Skocz do zawartości

CTB-locker - zaszyfrowane pliki na laptopie


Rekomendowane odpowiedzi

Witam :)

 

Problem z tego co widzę w sieci bardzo aktualny. Moja sąsiadka niestrożnie otwarła załącznik w podejrzanej poczcie, powodując tym samym zaszyfrowanie plików różnego typu. Na ekranie wyświetla sie monit zachęcający do zapłacenia za odblokowanie plików i licznik odmierzający czas do całkowitego zablokowania plików (wiem, że ich odblokowanie bez zapłaty jest niemożliwe). Plików już nic nie wróci, ale jak pozbyć się tego złośliwego syfu z komputera? Komputer to laptop HP z systemem Windows XP service pack 3 (piszę z tego komputera).

 

 

Dziękuję za wszelką pomoc.

FRST.txt

Shortcut.txt

Addition.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Infekcja jest czynna, uruchamia się za pomocą Harmonogramu zadań plik z katalogu tymczasowego. Pierwsza faza to będzie usunięcie infekcji. Druga faza to wyrzucenie zaszyfrowanych plików. Działania wstępne:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\irena\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE 
Task: C:\WINDOWS\Tasks\cxoqoka.job => C:\DOCUME~1\irena\USTAWI~1\Temp\geydprm.exe
HKLM\...\Run: [ConvertAd] => C:\Documents and Settings\irena\Ustawienia lokalne\Dane aplikacji\ConvertAd\ConvertAd.exe
HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe
C:\Documents and Settings\All Users\Menu Start\Programy\Avira\AntiVir Desktop\Display readme.lnk
C:\Documents and Settings\All Users\Dane aplikacji\vkdvkyc.html
C:\Documents and Settings\irena\Moje dokumenty\!Decrypt-All-Files-scqwxua.bmp
C:\Documents and Settings\irena\Moje dokumenty\!Decrypt-All-Files-scqwxua.txt
C:\Program Files\mozilla firefox\plugins
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConvertAd /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Tapeta jest podstawiona plikiem infekcji:

 

==================== Other Registry Areas =====================

 

HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\irena\Moje dokumenty\!Decrypt-All-Files-scqwxua.bmp

 

W skrypcie usuwam plik tapety, to spowoduje pojawienie się pustego ekranu. Należy ręcznie zmienić tapetę wskazując jakiś plik, który nie został zaszyfrowany.

 

3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Infekcja pomyślnie usunięta.

 

1. Ustawienia tapety nadal nie zostały skorygowane na poziomie rejestru. Miałeś w opcjach zmienić ją wskazując dowolny niezaszyfrowany plik.

 

2. Pokaż listę zaszyfrowanych plików z dysku C. Uruchom FRST, w polu Search wklej:

 

*scqwxua*

 

Klik w Search Files i dostarcz wynikowy log. Może być bardzo duży.

Odnośnik do komentarza

Dysk D samodzielnie opróżnisz z zakodowanych plików. Natomiast dysk C adresuję w poniższym skrypcie. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
CMD: del /q /s C:\*scqwxua*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Odnośnik do komentarza

Większość zrobiona, nie usunęły się poniższe pliki, zapewne blokuje tam dostęp Avira. Zdeaktywuj antywirusa i ręcznie te pliki dokończ.

 

C:\Program Files\Avira\AntiVir Desktop\eula.TXT.scqwxua

Odmowa dostępu.

C:\Program Files\Avira\AntiVir Desktop\readme.TXT.scqwxua

Odmowa dostępu.

C:\Program Files\Avira\AntiVir Desktop\sweb.ZIP.scqwxua

Odmowa dostępu.

C:\Program Files\Avira\AntiVir Desktop\toolbar_eula.TXT.scqwxua

Odmowa dostępu.

 

Dodatkowa uwaga: usunięcie zaszyfrowanych plików z C oznacza teraz określone braki w folderach różnych aplikacji. To nie jest wybitnie duży problem, ale może się zdarzyć, że brak jakiegoś pliku objawi się w widoczny sposób (np. ubytki w GUI) i wtedy należy daną aplikację przeinstalować.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...