Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zablokowane pliki - helpme@freespeechmail.org

matiliber

Przez matiliber
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

matiliber

matiliber

Opublikowano
Opublikowano

Witam,

dostałem od znajomego komputer do sprawdzenia, cytuję "na którym nic nie działa". Okazuję się, że zablokowane zostały pliki (do nazwy plików dopisane helpme@freespeechmail.org). Wiem, że na komputerze jest straszny bałagan z zainstalowanymi programami, dlatego myślę, że najprościej byłoby zablokować/usunąć wirusa, odblokować pliki Kasperkym, zgrać je a na komputerze zrobić format.

 

Zrobiłem skany programami GMER i FRST (załączam raporty), czy mogę już przejść do działania programem kaspersky czy jeszcze muszę wcześniej robić jakieś akcje?

 

Z góry dziękuję za pomoc,

matiliber

Addition.txt

gmer.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

W starcie jest nadal niepożądany obiekt oraz widać przejętą tapetę Pulpitu:

 

Startup: C:\Users\asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\recovery.bmp [2015-11-10] ()

HKU\S-1-5-21-3492713240-3900405530-923019510-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\asia\AppData\Roaming\recovery.bmp

 

Ogólnie lekki bałagan owszem jest, w tym niepożądany program typu "PUP" Mobogenie (instalowany w niechciany sposób, reklamy w interfejsie oraz skutki uboczne w postaci wysokiego obciążenia procesora). Ale system idzie na ubój, więc ograniczę akcje tylko do tych które wspomogą pracę dekodera. Czyli akcje wstępne przed podjęciem działań dekodujących:

 

 

1. Usunięcie powyższych elementów infekcji zasadniczej. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\recovery.bmp [2015-11-10] ()
2015-11-10 11:59 - 2015-11-10 11:59 - 00401934 _____ C:\Users\asia\AppData\Roaming\recovery.bmp
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Tło Pulpitu się zmieni na puste, to nie jest istotne, ale pro forma można to skorygować w opcjach Windows.

 

2. Następnie odciąż zasoby ograniczając ilość procesów uruchomionych w tle, by dekoder miał lepszy "oddech". Przejdź w stan tzw. "czystego rozruchu": KLIK. Ta akcja wyłączy także usługę Mobogenie.

 

3. Po wykonaniu punktów 1+2 działaj z RakhniDecryptor. I zgłoś się tu z wynikami operacji, czy są pozytywne rezultaty. Gwarancji nie ma, nadal jest prawdopodobieństwo, że infekcja użyła silniejsze hasło niż w innych przypadkach i w takiej sytuacji dekoder padnie.

Odnośnik do komentarza
matiliber

matiliber

Opublikowano
  • Autor
Opublikowano

Wstawiam fixlog po wykonaniu punktów 1 i 2.

 

Mam pytanie co do działania decryptora. Czy odblokowane pliki pojawią mi się w folderach obok plików zablokowanych? Czy cały proces mogę przerwać w trakcie i wrócić do niego np po kilku godzinach czy muszę włączyć decrypter i dopóki nie zakończy się jego działanie nie wyłączać laptopa?

 

 

Fixlog.txt

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Obiekty infekcji pomyślnie usunięte.

 

Mam pytanie co do działania decryptora. Czy odblokowane pliki pojawią mi się w folderach obok plików zablokowanych? Czy cały proces mogę przerwać w trakcie i wrócić do niego np po kilku godzinach czy muszę włączyć decrypter i dopóki nie zakończy się jego działanie nie wyłączać laptopa?

Domyślnie jest zaznaczona opcja pozostawienia zaszyfrowanych wersji i nie odznaczaj jej, bo nie ma pewności że nastąpi tu odkodowanie. Pomyślne odszyfrowanie będzie oznaczać więc podwojenie zestawu. Tak, pliki odkodowane pojawiają się w tych samych folderach gdzie występują zaszyfrowane kopie. Gdy uruchomisz narzędzie, nie przerywaj jego działania i nie wyłączaj komputera.

Odnośnik do komentarza
matiliber

matiliber

Opublikowano
  • Autor
Opublikowano

Długo to trwało ale w końcu kaspersky znalazł hasło to zablokowanych plików ;D
Wklejam screena ze statystyk programu.

 

Jak widać zostało jeszcze około 700 plików z którymi sobie nie poradził, jest na to jakaś rada?

Czy jak oddziele te pliki od reszty i zapuszczę na nich skanowanie jest szansa, że program znajdzie do nich hasło?

 

Czy muszę jeszcze zrobić jakieś skanowania przed formatowaniem laptopa?

 

Dziękuję za całą dotychczasową pomoc ;D

 

 

 

post-16645-0-54320000-1448213197_thumb.jpg

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Jak widać zostało jeszcze około 700 plików z którymi sobie nie poradził, jest na to jakaś rada?

Czy jak oddziele te pliki od reszty i zapuszczę na nich skanowanie jest szansa, że program znajdzie do nich hasło?

Miejsca na dysku było dużo. Jeśli prace dekodujące nie przekroczyły poprzeczki wolnego miejsca, to nie wiem jaka jest przyczyna niemożności przetworzenia tych plików. Może nieobsługiwane przez dekoder formaty, może uszkodzenia plików. Co to za pliki, jakie miały oryginalne rozszerzenie przed zakodowaniem? Można spróbować je wyizolować i ponowić pracę dekodera, ale jest prawdopodobne, że wyniki będą takie same.

 

 

Czy muszę jeszcze zrobić jakieś skanowania przed formatowaniem laptopa?

Dostarczone logi nie wskazywały na potrzebę dodatkowych akcji niż zadane.

Odnośnik do komentarza
matiliber

matiliber

Opublikowano
  • Autor
Opublikowano

Miejsca na dysku było dużo. Jeśli prace dekodujące nie przekroczyły poprzeczki wolnego miejsca, to nie wiem jaka jest przyczyna niemożności przetworzenia tych plików. Może nieobsługiwane przez dekoder formaty, może uszkodzenia plików. Co to za pliki, jakie miały oryginalne rozszerzenie przed zakodowaniem? Można spróbować je wyizolować i ponowić pracę dekodera, ale jest prawdopodobne, że wyniki będą takie same.

Były to normalne pliki ze zdjęciami JPG. Wygląda to tak, że np z całego folderu zawierającego np 50 zdjęć jakieś 10 sztuk zostało nie rozkodowanych.

 

Zgram sobie te nieodkodowane pliki, zrobię formata i zapuszczę rozkodowywanie na świeżym windowsie.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Po formacie możesz zainstalować jeden z programów specjalizowanych w ochronie przed szyfratorami: KLIK. I obowiązkowo wytworzyć kopię zapasową ważnych danych przetrzymywaną w izolowanej lokalizacji (dysk zapasowy nie podpięty do komputera). Na razie się upiekło, bo helpme@freespeechmail.org stosuje słabe hasła z generatora, dlatego można było je złamać. Ale już inne warianty tej rodziny są nie do odkodowania. I jest mnóstwo innych infekcji szyfrujących dla których nie ma żadnego ratunku.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...