Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Ransom32 Najgorszy wirus .. odzyskanie plików

sztylet077 16 Kwi 2016 02:25 777 9
  • #1 16 Kwi 2016 02:25
    sztylet077
    Poziom 14  

    Witam.
    Złapałem Wirusa Ransom32 wygląda to tak ( pierwsze zdjęcie) :
    https://www.pcrisk.pl/narzedzia-usuwania/8250-ransom32-ransomware
    * Po ponownym uruchomieniu komputera ( myślałem że to pomoże) była czarna tapeta i cały czas wyskakiwało coś..

    Musiałem wejść w Tryb awaryjny z obsługą sieci i zainstalować antyspyware żeby usunąć to gó*no. Używałem:
    Adwclener - nic nie dał
    SpyBot - Search & Destroy - również nie pomógł
    Malwarebytes Anti-Malware - wykrył 2 tysiące zagrożeń lecz problemu nie rozwiązał.
    Dopiero HitmanPro dał radę i już nie ma tego programu/wirusa.

    Lecz wszystkie moje obrazy/tapety/zdjęcia są chyba zablokowane.. tzn nie mogę ich zobaczyć/włączyć. Wyskakuje taki komunikat :

    "Przeglądarka fotografii systemu Windows nie może otworzyć tego obrazu, poniważ nie obsługuje tego formatu pliku lub nie zainstalowano jej najnowszych aktualizacji"

    •Co mogę zrobić aby odzyskać tapety/zdjęcia itp ?
    •I chciałbym się jeszcze zapytać czy ten program mógł wyrządzić jakieś szkody których na pierwszy rzut oka nie widać ?


    PS. Próbowałem użyć XoristDecryptor oraz RectorDecryptor lecz chyba nie posiadam zaszyfrowanych plików ..

    0 9
  • #3 16 Kwi 2016 02:48
    sztylet077
    Poziom 14  

    Pliki PDF również nie działają :
    Ransom32 Najgorszy wirus .. odzyskanie plików

    Czy te programy : XoristDecryptor oraz RectorDecryptor nie powinny odszyfrować jakichś plików jeżeli jakieś są zaszyfrowane ?
    Zaraz dodam logi.

    Dodano po 13 [minuty]:

    Logi w załączniku.

    Może po takim wirusie warto przeinstalować system ? Niezłe szkody wyrządził ..

    0
  • #4 16 Kwi 2016 07:36
    krzychupar
    Poziom 40  

    Odinstaluj:
    PileFile reminder (HKU\S-1-5-21-749870342-3981792878-419437080-1002\...\{56837588-F559-40CF-91D9-D439D405FB28}) (Version: - LADY'S WOOD 2013 LIMITED) <==== UWAGA

    Otwórz notatnik i wklej:
    Task: C:\Windows\Tasks\Opera scheduled Autoupdate 1438433542.job => C:\Program Files (x86)\Opera\launcher.exe
    HKU\S-1-5-21-749870342-3981792878-419437080-1002\...\MountPoints2: {3d609b39-7257-11e4-878c-902b3401cf16} - J:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-749870342-3981792878-419437080-1002\...\MountPoints2: {69f4d7a6-b77e-11d9-9c71-806e6f6e6963} - E:\setup.exe
    ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku
    ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku
    BootExecute: autocheck autochk * bootdelete
    Filter: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\System32\urlmon.dll [2010-11-21] (Microsoft Corporation)
    Filter-x32: deflate - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2010-11-21] (Microsoft Corporation)
    Filter: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\System32\urlmon.dll [2010-11-21] (Microsoft Corporation)
    Filter-x32: gzip - {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\Windows\SysWOW64\urlmon.dll [2010-11-21] (Microsoft Corporation)
    FF Plugin-x32: @esn/esnlaunch,version=1.132.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.132.0\npesnlaunch.dll [Brak pliku]
    FF Plugin-x32: @esn/esnlaunch,version=1.140.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.140.0\npesnlaunch.dll [Brak pliku]
    FF Plugin-x32: @esn/esnlaunch,version=2.1.7 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.7\npesnlaunch.dll [Brak pliku]
    FF Plugin-x32: @esn/npbattlelog,version=2.3.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.1\npbattlelog.dll [Brak pliku]
    FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll [Brak pliku]
    FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll [Brak pliku]
    FF Plugin-x32: @google.com/npPicasa3,version=3.0.0 -> D:\Rzeczy Krzyśka\Picasa3\npPicasa3.dll [Brak pliku]
    FF Plugin HKU\S-1-5-21-749870342-3981792878-419437080-1002: @acestream.net/acestreamplugin,version=3.1.2 -> C:\Users\Mateusz.user-Komputer\AppData\Roaming\ACEStream\player\npace_plugin.dll [Brak pliku]
    FF Extension: IE Tab - C:\Users\Mateusz.user-Komputer\AppData\Roaming\Mozilla\Firefox\Profiles\3rlcnwsq.default-1437494123965\extensions\{77b819fa-95ad-4f2c-ac7c-486b356188a9} [2015-10-24]
    FF HKU\S-1-5-21-749870342-3981792878-419437080-1002\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Mateusz.user-Komputer\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => nie znaleziono




    CHR Extension: (IE Tab) - C:\Users\Mateusz.user-Komputer\AppData\Local\Google\Chrome\User Data\Default\Extensions\hehijbfgiekmjfkfjpbkbammjbdenadd [2016-03-22]
    CHR HKU\S-1-5-21-749870342-3981792878-419437080-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\MATEUS~1.USE\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx <nie znaleziono>
    CHR HKU\S-1-5-21-749870342-3981792878-419437080-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-749870342-3981792878-419437080-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
    2016-03-23 15:39 - 2016-04-10 14:33 - 00000080 _____ C:\Users\Mateusz.user-Komputer\AppData\Local剜捯獫慴⁲慇敭屳呇⁁屖湥楴汴浥湥⹴湩潦
    2016-03-22 21:55 - 2016-04-16 00:46 - 00000000 ____D C:\AdwCleaner
    2016-04-16 01:33 - 2014-01-31 21:00 - 00000266 __RSH C:\ProgramData\ntuser.pol
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    Zresetuj Chrome w/g tego https://support.google.com/chrome/answer/3296214?hl=pl
    Zresetuj FireFoxa w/g tego https://support.mozilla.org/pl/kb/przywracanie-domyslnych-ustawien-firefoksa-latwe-r

    0
  • #5 16 Kwi 2016 12:13
    sztylet077
    Poziom 14  

    fixlist - zrobione
    FireFox - zresetowany
    Ale Google Chrome w ogóle się nie włącza, nie wiem o co chodzi.

    Co się stało z steam ?
    Ransom32 Najgorszy wirus .. odzyskanie plików


    Nie wczytuje żadnych obrazów tak ? Czyli zapewne wszystkie gry nie działają i muszę je przeinstalować .. ?


    Edit:
    Plików pdf/jpg itp. nie da się odzyskać ?

    0
  • #6 16 Kwi 2016 12:17
    Kolobos
    Spec od komputerów

    Przeinstaluj Steam.

    W przypadku wspolczesnych infekcji szyfrujacych nie a da sie odszyfrowac plikow.

    0
  • #7 16 Kwi 2016 12:23
    sztylet077
    Poziom 14  

    Właśnie sprawdziłem kilka gier ( nie z steam) i żadna nie działa :/ Komputer jest jakiś zamulony...

    0
  • #8 16 Kwi 2016 12:39
    Kolobos
    Spec od komputerów

    Swoja droga chca tylko 35$ za odkodowanie? To nie taka duza suma jezeli chodzi o platnosc za wlasna glupote ;)

    0
  • #9 16 Kwi 2016 14:14
    sztylet077
    Poziom 14  

    Będę instalował nowy system. Chciałbym się zapytać czy powinienem przed instalacją sformatować Partycje C/D Komputer>C>Prawym i formatuj ?
    Czy może przy instalacji ?
    Chciałbym całkowicie wyczyścić dysk i zainstalować świeży system, od dawna mi się trochę komp muli przy dobrych parametrach więc w końcu przeinstaluje system.

    0
  • #10 16 Kwi 2016 15:38
    Prot
    Poziom 30  

    Przy takiej agresywnej infekcji na Twoim miejscu oczyścił bym dysk dokładniej :idea: np przez jego zerowanie programami typu Hard Drive Disk Wipe lub ranish partition manager.

    Samo formatowanie nie usunie wszystkich wpisów w poszczególnych klastrach dysku, ani nie wyczyści ADS-ów (w których przecież również mogą być ulokowane pliki wykonywalne). Jeśli będziesz partycjonował na nowo ten dysk to też na wszelki wypadek proponował bym zmienić troszkę wielkość partycji - tak ażeby utrudnić komunikację wirusom i ewentualnie penetrację ludziom, którzy już opanowali Twój komputer.

    Mam nadzieję :D , że ten Ransom nie posiada jeszcze takich możliwości jak opisywany niedawno w necie wirus Rakshasa, który ukrywa się w Biosie Link.

    0