HowDecrypt

[liobrande]

Witam.

Pojawiło się to cholerstwo w komputerze brata około 2-3 msc temu i teraz gdy wrócił do domu chciał to wywalić. Po przeczytaniu informacji o tym uważam że trochę z tym zwlekał, ale może uda się coś na to poradzić. Zależy mu na odzyskaniu zdjęć.

Logi OTL:

http://wklej.to/QeRAz EXTRAS

http://wklej.to/rl7rA OTL

 

 

Logi FRST:

 

http://wklej.to/rko3V FRST

http://wklej.to/XluEB Addition

http://wklej.to/Tqp6K Shortcut

Z góry dzięki za pomoc

[picasso]

Skoro infekcja już ze 3 miesiące działa, to szkody są tym większe, reakcja powinna zostać podjęta natychmiast po infekcji, by ograniczyć zakres szyfrowania danych. Niestety usunięcie czynnej infekcji to tylko część zadania i nie spowoduje to odszyfrowania danych. Nie jest tu w ogóle wiadomym jakie szkody są obecnie w systemie. Wstępnie:

 

 

CZEŚĆ PIERWSZA - SPRZĄTANIE:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-1592716981-137735590-378972962-1000\...\Run: [ixxrsoft] - regsvr32.exe C:\Users\Bartek\AppData\Local\Ixxrsoft\umbraPath.dll 
HKU\S-1-5-21-1592716981-137735590-378972962-1000\...\Run: [AVG-Secure-Search-Update_0913b] - C:\Users\Bartek\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid 1a832fa8172147d0aec139d4c1afb9ee-cabae6a4bf1e924fdeb92d8f4f8b54a51bf23a3f --CMPID 0913b
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKCU - {3B0F437C-7655-4D40-84AF-11F133CDF08A} URL =
CHR HKLM-x32\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\Bartek\AppData\Local\Temp\ccex.crx [2013-12-31]
S1 aswKbd; \??\C:\Windows\system32\drivers\aswKbd.sys [X]
R3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
C:\Users\Bartek\HOWDECRYPT.GIF
C:\Users\Bartek\AppData\Local\HOWDECRYPT.GIF
C:\Users\Bartek\AppData\Local\Ixxrsoft
C:\Users\Bartek\AppData\Local\CrashDumps
C:\Users\Bartek\AppData\Roaming\AVG2014
AV: AVG Internet Security 2014 (Disabled - Up to date) {0E9420C4-06B3-7FA0-3AB1-6E49CB52ECD9}
AS: AVG Internet Security 2014 (Disabled - Up to date) {B5F5C120-2089-702E-0001-553BB0D5A664}
FW: AVG Internet Security 2014 (Disabled) {36AFA1E1-4CDC-7EF8-11EE-C77C3581ABA2}
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSConfig" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {8FC16654-0E84-4B18-8B61-28D429860E2F} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {3B0F437C-7655-4D40-84AF-11F133CDF08A} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

3. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Odinstaluj wątpliwy skaner SpyHunter.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

CZEŚĆ DRUGA - ODSZYFROWANIE DANYCH:

 

Trudno stwierdzić jaki tu jest zakres szkód. Wypróbuj narzędzie Anti-CryptorBit. Wymagany Microsoft .NET Framework 4 jest zainstalowany w systemie.

 

 

 

 

.

[liobrande]

Dzięki za odzew.

 

 

http://wklej.to/vNBtv GMER

 

http://wklej.to/Ei5nI  nowy skan FRST

 

http://wklej.to/xgvn4 logfix

 

 

Co to czesci drugiej to próbowałem wczoraj i nie wszystkie pliki dało sie przywrócić. PDF wogóle nie, zdjęcia tylko nie które. Innych opcji już nie ma?

[picasso]

Jeśli rzecz o części czyszczącej, to pomyślnie wykonana i tu będzie potem wykończenie. Jeśli rzecz o zaszyfrowanych danych:

 

 

Co to czesci drugiej to próbowałem wczoraj i nie wszystkie pliki dało sie przywrócić. PDF wogóle nie, zdjęcia tylko nie które. Innych opcji już nie ma?

Niestety, nie widzę szans na odzysk reszty. Powody:

- Nic się nie wypowiadasz na temat jakiejkolwiek ręcznie wykonanej kopii zapasowej danych, więc jej brak.

- Brak jakichkolwiek punktów Przywracania systemu (pokazuje to log Addition), więc nie można skorzystać z opcji "Poprzednie wersje plików". Ta nowa instalacja ShadowExplorer (to po prostu dostęp do magazynu Przywracania systemu tylko w innym okienku) była bezcelowa. Ponadto, to i tak tyczyłoby tylko dysku C (Ochrona systemu domyślnie tylko dla tego dysku jest ustawiona) i jest raczej zawodne przy tych infekcjach (na forum nie było ani jednego przypadku pomyślności zadania).

- Infekcja miała miejsce dawno, bez przerwy odbywały się zapisy na dysku zacierające ewentualne wejścia. Ponadto, te szyfrujące infekcje mogą stosować pewne zabiegi, by uniemożliwić odzysk za pomocą programów dedykowanych.

 

Ostatecznie możesz sprawdzić czy cokolwiek zobaczą programy do odzysku danych takie jak: DMDE czy PhotoRec (instrukcja ze StopGpcode do ominięcia, to jest pod inną infekcję). Mam szczere wątpliwości czy będą jakieś wyniki.

 

 

 

.