Wirus z żądaniem okupu

[karokaro87]

Witam,

Wczoraj zaatakował mnie wirus...i po włączeniu komputera pojawiał się ekran po angielsku, że komputer jest zablokowany i muszę zapłacić 200 USD. Kolega w trybie awaryjnym jakoś mi porobił antywirusem, że komputer chodzi normalnie i nie wyskakuje mi już to powiadomienie. Jednak problem jest taki że ten wirus zajął połowę moich plików z worda i nie da się ich otworzyć a jak kliknę na właściwości pliku to pisze że block.
Dodatkowo pod każdym plikiem jest załączona informacja w notatniku WARNING

[Mikou@j]

to pisze że block

W tym konkretnym przypadku nie bardzo wiem, po co logi, skoro już wiadomo, że usunięcie infekcji nie spowoduje odblokowania plików Użytkownika.
Nie istnieje także żaden deszyfrator takich plików.
Te pliki są już stracone.
Podobne tematy:
http://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/
http://www.fixitpc.pl/topic/14785-wirus-z-zadaniem-zaplaty-komputer-zablokowany-pliki-block/

Pisałem do Virus Monitoring Service Doctor Web, załączyłem im próbkę pliku zaszyfrowanego i tego sprzed infekcji. W odpowiedzi otrzymałem, że deszyfracja jest niemożliwa.

[karokaro87]

ech więc powinnam usunąć wszystkie te pliki ręcznie?

Ponadto klikając na dysk C pojawia mi się coś o nazwie bootsqm który utworzył się jakieś 20 min po zainfekowaniu komputera przez wirus

[ordynat]

Zrób na wszelki wypadek "Przywracanie Systemu".
I daj, zgodnie z sugestią,@Mikou@j, logi z OTL >http://forum.programosy.pl/otl-dds-combofix-vt117885.html
- może niewłaściwie opisałeś sytuacja, jeśli chodzi o te "block" ?
zobaczymy, czy w logu te pliki mają dopisek BLOCK
Jeśli tak, to fatalnie

[karokaro87]

niby zrobiłam przywracanie ale wróciło mi do dziś rana nie pojawiła się opcja wróć do konkretnej daty tylko do odinstalowania jakieś tam programu z dnia dzisiejszego.


mam logi ze skanowania malwarebytes anti malware... czy to się przyda do czegoś?

[ordynat]

raport z mbam możesz pokazać, ale daj też logi z OTL.
Czyżbyś miała tylko 1 punkt przywracania?

[karokaro87]

Szczerze mówiąc nie znam się na tym kompletnie.

Pobrałam program OTL i zrobiłam w/g instrukcji na forum

[ordynat]

[2012/12/12 17:46:06 | 000,352,276 | ---- | M] () -- C:\Users\Anwender\Desktop\POPR. aktualne.block

Hm, w logu widzę tylko 1 plik z dopiskiem BLOCK,
Nie widzę też żadnej infekcji.

Kosmetyka:
Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to:

:OTL
[2012/12/13 01:32:20 | 000,000,000 | ---D | M] -- C:\Users\Anwender\AppData\Roaming\Yfjey
[2012/08/24 15:21:02 | 000,000,000 | -HSD | M] -- C:\Users\Anwender\AppData\Roaming\.#
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-1072828290-3828818215-1948454868-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1072828290-3828818215-1948454868-1000\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKU\S-1-5-21-1072828290-3828818215-1948454868-1000\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
FF - prefs.js..browser.search.defaultthis.engineName: "uTorrentBar_DE Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2851647&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "uTorrentBar_DE Customized Web Search"
IE - HKU\S-1-5-21-1072828290-3828818215-1948454868-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-search.com/search/web?q={searchTerms}
IE - HKU\S-1-5-21-1072828290-3828818215-1948454868-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851647
IE - HKU\S-1-5-21-1072828290-3828818215-1948454868-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=UT2V5&o=15158&src=crm&q={searchTerms}&locale=de_US&apn_ptnrs=UG&apn_dtid=YYYYYYYYPL&apn_uid=5B4DDFED-A66E-4590-B93B-B21E5EEECA32&apn_sauid=FACCFDDB-798E-46D1-B5A1-E008D24D2AD3
IE - HKU\S-1-5-21-1072828290-3828818215-1948454868-1000\..\URLSearchHook: {c840e246-6b95-475e-9bd7-caa1c7eca9f2} - No CLSID value found
IE - HKU\S-1-5-21-1072828290-3828818215-1948454868-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2851647
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851647
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7

:Files
C:\Users\Anwender\AppData\Local\Temp*.html
C:\found.00*

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]

:Commands
[emptytemp]

Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie.
Następnie uruchom OTL ponownie, tym razem kliknij Skanuj.
Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem.

[karokaro87]

raport nie chce się dodać ponieważ ma rozszerzenie log

[ordynat]

Dopiero teraz zwróciłem uwagę na to, że u Ciebie komunikat pod zablokowanymi plikami ma dokładnie taką samą treść, jak w temacie http://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/
To niestety oznacza, że Twoje pliki, które są zablokowane, są już stracone.
Przykro mi, nic na to nie poradzę.
.

[karokaro87]

Mimo wszystko dziękuję za pomoc.


ps. Czy powinnam usunąć te pliki ręcznie? bo wciąż są na moim komputerze

[ordynat]

Czy powinnam usunąć te pliki ręcznie? bo wciąż są na moim komputerze

Zostawiam to do Twego uznania, ale wg mnie na razie nie warto ich usuwać, bo może w ciągu kilku tygodni ktoś wymyśli, jak to odszyfrować? A pliki te nie są szkodliwe, są tylko zakodowane.
.