Skocz do zawartości

Wirus Help_Decrypt (CryptoWall 3.0)


Rekomendowane odpowiedzi

Witam, mam następujący problem. Ostatnimi czasy pojawiły mi się w każdym folderze, dosłownie wszędzie po 4 pliki o nazwie HELP_DECRYPT oraz nie mogę uruchomić żadnego pliku (word, pdf itp.) ale programy działają normalnie. Próbowałem posiłkując się jakimś filmikiem z yt pozbyć tego (usunięcie plików w appdata będąc w safe mode i przywrócenie poprzednich wersji) lecz niestety nie poskutkowało. Użyłem także Anti-Malware Malwarebytes i wykryte zagrożenia zostały usunięte. Poniżej zamieszczam wymagane logi + logi z Anti-Malware. (Skanowanie gmer'em powiodło mi się dopiero bodajże za 3-4 razem, prędzej wywaliło BlueScreena)

Addition.txt

FRST.txt

Shortcut.txt

gmer_log.txt

mbam-log-2015-08-09 (21-44-21).txt

protection-log-2015-08-09.txt

Odnośnik do komentarza
  • 1 miesiąc temu...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Opis infekcji CryptoWall: KLIK. Niestety zaszyfrowane dane zostały utracone. Odkodowanie plików awykonalne, stąd też brak dekodera. Dane są wymazywane w "bezpieczny sposób", co powoduje, że programy do odzyskiwania danych nie pomogą. Infekcja kasuje także wszystkie punkty Przywracania systemu - obecnie masz tylko jeden (pewnie utworzony już po ataku), więc ShadowExplorer którym się zresztą już posługiwałeś, nie wykryje żadnej niezaszyfrowanej kopii.

 

Raport GMER wskazuje, że infekcja jest nadal czynna - załadowane ukryte moduły C:\Users\Primol\AppData\Local\Opfics\qpmhudvp.dll. Upłynęło bardzo dużo czasu, dostarczone logi nie mogą być brane za punkt odniesienia. Jeśli problem nadal aktualny, proszę zrób nowe raporty z FRST i GMER.

Odnośnik do komentarza
  • 1 miesiąc temu...

Witam, przepraszam ze tak późno odpisuje ale dopiero co wróciłem z kilkutygodniowej delegacji. Aktualnie sprawa wygląda następująco: jakimś cudem jakieś kolejne badziewie złapałem. Po prostu pewnego razu uruchomiłem komputer i wszystkie pliki zostały ponowne zaszyfrowane, tym razem są z rozszerzeniem .ccc. Ogólnie to pogodziłem się już z utratą wszystkich danych, jedyne co to chciałbym się tego pozbyć żeby móc normalnie pracować na komputerze. Zainfekowany został także dysk przenośny WD Elements 1Tb. Proszę o pomoc bo z tego co czytałem to nawet format nie pomaga.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza

Infekcja nadal czynna, tylko zmienił się układ. Niestety stan został pogorszony jeszcze bardziej, wykonane podwójne szyfrowanie danych, co jest karkołomną kombinacją nie do rozwiązania. Pojawił się drugi szyfrator danych TeslaCrypt zastępujący poprzednika - widać na dysku zakodowane pliki o rozszerzeniu *.ccc. Tego wariantu też nie da się odszyfrować, ale tu jest skomasowana niemożność dekodowania (Cryptowall > TeslaCrypt). Jedyne co mogę zrobić, to usunąć czynną infekcję, ale po tym sugeruję od razu zrobić kompleksowy format dysku, bo podwójne szyfrowanie to rozległa dewastacja i nie wszystkie uszkodzenia zrobione przez infekcje jestem w stanie naprawić. Poza tym, widać że ten system był w przeszłości poddawany działaniu innych inwazyjnych infekcji (np. ZeroAccess) i mam silne wątpliwości czy szkody po tej infekcji były w owym czasie zlikwidowane. Zaszyfrowanych danych niestety nie da się odzyskać.

 

 

Doraźne usunięcie czynnej infekcji, by przygotować się do formatu:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
HKLM\...\Run: [aspnet_regsql] => C:\ProgramData\aspnet_regsql.exe [4096 2015-11-06] ()
HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [OpAgent] => "OpAgent.exe" /agent
HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Akdworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Primol\AppData\Local\Ahbhworks\cbdqutnw.dll
HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Opfics] => regsvr32.exe C:\Users\Primol\AppData\Local\Opfics\qpmhudvp.dll 
HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe
HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: []
HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [HideSCAHealth] 1
GroupPolicyScripts: Ograniczenia 
GroupPolicyScripts\User: Ograniczenia 
ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => Brak pliku
ShellIconOverlayIdentifiers: [1MediaIconsOverlay] -> {1EC23CFF-4C58-458f-924C-8519AEF61B32} => Brak pliku
Startup: C:\Users\Primol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fliptoast.lnk [2011-12-20]
CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\acledit.dll () 
Task: {09F03BE8-6E4F-4610-A3B9-668AD9EBC1C8} - System32\Tasks\{CEDF1330-0C5A-44E4-AA75-592A848B1745} => pcalua.exe -a C:\Users\Primol\Desktop\Diablo-III-8370-plPL-Installer-downloader.exe -d C:\Users\Primol\Desktop
Task: {1E22C2E3-6561-4497-99B3-E00C51AF888B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe
Task: {6CB06F2E-A2E0-420D-935D-BE104A20A03C} - System32\Tasks\{5A9547FB-9643-42E1-B1F5-075256CDFEBC} => pcalua.exe -a D:\Steam\steam.exe -c steam://uninstall/34030
Task: {B3ED0109-542A-43BC-8173-716170065817} - System32\Tasks\{1120A0E6-7B1D-475B-BCF3-331D089C76F1} => pcalua.exe -a "D:\GameJack 5\GameJack.exe" -d "D:\GameJack 5\"
S3 ALSysIO; \??\C:\Users\Primol\AppData\Local\Temp\ALSysIO64.sys [X]
S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
U3 awrdipob; \??\C:\Users\Primol\AppData\Local\Temp\awrdipob.sys [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms}
BHO: Hotspot Shield Class -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll => Brak pliku
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll [brak pliku]
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
C:\Program Files\Common Files\WireHelpSvc.exe
C:\ProgramData\aspnet_regsql.exe
C:\ProgramData\RegComSrv.txt.ccc
C:\ProgramData\taskeng.dll
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\Users\Primol\AppData\Local\Ahbhworks
C:\Users\Primol\AppData\Local\Mobogenie
C:\Users\Primol\AppData\Local\Opfics
C:\Users\Primol\AppData\Roaming\Thumbs.db
C:\Users\Primol\AppData\Roaming\Mozilla\Firefox\Profiles\m74d7t5z.default\Extensions\{85D5939E-85A9-5C88-43B7-612ABE9DADBA}
RemoveDirectory: C:\Users\Primol\AppData\Local\{8c0f2b29-12c2-451d-2f6c-52ae1a624c64}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Infekcja pomyślnie usunięta. Oczywiście na dyskach C, D, F pozostały masowo utworzone obiekty wtórne (pliki HELP_DECRYPT.* + HOWTO_RESTORE_FILES.*) oraz zaszyfrowane pliki. Możesz przejść do formatowania dysku C, co rozwiąże problemy pozostałości. Na dyskach D i F będziesz musiał ręcznie posprzątać śmieci utworzone przez infekcje szyfrujące.

Odnośnik do komentarza
  • 6 miesięcy temu...

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację:

 

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...