Primol Opublikowano 14 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 14 Sierpnia 2015 Witam, mam następujący problem. Ostatnimi czasy pojawiły mi się w każdym folderze, dosłownie wszędzie po 4 pliki o nazwie HELP_DECRYPT oraz nie mogę uruchomić żadnego pliku (word, pdf itp.) ale programy działają normalnie. Próbowałem posiłkując się jakimś filmikiem z yt pozbyć tego (usunięcie plików w appdata będąc w safe mode i przywrócenie poprzednich wersji) lecz niestety nie poskutkowało. Użyłem także Anti-Malware Malwarebytes i wykryte zagrożenia zostały usunięte. Poniżej zamieszczam wymagane logi + logi z Anti-Malware. (Skanowanie gmer'em powiodło mi się dopiero bodajże za 3-4 razem, prędzej wywaliło BlueScreena) Addition.txt FRST.txt Shortcut.txt gmer_log.txt mbam-log-2015-08-09 (21-44-21).txt protection-log-2015-08-09.txt Odnośnik do komentarza
picasso Opublikowano 13 Października 2015 Zgłoś Udostępnij Opublikowano 13 Października 2015 Opis infekcji CryptoWall: KLIK. Niestety zaszyfrowane dane zostały utracone. Odkodowanie plików awykonalne, stąd też brak dekodera. Dane są wymazywane w "bezpieczny sposób", co powoduje, że programy do odzyskiwania danych nie pomogą. Infekcja kasuje także wszystkie punkty Przywracania systemu - obecnie masz tylko jeden (pewnie utworzony już po ataku), więc ShadowExplorer którym się zresztą już posługiwałeś, nie wykryje żadnej niezaszyfrowanej kopii. Raport GMER wskazuje, że infekcja jest nadal czynna - załadowane ukryte moduły C:\Users\Primol\AppData\Local\Opfics\qpmhudvp.dll. Upłynęło bardzo dużo czasu, dostarczone logi nie mogą być brane za punkt odniesienia. Jeśli problem nadal aktualny, proszę zrób nowe raporty z FRST i GMER. Odnośnik do komentarza
Primol Opublikowano 16 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Witam, przepraszam ze tak późno odpisuje ale dopiero co wróciłem z kilkutygodniowej delegacji. Aktualnie sprawa wygląda następująco: jakimś cudem jakieś kolejne badziewie złapałem. Po prostu pewnego razu uruchomiłem komputer i wszystkie pliki zostały ponowne zaszyfrowane, tym razem są z rozszerzeniem .ccc. Ogólnie to pogodziłem się już z utratą wszystkich danych, jedyne co to chciałbym się tego pozbyć żeby móc normalnie pracować na komputerze. Zainfekowany został także dysk przenośny WD Elements 1Tb. Proszę o pomoc bo z tego co czytałem to nawet format nie pomaga. Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Infekcja nadal czynna, tylko zmienił się układ. Niestety stan został pogorszony jeszcze bardziej, wykonane podwójne szyfrowanie danych, co jest karkołomną kombinacją nie do rozwiązania. Pojawił się drugi szyfrator danych TeslaCrypt zastępujący poprzednika - widać na dysku zakodowane pliki o rozszerzeniu *.ccc. Tego wariantu też nie da się odszyfrować, ale tu jest skomasowana niemożność dekodowania (Cryptowall > TeslaCrypt). Jedyne co mogę zrobić, to usunąć czynną infekcję, ale po tym sugeruję od razu zrobić kompleksowy format dysku, bo podwójne szyfrowanie to rozległa dewastacja i nie wszystkie uszkodzenia zrobione przez infekcje jestem w stanie naprawić. Poza tym, widać że ten system był w przeszłości poddawany działaniu innych inwazyjnych infekcji (np. ZeroAccess) i mam silne wątpliwości czy szkody po tej infekcji były w owym czasie zlikwidowane. Zaszyfrowanych danych niestety nie da się odzyskać. Doraźne usunięcie czynnej infekcji, by przygotować się do formatu: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\...\Run: [aspnet_regsql] => C:\ProgramData\aspnet_regsql.exe [4096 2015-11-06] () HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [OpAgent] => "OpAgent.exe" /agent HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Akdworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Primol\AppData\Local\Ahbhworks\cbdqutnw.dll HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Opfics] => regsvr32.exe C:\Users\Primol\AppData\Local\Opfics\qpmhudvp.dll HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [] HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [HideSCAHealth] 1 GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => Brak pliku ShellIconOverlayIdentifiers: [1MediaIconsOverlay] -> {1EC23CFF-4C58-458f-924C-8519AEF61B32} => Brak pliku Startup: C:\Users\Primol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fliptoast.lnk [2011-12-20] CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\acledit.dll () Task: {09F03BE8-6E4F-4610-A3B9-668AD9EBC1C8} - System32\Tasks\{CEDF1330-0C5A-44E4-AA75-592A848B1745} => pcalua.exe -a C:\Users\Primol\Desktop\Diablo-III-8370-plPL-Installer-downloader.exe -d C:\Users\Primol\Desktop Task: {1E22C2E3-6561-4497-99B3-E00C51AF888B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {6CB06F2E-A2E0-420D-935D-BE104A20A03C} - System32\Tasks\{5A9547FB-9643-42E1-B1F5-075256CDFEBC} => pcalua.exe -a D:\Steam\steam.exe -c steam://uninstall/34030 Task: {B3ED0109-542A-43BC-8173-716170065817} - System32\Tasks\{1120A0E6-7B1D-475B-BCF3-331D089C76F1} => pcalua.exe -a "D:\GameJack 5\GameJack.exe" -d "D:\GameJack 5\" S3 ALSysIO; \??\C:\Users\Primol\AppData\Local\Temp\ALSysIO64.sys [X] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] U3 awrdipob; \??\C:\Users\Primol\AppData\Local\Temp\awrdipob.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} BHO: Hotspot Shield Class -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] C:\Program Files\Common Files\WireHelpSvc.exe C:\ProgramData\aspnet_regsql.exe C:\ProgramData\RegComSrv.txt.ccc C:\ProgramData\taskeng.dll C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\Users\Primol\AppData\Local\Ahbhworks C:\Users\Primol\AppData\Local\Mobogenie C:\Users\Primol\AppData\Local\Opfics C:\Users\Primol\AppData\Roaming\Thumbs.db C:\Users\Primol\AppData\Roaming\Mozilla\Firefox\Profiles\m74d7t5z.default\Extensions\{85D5939E-85A9-5C88-43B7-612ABE9DADBA} RemoveDirectory: C:\Users\Primol\AppData\Local\{8c0f2b29-12c2-451d-2f6c-52ae1a624c64} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Primol Opublikowano 16 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Tam myślałem ze nic się nie da odzyskać. Trudno. Ważne żebym nie musiał nowego dysku kupować Oczywiście sformatuje wszystko jak tylko usunięta zostanie czynna infekcja. Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 16 Listopada 2015 Zgłoś Udostępnij Opublikowano 16 Listopada 2015 Infekcja pomyślnie usunięta. Oczywiście na dyskach C, D, F pozostały masowo utworzone obiekty wtórne (pliki HELP_DECRYPT.* + HOWTO_RESTORE_FILES.*) oraz zaszyfrowane pliki. Możesz przejść do formatowania dysku C, co rozwiąże problemy pozostałości. Na dyskach D i F będziesz musiał ręcznie posprzątać śmieci utworzone przez infekcje szyfrujące. Odnośnik do komentarza
Primol Opublikowano 17 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 17 Listopada 2015 Bardzo dziękuje za pomoc! Przystępuje to formatowania dysku Odnośnik do komentarza
picasso Opublikowano 18 Listopada 2015 Zgłoś Udostępnij Opublikowano 18 Listopada 2015 Po formacie możesz się zgłosić z nowymi raportami na wszelki wypadek. Uwaga przy pobieraniu i instalowaniu programów: KLIK. Proponowane zabezpieczenia specjalizowane w dziedzinie infekcji szyfrujących: KLIK. Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2016 Zgłoś Udostępnij Opublikowano 2 Czerwca 2016 W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html. Odnośnik do komentarza
Rekomendowane odpowiedzi