GrzesiekM Opublikowano 11 Lutego 2015 Zgłoś Udostępnij Opublikowano 11 Lutego 2015 Witam, siostra otworzyła załącznik laptopie i... bagno... Jak w temacie... CTB looker zaszyfrował około 80% dokumentów. próbowała usunąć paskudztwo nortonem i SPYHunterem- tak podpowiadali w internecie. Podpiąłem dysk do innego komputera. Nod wykrył i usunął wykryte zagrożenia, głównie win32/Filecoder.DA.Gen(log1 w załączeniu). Wykonałem zapasową kopię katalogów ze zdjęciami na innym zewnętrznym dysku, żeby nie stracić ich więcej - dysk leży i czeka na swoją kolej. Po ponownym uruchomieniu systemu udało się zainstalować NODa na zainfekowanym laptopie, wcześniej próbowałem - nie szło. Nie wykrył już zagrożeń natomiast nie miał dostępu do wielu plików (log2 w załączeniu). Myślę sobie że za łatwo poszło. 1. czy komputer jest już wolny od infekcji? 2. czy komputer na którym skanowałem zainfekowany dysk mógł zostać zainfekowany? 3. czy zdjęcia na zewnętrznym nośniku są w jakikolwiek złośliwe? Nod nie wykazuje infekcji. 4. rozumiem, że zaszyfrowane fotki są obecnie nie do odzyskania, czy jest sens trzymać je i czekać że może ktoś kiedyś coś wymyśli? ponoć wcześniejsze odmiany tego dziadostwa udało się odszyfrować. mam nadzieję że logi są prawidłowo zrobione Z góry dziękuję GM GMERlog20140211.txt log2.txt Shortcut.txt Addition.txt FRST.txt log1.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2015 Zgłoś Udostępnij Opublikowano 11 Lutego 2015 CTB looker zaszyfrował około 80% dokumentów. próbowała usunąć paskudztwo nortonem i SPYHunterem- tak podpowiadali w internecie. SpyHunter to program wątpliwej reputacji, z czarnej listy! Z daleka od niego. 1. czy komputer jest już wolny od infekcji? 2. czy komputer na którym skanowałem zainfekowany dysk mógł zostać zainfekowany? 3. czy zdjęcia na zewnętrznym nośniku są w jakikolwiek złośliwe? Nod nie wykazuje infekcji. 4. rozumiem, że zaszyfrowane fotki są obecnie nie do odzyskania, czy jest sens trzymać je i czekać że może ktoś kiedyś coś wymyśli? ponoć wcześniejsze odmiany tego dziadostwa udało się odszyfrować. 1. W systemie nadal jest zadanie Harmonogramu tiffeug kierujące na plik CTB-Locker, ale zadanie jest już martwe. Do wykonania będą też dodatkowe działania związane z adware i innymi śmieciami. 2. Wątpię, o ile dysk był tylko podpięty "na sucho", czyli nie uruchamiał się Windows z tego dysku. 3. Zaszyfrowane pliki nie są groźne. 4. Nie ma technicznej możliwości dekrypcji bez uiszczenia opłaty cyberprzestępcom. Możesz oczywiście zachować szyfrowane pliki, ale bardzo wątpliwe, by cokolwiek dało się z nimi zrobić. Te które się "dało odszyfrować" to były prawdopodobnie zupełnie inne infekcje. Takich infekcji szyfrujących jest ogromna ilość i na zachodzie od dawna dramaty, to dopiero teraz o Polskę "lekko" zahaczyło i problem się objawił. Widzę, że próbowałeś ShadowExplorer. To na nic. CTB-Locker opróżnia na zero wszystkie punkty Przywracania systemu (tylko na niektórych systemach czasem błąd i coś się ostaje). Obecnie w systemie jest tylko jeden świeży punkt zrobiony dziś przez system: ==================== Restore Points ========================= 11-02-2015 10:32:11 Windows Update Operacje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj: Ask Toolbar, Ask Toolbar Updater, AutoUpdate, Viewpoint Media Player, Winamp Toolbar for Firefox. - Symantec nie został dobrze odinstalowany. Z poziomu Trybu awaryjnego zastosuj Norton Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3423ECCE-86CA-4DBC-8774-8F1D68E5731B} - System32\Tasks\Norton AntiVirus\Norton Error Processor => C:\Program Files (x86)\Norton AntiVirus\Engine\21.6.0.32\SymErr.exe Task: {4AB33E58-B899-4BE5-B4A0-212A7FBFF280} - System32\Tasks\tiffeug => C:\Users\Agata\AppData\Local\Temp\dqeepnc.exe Task: {57D30F7A-0741-4A87-898A-ED947C312CB2} - System32\Tasks\Norton AntiVirus\Norton Error Analyzer => C:\Program Files (x86)\Norton AntiVirus\Engine\21.6.0.32\SymErr.exe Task: {7CCFD004-3403-4860-AE88-4BE585894CA6} - System32\Tasks\{7D07DB52-3A60-4D5A-9745-E2C0347C47CA} => Chrome.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsBing Task: {DBA0212D-A0D4-46DE-94AE-661FA5042C3C} - System32\Tasks\Norton WSC Integration => C:\Program Files (x86)\Norton AntiVirus\Engine\21.6.0.32\WSCStub.exe U1 eabfiltr; No ImagePath S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 SymIMMP; system32\DRIVERS\SymIM.sys [X] HKLM-x32\...\Run: [hpqSRMon] => [X] HKLM-x32\...\Run: [WinampAgent] => "C:\Program Files (x86)\Winamp\winampa.exe" HKLM-x32\...\Run: [] => [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKLM-x32 -> DefaultScope value is missing. BHO-x32: No Name -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> No File BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKLM-x32 - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File Toolbar: HKU\S-1-5-21-3558287341-2231117270-3972338399-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File C:\Program Files (x86)\Ask.com C:\Program Files (x86)\Java C:\ProgramData\dqacswg.html C:\ProgramData\LuUninstall.LiveUpdate C:\ProgramData\AOL C:\ProgramData\Malwarebytes C:\ProgramData\NCOTEMP C:\ProgramData\Norton C:\Users\Agata\AppData\Local\AOL OCP C:\Users\Agata\AppData\Local\APN C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Agata\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Agata\Desktop\FB\Agnieszka\DSCN6864 - Shortcut.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\blueconnect\User Manual.lnk C:\Users\Agata\Downloads\SpyHunter*.exe C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\System32\Tasks\Norton AntiVirus Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. 4. Przenieś wszystkie ważne zaszyfrowane pliki na jakiś nośnik zewnętrzny. Następnie podaj listę zaszyfrowanych plików na C (będziemy usuwać te związane np. z instalacjami aplikacji). Uruchom FRST, w polu Search wklej: *bmzhcib* Klik w Search Files i dostarcz wynikowy Search.txt. Log będzie ogromny. Jeśli nie wejdzie w załącznik, shostuj gdzieś. Odnośnik do komentarza
GrzesiekM Opublikowano 12 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2015 dziękuję Widzę, że próbowałeś ShadowExplorer. To na nic. CTB-Locker opróżnia na zero wszystkie punkty Przywracania systemu (tylko na niektórych systemach czasem błąd i coś się ostaje). Obecnie w systemie jest tylko jeden świeży punkt zrobiony dziś przez system: ech, System restore nie był nawet włączony. deinstralacje: Ask Toolbar: Error1316. The specified account already exists. i nie daje rady odinstalować Ask Toolbar Updater => OK AutoUpdate => brak w Programs and Features Viewpoint Media Player => OK Winamp Toolbar for Firefox: [Window Title] Installed Updates [Content] You do not have sufficient access to uninstall Winamp Toolbar for Firefox. Please contact your system administrator. [OK] Norton usunięty jak kazano w załączeniu logi po wykonaniu zaleceń search.txt jest tu http://przeklej.org/file/jOST8W/Search.txt pzdr GM Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Lutego 2015 Zgłoś Udostępnij Opublikowano 12 Lutego 2015 Zakładam, że ważne zaszyfrowane pliki zostały przekopiowane poza dysk C, gdyż teraz będzie usuwanie tych artefaktów z C. 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [ApnUpdater] => "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" URLSearchHook: HKU\S-1-5-21-3558287341-2231117270-3972338399-1000 - UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File BHO-x32: Ask Toolbar -> {D4027C7F-154A-4066-A1AD-4243D8127440} -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File Toolbar: HKLM-x32 - Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll No File RemoveDirectory: C:\$RECYCLE.BIN RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Symantec Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: del /q /s C:\*bmzhcib* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Będzie gruby. 2. Uruchom Zoek. W oknie wklej: Ask Toolbar;u Winamp Toolbar for Firefox;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). Odnośnik do komentarza
GrzesiekM Opublikowano 12 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2015 Zakładam, że ważne zaszyfrowane pliki zostały przekopiowane poza dysk C, gdyż teraz będzie usuwanie tych artefaktów z C. tak. przypadkowo uruchomiłem frst=> fix bez wklejonych komend dlatego 2 logi log FRST http://przeklej.org/file/DXCFfr/Fixlog.txt thx GM Fixlog bez komend.txt zoek-results.txt Odnośnik do komentarza
picasso Opublikowano 12 Lutego 2015 Zgłoś Udostępnij Opublikowano 12 Lutego 2015 Zapomniałam podać jeszcze do deinstalacji ten trzeci, którego nie widziałeś. Uruchom ponownie Zoek i wklej w oknie: AutoUpdate;u Klik w Run Script. Przedstaw nowy wynikowy log zoek-results.txt (po zmianie nazwy z *.log). Odnośnik do komentarza
GrzesiekM Opublikowano 13 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2015 log w załączeniu zoek-results.txt Odnośnik do komentarza
picasso Opublikowano 13 Lutego 2015 Zgłoś Udostępnij Opublikowano 13 Lutego 2015 Nie wygląda na to, by Zoek cokolwiek zrobił. Klucz zostanie usunięty za pomocą FRST. Do Notatnika wklej: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{18D10072035C4515918F7E37EAFAACFC} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
GrzesiekM Opublikowano 13 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 13 Lutego 2015 W załączeniu fixlog. pzdr GM P.s. nie będę pisał w każdym poście, jak bardzo jestem Ci wdzięczny, ustalmy więc, że wdzięczność moja jest wielka i stała Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 14 Lutego 2015 Zgłoś Udostępnij Opublikowano 14 Lutego 2015 Czyszczenie w zakresie infekcji zasadniczej ukończone. Drobna uwaga: były usuwane zaszyfrowane pliki z katalogów określonych aplikacji, to nie jest poważny problem, ale gdyby ubytki obrazków / dokumentów programów objawiły się w widoczny sposób, po prostu dany program przeinstaluj. Ostatnia akcja pomyślnie wykonana. Ze względu na obiekty typu adware/PUP jeszcze dodaj na wszelki wypadek skan z AdwCleaner. Wybierz tylko opcję Szukaj i dostarcz raport z C:\AdwCleaner. Odnośnik do komentarza
GrzesiekM Opublikowano 15 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 15 Lutego 2015 Bardzo Ci dziękuję za pomoc! Właścicielka laptusia wdzięczność okazała przelewem pzdr GM Odnośnik do komentarza
picasso Opublikowano 19 Lutego 2015 Zgłoś Udostępnij Opublikowano 19 Lutego 2015 A co z AdwCleaner - czy on nic nie pokazał, że temat urwał się w tym punkcie? Dzięki za dotację! Odnośnik do komentarza
GrzesiekM Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 A co z AdwCleaner - czy on nic nie pokazał, że temat urwał się w tym punkcie? Siostra zabrała laptusia, podeślę jak się z nią spotkam. Dzięki za dotację! Dzięki za to forum! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się