Skocz do zawartości

Win32/Filecoder.CO


Rekomendowane odpowiedzi

Witam

poszukałam w google i znalazłam opis wirusa jaki mam dokładnie. Naczytałam się na różnych forach o tych filecoder-rach, że niestety powinnam sie pożegnac ze swoimi plikami. Ale są różne końcówki.. AA, AE itd ja mam CO. Nie mam zielonego pojęcia jaka rożnica, ale może jednak można uratować coś. Chodzi mi głównie o zdjęcia. Zaznaczam, że z komputerem to ja na 'Ty' nie jestem. Jak już coś ma zrobic to pytam się wujka google.

Pozdrawiam

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

baobei, proszę podać konkretne dane wymagane działem, czyli obowiązkowe logi: KLIK.

 

Dodatkowo, skoro jest tu problem z zaszyfrowanymi danymi proszę o odczyt z narzędzia ID Tool, który ma wbudowaną identyfikację infekcji szyfrujących. Owszem, może się okazać, że dane są niemożliwe do odszyfrowania. Obecnie grasują infekcje, które generują klucze dekrypcji na serwerach malware, w oparciu o mocne algorytmy szyfrowania, hasła są nie do złamania. Na razie nie wiadomo o jakim typie infekcji tu mowa.

Odnośnik do komentarza

Infection Detection Tool v1.6 - Nathan Scott
--------------------------------------------
Date/Time: 2014-11-29 16:48:13
Operating System: Windows 7
Service Pack: Service Pack 1
Version Number: 6.1
Product Type: Workstation
--------------------------------------------
[Detected Flags]
1.|  Possible CryptoWall Flag , HKCU\Software\4125720CC7C6E93FDA9DBCBDC8553232\22335589ABBCCDDD

 

został mi jeszcze gmer raport, ale muszę odinstalować daemon tools

 

Nie jestem w stanie odpowiedzięc na pytanie dokładnie z jakiej strony złapałam wirusa. Czasami oglądam najnowsze odcinki moich ulubionych seriali na stronie tv links gdzie są linki vodlocker itd tam sie otwiera mnóstwo okienek przy włączaniu serialu ( ale ja nie mogę się doczekać na dany odcinek w tv). Czasami mój młodszy kuzyn przychodzi pograć do mnie. Nie sprawdzam go, ale on zazwyczaj tylko pograć przychodzi.

pierwsze objawy pojawiły się dość dawno. Stwierdziłam, że poradzę sobie z tym sama, wujek google pomoże, ale niestety.. Stało się to jakieś 3 miesiące temu chyba. Na początku na pulpicie pojawiły się pliki txt i html decryption instructions. Potem jak chciałam otworzyć pliki z dysku c, zdjęcia filmy, nie dało się. Skype mi nie działał, ale tu kolega pomógł. Na pewno z gg był problem, ale nie używam i chomikuj nie chce się zaktualizować, ale nie zalezy mi na tym programie.

Jakie działania podjełam...

Po pierwsze panika... potem szukanie na google, instalowanie jakiś(na pewno kacpersky, malware) programów na okres próbny żeby  przeskanować, wyrzuciłam to co podejrzane.... i chyba nie dobrze

 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

Odnośnik do komentarza

Na początku na pulpicie pojawiły się pliki txt i html decryption instructions.

+

 

[Detected Flags]

1.| Possible CryptoWall Flag , HKCU\Software\4125720CC7C6E93FDA9DBCBDC8553232\22335589ABBCCDDD

 

Niestety nie mam dobrych wieści. To infekcja CryptoWall - odszyfrowanie danych jest niemożliwe. Listę zaszyfrowanych plików, z którymi już raczej należy się pożegnać, poda narzędzie ListCWall.

 

Is it possible to decrypt files encrypted by CryptoWall?

Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom on the CryptoWall Decryption Service. Brute forcing the decryption key is not realistic due to the length of time required to break an RSA encryption key. Also any decryption tools that have been released by various companies will not work with this infection. The only methods you have of restoring your files is from a backup, file recovery tools, or if your lucky from Shadow Volume Copies.

Jeśli chodzi o ostatnią linijkę i "Shadow Volume Copies" (tyczy tylko dysku dla którego była czynna ochrona, czyli C) - to odpada jako metoda odzyskiwania, gdyż brak tu jakichkolwiek punktów Przywracania systemu (w logu Addition puściutko). Ta infekcja zresztą pierwsze co robi to kasuje kopie cieniowe, by odciąć tę metodę odzyskiwania. Niestety w Twojej sytuacji jedyna ewentualna droga odzyskiwania danych to użycie narzędzi do odzyskiwania danych w rodzaju TestDisk, tylko jest tu problem:

 

Stało się to jakieś 3 miesiące temu chyba. (...) Potem jak chciałam otworzyć pliki z dysku c, zdjęcia filmy, nie dało się.

Infekcja miała miejsce kilka miesięcy temu, od tego czasu na dysku były liczne operacje zapisu (aktywność samego Windows per se, instalacje programów, usuwanie infekcji skanerami) sukcesywnie odcinające możliwość odzyskiwania danych. Odzyskiwanie danych z dysku, z którego skasowano dane, wymaga całkowitego zablokowania dysku (to oznacza wyłączenie komputera i nie uruchamianie nic z tego dysku) i wykonanie kopii posektorowej. Tu jest już za późno.

Widzę, że próbowałaś już narzędzi typu Advanced Disk Recovery, Ashampoo Undeleter, Active@ UNDELETE Freeware - i tu został popełniony kolejny podstawowy błąd, tzn. narzędzi do odzyskiwania danych nie wolno instalować na dysku, z którego ma być ewentualne odzyskiwanie danych, bo każda instalacja to kolejne nadpisywanie miejsc. Obawiam się, że tu nawet narzędzia do odzyskiwania danych nic już nie zdziałają i utrata danych jest pełna, dysk był zbyt długo na chodzie, były na nim liczne operacje zapisu. Nie jestem w stanie pomóc w tej kwestii.

 

 

 


Osobna sprawa to stan Twojego systemu - nie jest czysty i trzeba wykonać dodatkowe działania usunięcia wpisów infekcji ze startu, różnych pustych wpisów oraz niebezpiecznych dziurawych wersji aplikacji (jedna z dróg infekcji). Pod tym kątem przeprowadź następujące operacje:

 

1. Przez Panel sterowania odinstaluj stare niebezpieczne wersje Java™ 6 Update 22, Java 7 Update 9, Java 7 Update 45 (64-bit), Java SE Development Kit 7 Update 4 (64-bit), JavaFX 2.1.0, JavaFX 2.1.0 (64-bit), JavaFX 2.1.0 SDK, OpenOffice.org 3.3 oraz MyWinLocker Suite (liczne puste wpisy wskazujące na częściową deinstalację lub uszkodzenie aplikacji firmowej).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S3 MWLService; C:\Program Files (x86)\EgisTec MyWinLocker\x86\MWLService.exe [X]
HKLM-x32\...\Run: [suiteTray] => "C:\Program Files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe"
HKLM-x32\...\Run: [EgisUpdate] => "C:\Program Files (x86)\EgisTec IPS\EgisUpdate.exe" -d
HKLM-x32\...\Run: [EgisTecPMMUpdate] => "C:\Program Files (x86)\EgisTec IPS\PmmUpdate.exe"
HKLM-x32\...\Run: [HCKUWinT32] => C:\Users\asik\AppData\Local\Temp\74423.exe
HKLM-x32\...\Run: [updatesvc] => C:\Users\asik\AppData\Roaming\Microsoft\Windows\updater.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0
HKLM\...\Policies\Explorer: [HideSCAHealth] 0
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUWinT32] => C:\Users\asik\AppData\Local\Temp\74423.exe 
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUwinAPl32] => C:\Users\asik\AppData\Local\Temp\ctfmon 
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [HCKUWinLogon] => C:\Users\asik\AppData\Roaming\Microsoft\winapi32.exe
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [umccmedia Update] => regsvr32.exe C:\Users\asik\AppData\Local\Umccmedia\ASMtwk215A.dll
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Run: [syshost32] => C:\Users\asik\AppData\Local\{A3F47E8A-1EAD-F243-09D3-8C87E77A94D2}\syshost.exe
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Policies\Explorer: [TaskbarNoNotification] 0
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\Policies\Explorer: [HideSCAHealth] 0
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\MountPoints2: {33e86f50-201e-11e1-90a6-d027881e4eee} - I:\Setup.exe
HKU\S-1-5-21-4115932480-3245688130-3507196491-1000\...\MountPoints2: {3d46175b-4db9-11e1-9d9f-d027881e4eee} - K:\BSAutoRun.exe
HKU\S-1-5-18\...\Policies\Explorer: [TaskbarNoNotification] 0
HKU\S-1-5-18\...\Policies\Explorer: [HideSCAHealth] 0
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers-x32: [egisPSDP] -> {30A0A3F6-38AC-4C53-BB8B-0D95238E25BA} => C:\Program Files (x86)\EgisTec MyWinLocker\x86\psdprotect.dll No File
SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
BHO: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll No File
BHO-x32: McAfee SiteAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File
Toolbar: HKLM - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\x64\mcieplg.dll No File
Toolbar: HKLM - DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Toolbar: HKLM-x32 - McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File
Toolbar: HKLM-x32 - No Name - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No File
Toolbar: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> No Name - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - No File
Toolbar: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000 -> DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar64.dll No File
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~2\mcafee\SITEAD~1\mcieplg.dll No File
CustomCLSID: HKU\S-1-5-21-4115932480-3245688130-3507196491-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\asik\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
Task: {1BCBA46A-4328-4A44-B751-879F7AC109E0} - System32\Tasks\{EE67A2B4-EF83-4D53-A14B-23538328CAAF} => C:\Users\asik\Downloads\ChomikBox\Homefront.Repack-Gardzij.exe
Task: {52BB55E6-DE09-4ECE-B435-0DB2215DB008} - System32\Tasks\{790DABDA-1D19-4121-9339-D3AF0655B2AE} => C:\Users\asik\Downloads\ChomikBox\Homefront.Repack-Gardzij.exe
Task: {5B3E48EB-E352-4C77-A9B0-AC9A49089186} - System32\Tasks\{D3977E4B-72C3-4075-BDDF-868EF0CB8253} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.367&LastError=404
CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh [2014-07-14]
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - C:\Program Files (x86)\McAfee\SiteAdvisor\McChPlg.crx [2012-08-29]
FF HKLM-x32\...\Firefox\Extensions: [{B7082FAA-CB62-4872-9106-E42DD88EDE45}] - C:\Program Files (x86)\McAfee\SiteAdvisor
FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
C:\Program Files (x86)\mozilla firefox\plugins
C:\Users\asik\scan_results
C:\Users\asik\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\asik\Downloads\*(*)-dp*.exe
C:\Windows\SysWOW64\sho*.tmp
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

 

4. W Google Chrome:

- Ustawienia > karta Rozszerzenia > odinstaluj odpadek po McAfee SiteAdvisor

- Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza

wiedziałam, że jak sama się za to zabiorę to nic dobrego z tego nie wyjdzie, ale musiałam jak to ja. Płakać mi się chce jak pomyślę o zdjęciach. Większość mam zapisane gdzieś tam i zachowane. Część mam na dysku zewnętrznym, który też padł, ale z niego można wyciągnąć pliki z tego co wiem, ale juz się za to nie zabieram. Niektóre zdjęcia nie do odzyskania. Pozostają wspomnienia dobre i to :) mam nauczke na przyszłość.

Co do mojego systemu wiedziałam, że mam burdel, ale nie az taki. Dostosuję się do Twoich porad powyżej.

Mam nadzieję, że mój temat zostanie na trochę, bo wyjeżdżam na wekend i juz mam opóźnienie 2h z wyjściem i nie zdążę teraz.

Baaaaardzo dziękuję za pomoc!! jak wrócę zastosuje się do niej i nie zapomnę o dotacji.

Pozdrawiam

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...