VIRY.CZ

Dobrý den,
prosím o kontrolu logu . PC byl napaden nejakym cryptem a vsechny dokumenty a soubory maji novou koncovku *.*.encrypted

ComboFix 15-02-13.02 - Časožrout 14.02.2015 19:04:45.1.1 - x86
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.1918.1394 [GMT 1:00]
Spuštěný z: c:\documents and settings\Laso×rout\Plocha\ComboFix.exe
AV: ESET Smart Security 4.2 *Enabled/Outdated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: ESET personal firewall *Enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
* Vytvořen nový Bod Obnovení
* Rezidentní štít AV je zapnutý
.
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\iun6002.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
c:\windows\system32\Cache
c:\windows\system32\SETE9.tmp
c:\windows\system32\SETED.tmp
c:\windows\system32\SETEE.tmp
c:\windows\system32\SETF5.tmp
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2015-01-14 do 2015-02-14 )))))))))))))))))))))))))))))))
.
.
2015-02-14 16:13 . 2015-02-14 16:13 -------- d-----w- c:\documents and settings\Časožrout\Data aplikací\Enigma Software Group
2015-02-14 16:13 . 2015-02-14 16:13 -------- d-----w- C:\sh4ldr
2015-02-14 16:12 . 2015-02-14 16:12 -------- d-----w- c:\windows\LastGood
2015-02-14 16:12 . 2015-02-14 16:12 19984 ----a-w- c:\windows\system32\drivers\EsgScanner.sys
2015-02-14 16:11 . 2015-02-14 16:11 -------- d-----w- c:\program files\Enigma Software Group
2015-02-14 16:07 . 2015-02-14 16:07 -------- d-----w- c:\documents and settings\Časožrout\Local Settings\Data aplikací\2BrightSparks
2015-02-14 16:07 . 2015-02-14 16:07 -------- d-----w- c:\documents and settings\All Users\Data aplikací\2BrightSparks
2015-02-07 16:54 . 2015-02-07 16:55 -------- d-----w- c:\documents and settings\Administrator
2015-02-04 13:54 . 2015-02-04 13:54 -------- d-----w- C:\53ae4a919a62de7111560fc9
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-02-11 07:08 . 2013-02-26 12:59 701616 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2015-02-11 07:08 . 2013-02-26 12:59 71344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2010-08-12 2215064]
"OpwareSE4"="c:\program files\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-02-04 79400]
"SpyHunter Security Suite"="c:\program files\Enigma Software Group\SpyHunter\SpyHunter4.exe" [2015-02-14 6463360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Google Update"="c:\documents and settings\Časožrout\Local Settings\Data aplikací\Google\Update\GoogleUpdate.exe" /c
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Documents and Settings\\Časožrout\\Local Settings\\Data aplikací\\Google\\Chrome\\Application\\chrome.exe"=
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [12.12.2010 18:24 691696]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [29.7.2010 13:31 115008]
R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [12.8.2010 14:16 810144]
R2 SpyHunter 4 Service;SpyHunter 4 Service;c:\program files\Enigma Software Group\SpyHunter\SH4Service.exe [14.2.2015 17:11 770944]
R2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe [18.12.2009 0:12 1044808]
R3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2010\TuneUpUtilitiesDriver32.sys [14.10.2009 7:24 10064]
S3 EsgScanner;EsgScanner;c:\windows\system32\drivers\EsgScanner.sys [14.2.2015 17:12 19984]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - CLR_OPTIMIZATION_V4.0.30319_32
*NewlyCreated* - SPYHUNTER_4_SERVICE
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Obsah adresáře 'Naplánované úlohy'
.
2015-02-14 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2013-02-26 07:08]
.
2015-02-14 c:\windows\Tasks\Automatic troubleshooting.job
- c:\program files\TuneUp Utilities 2010\TuneUpSystemStatusCheck.exe [2009-12-17 23:18]
.
2014-10-13 c:\windows\Tasks\Měsíční oznamování konce poskytování služeb pro Microsoft Windows XP.job
- c:\windows\system32\xp_eos.exe [2014-03-16 23:28]
.
.
------- Doplňkový sken -------
.
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.128.81.2 195.78.122.2
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
HKLM_ActiveSetup-ccc-core-static - msiexec
AddRemove-Cool's_Codec_pack_4.12 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2015-02-14 19:08
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- Knihovny navázané na běžící procesy ---------------------
.
- - - - - - - > 'winlogon.exe'(1060)
c:\windows\system32\Ati2evxx.dll
.
Celkový čas: 2015-02-14 19:09:32
ComboFix-quarantined-files.txt 2015-02-14 18:09
.
Před spuštěním: Volných bajtů: 17 357 398 016
Po spuštění: Volných bajtů: 18 197 192 704
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 36FB9777665099EDB6159C29EB05B753
413FC2A0C716421B3158746D63736515

Zdravím!
Proč spouštíte CF, utilitu určenou jen profesinálům? Hodlát si nabořit systém, příp. některou aplikaci?

CF něco smazal, zbytek logu vypadá čistý. co s týče zakryptování, bude to asi problém, pokud nemáte zálohu těch dokumntů. Jak se ten virus projevil, kromě toho, že zakryptoval dokumety?

No spouštěl jsem CF v domění ,že mi pomůže odstranit co nejvíc.
Kdysi mi tak pomohl odstranit spoustu havěti, ale je pravda že zanedlouho pak přišel reinstal systému.
Je to PC u rodičů a ti klikaj a klikaj... no a naposledy co klikli tak jim přišlo něco poštou to rozklikli a pak jim začalo vyskakovat okno s možnosti odkodovani po zaplaceni ...
všechny dokumenty fotky a pdf soubory maji za koncovkou .encrypted a nejdou číst...
všechny návody jsou na win7 ale nenašel jsem žádný na XP ... no tak si taky myslím že jsou asi v háji ...
ale těch fotek je mraky a dokumentů ... no jejej

Něco se dekryptovat dá, ale většinou je to nemožné a nelze to provádět takto přes fórum. Zkuste se poptat zde: http://www.neslape.cz/?utm_campaign=nes ... ium=banner .

No tak to zkusim az u nich zase budu ...
jsou zoufali ... tak snad pres tu vzdalenou spravu ... uvidim co na to reknou
kazdopadne dekuji

Nemáte zač!