:45 - 0009601 _____ () C:\ProgramData\how_recover+bmm.html
    2015-12-10 11:45 - 2015-12-10 11:45 - 0002776 _____ () C:\ProgramData\how_recover+bmm.txt
    2015-12-09 23:46 - 2015-12-09 23:46 - 0009601 _____ () C:\ProgramData\how_recover+ntm.html
    2015-12-09 23:46 - 2015-12-09 23:46 - 0002776 _____ () C:\ProgramData\how_recover+ntm.txt
    2015-11-08 22:32 - 2015-11-08 22:32 - 0000098 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
    EmptyTemp:

    W FRST wybierz Napraw.

    Jak doszlo do infekcji? Nadal wysylaja to mailem czy moze cos sie zmienilo?

    0
  • #5 10 Gru 2015 17:45
    monimoni81
    Poziom 4  

    tak, mailem z chello :/

    0
  • #6 10 Gru 2015 17:51
    Kolobos
    Spec od komputerów

    Antywirus niczego nie wykryl?

    0
  • #7 10 Gru 2015 18:32
    monimoni81
    Poziom 4  

    AVG nie.
    Właśnie odinstalowuje te programy, a zaraz zajmę sie plikiem. Mam nadzieje, że sobie poradzę.

    Strasznie się martwię, bo wszystko mogę stracić, ale nie zdjęcia :(

    Dodano po 38 [minuty]:

    tutaj po podmiance plik FRST

    http://wklej.org/id/1873410/

    0
  • #8 10 Gru 2015 21:50
    Kolobos
    Spec od komputerów

    Log jest zbedny.

    0
  • #9 10 Gru 2015 21:59
    monimoni81
    Poziom 4  

    no niestety. Będzie format wszystkich 3 partycji.
    Najbardziej mi żal zdjęć i filmów, zwłaszcza, że mam małe dziecko :(

    Bardzo dziękuję za pomoc

    0