amaltea Opublikowano 8 Grudnia 2012 Zgłoś Udostępnij Opublikowano 8 Grudnia 2012 Witam, kilka dni temu wyskoczyl mi komunikat po angielsku na całą strone przy ładowniu pulpitu o zablokowaniu komputera, nie byl to żaden policyjny komunikat o których ostanio głośno, oczywiście należało uiścić opłate, wstępnie jak wyglądały moje działania: wyczytałam gdzieś że należy usunąć konto użytkownika i tak też zrobiłam, dało się uruchomić komputer nie w trybie awaryjnym, ale wszytskie pliki tekstowe, zdjęcia i obrazy zostały zablokowane to znaczy przy typie tych plików wyskoczyło "Plik BLOCK" cała nazwa została nie zmieniona, pomocy przy pzbywaniu się wirusa udzielono mi również na forum.programocy.pl cała historia mojego działania, włącznie z raportami znajduje sie pod linkiem: http://forum.programosy.pl/wirus-z-zadaniem-zaplaty-jak-go-usunac-vt134241.html niestety niczym nie moge odblokować tych plikow, wiem ze podobny wątek założyła Goska >https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/ oczywiscie bede go sledzila. bardzo prosze o pomoc, jakiekolwiek wskazówki, czy da się to naprawić? odzyskać te pliki? w załączniku ostatnie raport z OTL, dla użytkownika na którym pracuje, oraz "wszystkich użytkownikow" i plik który pojawił sie w kilku miejscach przy blokowanych plikach. WARNING.txt 64-poADWC-OTL.Txt Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2012 Zgłoś Udostępnij Opublikowano 9 Grudnia 2012 w załączniku ostatnie raport z OTL, dla użytkownika na którym pracuje, oraz "wszystkich użytkownikow" i plik który pojawił sie w kilku miejscach przy blokowanych plikach. Konfiguracja OTL tu na forum: KLIK. Replikujesz dane. Oba logi są zrobione z poziomu tego samego konta, opcja "Wszyscy użytkownicy" nie działa jak sugerujesz: to tylko dodatkowy skan, który szuka częściowo danych innych kont, ale i tak cały log jest przede wszystkim widokiem bieżącego konta. Log z "Wszyscy" i tak został źle zrobiony: nie została zaznaczona opcja 64-bitowego skanu, a opcja "Rejestr" była ustawiona na Wszystko a nie Użyj filtrowania. Log do niczego i go usuwam, zostawiając ten drugi właściwszy. pomocy przy pzbywaniu się wirusa udzielono mi również na forum.programocy.pl cała historia mojego działania, włącznie z raportami znajduje sie pod linkiem Uwagi do prowadzącego tam temat. Po co w skanie SystemLook podane klucze klas, które są aktualnie skanowane w OTL w sekcji "ZeroAccess Check"? Przecież dane widać w OTL... Poza tym, usuwanie skryptem OTL Kosza zmodyfikowanego przez ZeroAccess nie przejdzie (blokada na poziomie uprawnień, OTL nie zmienia ACL obiektów i nie da rady). amaltea, w Twoich raportach widać: 1. Infekcja ZeroAccess nie wyleczona, stosowne fragmenty z OTL z tego tematu i SystemLook z tamtego forum: ========== ZeroAccess Check ========== [HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64"" = C:\$Recycle.Bin\S-1-5-18\$dc4d5743e05607f84fac5f2629c16dda\n."ThreadingModel" = Free ========== dir ========== C:\$Recycle.Bin\S-1-5-18 d--hs-- [00:39 21/05/2010] C:\$Recycle.Bin\S-1-5-21-2195184045-3265951034-2981680463-1000\$dc4d5743e05607f84fac5f2629c16dda d--hs-- [12:46 29/10/2012] Oraz liczne uszkodzenia w systemie przez nią spowodowane. Ten trojan kasuje z rejestru całkowicie usługi systemowe: Zapora systemu Windows (BFE + MpsSvc + SharedAccess), Pomoc IP (iphlpsvc), Centrum zabezpieczeń, Windows Update (BITS + wuauserv) i Windows Defender. Przedstawiony na tamtym forum log z Farbar Service Scanner potwierdza te szkody, tylko Windows Update nie jest naruszone, reszta zmasakrowana. 2. Szkodliwa modyfikacja pliku HOSTS: O1 HOSTS File: ([2012/12/05 17:09:04 | 000,001,477 | RHS- | M]) - C:\Windows\SysNative\drivers\etc\hostsO1 - Hosts: 127.0.0.1 localhostO1 - Hosts: ::1 localhostO1 - Hosts: 109.163.226.207 www.google-analytics.com.O1 - Hosts: 109.163.226.207 ad-emea.doubleclick.net.O1 - Hosts: 109.163.226.207 www.statcounter.com.O1 - Hosts: 109.163.226.207 connect.facebook.net.O1 - Hosts: 93.115.241.27 www.google-analytics.com.O1 - Hosts: 93.115.241.27 ad-emea.doubleclick.net.O1 - Hosts: 93.115.241.27 www.statcounter.com.O1 - Hosts: 93.115.241.27 connect.facebook.net. Niemniej na razie usuwanie tych infekcji i naprawy usług odkładam, bo być może wszystko co zrobiono dotychczas i tak zostanie odkręcone: niestety niczym nie moge odblokować tych plikow, wiem ze podobny wątek założyła Goska (...) oczywiscie bede go sledzila. Umieściłaś tam linki, które nie są związane z problemem. Całkiem co innego i usuwam post, by nikogo nie wprowadzać w błąd. I tak jak tam napisałam: Do wszystkich, niestety ja nie widzę rozwiązania. Znalazłam taki oto wątek: KLIK. W ostatnim poście jest komentarz podobno od reprezentanta Emsisoft, który zidentyfikował tę próbkę: " Anyways, I found the malware that most likely hit him. Unfortunately the malware uses random keys that are stored on the server only. So no chance to write a decrypter unfortunately" W tłumaczeniu: malware używa losowych kluczy szyfrujących gromadzonych na serwerze i nie ma szans na stworzenie narzędzia deszyfrującego... W związku z tym jedyny ratunek to wyszukanie poprzednich wersji plików: 1. Jeśli u kogoś zaszyfrowane pliki są na systemowym C i jest to system Vista lub Windows 7, można spróbować użyć Przywracanie systemu do daty sprzed infekcji. Przywracanie systemu na Vista i Windows 7 to kompleksowy proces cieniowania woluminu, więc ostatecznie można liczyć, że poprzednia wersja plików zostanie przywrócona. Nie dotyczy XP, Przywracanie systemu działa inną techniką. 2. Do wypróbowania narzędzia do odzyskiwania skasowanych danych takie jak PhotoRec. Być może wyszuka poprzednią postać plików... Tu macie podobne instrukcje dla innej infekcji (Gpcode), której plików też nie można odszyfrować i Kaspersky podaje jak szukać oryginalnych wersji skasowanych przez trojana: KLIK (do wykonania treść aż do instrukcji z StopGpcode = to się tu nie aplikuje). U Ciebie trojan szyfrował pliki na dysku systemowym C, widać ślady: ========== Files Created - No Company Name ========== [2012/12/05 19:42:21 | 000,006,519 | ---- | C] () -- C:\ads_err.dbf.block[2012/12/05 17:20:04 | 000,000,269 | ---- | C] () -- C:\user.js.block[2012/12/05 16:51:53 | 000,023,064 | ---- | C] () -- C:\windows\Report.htm.block[2012/12/05 16:48:55 | 000,064,460 | ---- | C] () -- C:\windows\SysWow64\license.rtf.block O ile to są śmieci lub pliki nieważne, to nie można stwierdzić ile faktycznie plików na C zostało poddanych procesowi szyfrowania, bo OTL to bardzo krótki wycinek z systemu. Od razu więc proponuję użyć całe Przywracanie systemu do daty sprzed infekcji, o ile w ogóle jest taki punkt Przywracania systemu. To być może także zlikwiduje problemy innych infekcji. Jeśli ważne pliki są zaszyfrowane na dysku D, to już tylko procedura typu Photorec. Przykro mi, nic więcej nie wymyślę. Nie ma deszyfratora do tych plików. . Odnośnik do komentarza
amaltea Opublikowano 10 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 dziekuje bardzo za wszelakie informacje, wątki będe śledziła może ktoś wpadnie co z tym zrobic pozdrawiam Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2012 Zgłoś Udostępnij Opublikowano 10 Grudnia 2012 (edytowane) Ale zaraz, tu jest sprawa aktywnej infekcji w Twoim systemie. Nie możesz z tym zostać. Decyduj co robić: czyścimy to ręcznie czy robisz Przywracanie systemu do daty sprzed infekcji, a po tym prezentujesz nowy zestaw logów. A co do odszyfrowania plików *.block, to bardzo wątpliwe, by kiedykolwiek pojawiło się narzędzie deszyfrujące. Jeśli opis tego malware jest wiarygodny, jest to technicznie niemożliwe i jedyne co można aktualnie zrobić to szukać narzędziami typu PhotoRec poprzednich wersji plików. . Edytowane 1 Lutego 2013 przez picasso 1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi