henio Opublikowano 3 Grudnia 2015 Zgłoś Udostępnij Opublikowano 3 Grudnia 2015 miałem HELP_YOUR_FILES ransomware, którego (mam nadzieję) się pozbyłem przez skanowanie ADWcleaner, Anti-Malwere i HitmanPro niestety wiele plików zostało zaszyfrowanych czy jest jakis sposób (oprócz płacenia okupu) na ich odszyfrowanie? Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2015 Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 Pliki HELP_YOUR_FILES to jest najnowsza wersja CryptoWall 4.0. Niestety odszyfrowanie danych jest awykonalne. Opis infekcji: KLIK. Druga sprawa, zasady działu mówią, że należy dostarczyć obowiązkowe raporty, które udowodnią czy infekcja została dobrze wyczyszczona: KLIK. PS. AdwCleaner to program do innych zadań. Nie adresuje infekcji szyfrujących. Odnośnik do komentarza
henio Opublikowano 4 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 w załaczeniu logi ze skana Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2015 Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 Uwagi w kwestii używanych narzędzi: - Shadow Explorer nie nadaje się pod system XP i nic na nim nie robi, to program dla systemów Vista i nowszych, które mają inny bardziej zaawansowany mechanizm Przywracania systemu. - SpyHunter to skaner z czarnej listy, naciągacz. Trzymać się z daleka od niego. Stosowałeś też wątpliwe produkty marki Paretologic. Jak już powiedziałam, z zaszyfrowanymi plikami przemienionymi przez CryptoWall w takie oto "alfanumeryczne" ciągi nie da się nic zrobić: 2015-12-02 19:28 - 2015-12-02 19:28 - 03079072 _____ C:\Documents and Settings\slawek\Moje dokumenty\mted5.w0 2015-12-02 19:28 - 2015-12-02 19:28 - 00544688 _____ C:\Documents and Settings\slawek\Moje dokumenty\gh9wr3jb3.1v 2015-12-02 19:28 - 2015-12-02 19:28 - 00300588 _____ C:\Documents and Settings\slawek\Moje dokumenty\3o9l14uee5.2ev64 2015-12-02 19:28 - 2015-12-02 19:28 - 00054156 _____ C:\Documents and Settings\slawek\Moje dokumenty\wv3jujl.5kou9 2015-12-02 19:28 - 2015-12-02 19:28 - 00053596 _____ C:\Documents and Settings\slawek\Moje dokumenty\00pj570f32.8d6 2015-12-02 19:28 - 2015-12-02 19:28 - 00023884 _____ C:\Documents and Settings\slawek\Moje dokumenty\9txl16l6a8.946q Infekcja nie jest już czynna, ale są do usunięcia pliki HELP_YOUR_FILES* z wszystkich dysków oraz inne drobne korekty. 1. Odinstaluj stare wersje: Java 8 Update 60, RealPlayer. Problemem jest też stary Adobe Reader XI (11.0.08) - Polish, nowsze wersje nie mają wsparcia dla XP, tę wersję którą masz co najwyżej można ręcznie zaktualizować do wersji 11.0.13 i to wszystko co się da na XP. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-12-03] () S3 GMSIPCI; \??\I:\INSTALL\GMSIPCI.SYS [X] AlternateDataStreams: C:\Documents and Settings\slawek\Local Settings:init RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\ParetoLogic RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\ParetoLogic RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\7f30610 RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\7164054 RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\www.shadowexplorer.com RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\www.shadowexplorer.com RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\cc3e11" CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\a7905487f" CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK" CMD: del /q "C:\Documents and Settings\slawek\SendTo\Android (ALLPlayer Pilot).lnk" CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: attrib -r -h -s C:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s D:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s E:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s F:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s G:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s H:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s I:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s J:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s K:\HELP_YOUR_FILES.* /s CMD: del /q /s C:\HELP_YOUR_FILES.* CMD: del /q /s D:\HELP_YOUR_FILES.* CMD: del /q /s E:\HELP_YOUR_FILES.* CMD: del /q /s F:\HELP_YOUR_FILES.* CMD: del /q /s G:\HELP_YOUR_FILES.* CMD: del /q /s H:\HELP_YOUR_FILES.* CMD: del /q /s I:\HELP_YOUR_FILES.* CMD: del /q /s J:\HELP_YOUR_FILES.* Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox\Extensions /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być przeogromny, jeżeli plików HELP_YOUR_FILES jest nadal spora ilość. Gdyby się nie zmieścił do załącznika, po prostu shostuj gdzieś log i dostarcz link. Odnośnik do komentarza
henio Opublikowano 4 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 zrobiłem tak jak napisane, ale widzę że pliki HELP_YOUR_FILES.png pozostały FRST.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 4 Grudnia 2015 Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 Skrypt FRST nie został wykonany. Otwórz plik Fixlog i porównaj formatowanie z moim postem. Wklejając do Notatnika skleiły się wszystkie linie, a przejścia do nowej linii muszą być identyczne jak w moim poście. Powtarzaj zadanie. Odnośnik do komentarza
henio Opublikowano 4 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 4 Grudnia 2015 skany po wykonaniu Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 5 Grudnia 2015 Zgłoś Udostępnij Opublikowano 5 Grudnia 2015 Zadania zostały wykonane. Jeszcze poprawka na odpadkowe elementy po odinstalowaniu RealPlayer. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Real RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\Real RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\RealNetworks RemoveDirectory: C:\Program Files\Real RemoveDirectory: D:\Documents and Settings\slawek\Pulpit\Stare dane programu Firefox CMD: del /q C:\WINDOWS\Tasks\Real*.job Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe logi FRST nie są mi potrzebne. Odnośnik do komentarza
henio Opublikowano 5 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 5 Grudnia 2015 zrobione Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 7 Grudnia 2015 Zgłoś Udostępnij Opublikowano 7 Grudnia 2015 Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Sugerowane dodatkowe zabezpieczenia specjalizowane pod kątem infekcji szyfrujących dane: KLIK. Odnośnik do komentarza
henio Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 tym razem how_recover działanie brutalnie przerwane twardym resetem. restart w trybie awaryjnym i skanowanie Anti-Malware, który wykruł i pousuwał pewne zagrożenia niektóre podejrzane pliki pokasowane manualnie infekcja chyba nie jest aktywna bo dysk nie mieli Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... gmer.txt.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 To jest ciągle ten sam komputer, tematy sklejam razem. I jest wysoce niepokojące, że nastąpił drugi nalot infekcji szyfrującej. Coś jest nieszczelne lub popełniono identyczny błąd jak wcześniej. Tym razem infekcja TeslaCrypt i zaszyfrowane kopie plików z rozszerzeniem .vvv. Owszem, infekcja nie jest już aktywna, ale nadal są ślady po jej pobycie, zarówno w rejestrze, jak i na dysku. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [browserMe] => C:\Documents and Settings\slawek\Dane aplikacji\BrowserMe\ChromeUpdate.exe HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [a09b6bddd0] => C:\Documents and Settings\slawek\Dane aplikacji\a09b6bddd0\c09ec.exe HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [HideSCAHealth] 1 RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev CMD: del /q C:\DelFix.txt.vvv CMD: attrib -h "C:\Documents and Settings\All Users\*.exe" CMD: attrib -h "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att" CMD: del /q "C:\Documents and Settings\All Users\*.exe" CMD: del /q "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att" CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\wpulog.txt" CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s E:\how_recover* /s CMD: attrib -r -h -s F:\how_recover* /s CMD: attrib -r -h -s G:\how_recover* /s CMD: attrib -r -h -s H:\how_recover* /s CMD: attrib -r -h -s I:\how_recover* /s CMD: attrib -r -h -s J:\how_recover* /s CMD: attrib -r -h -s K:\how_recover* /s CMD: del /q /s C:\how_recover* CMD: del /q /s D:\how_recover* CMD: del /q /s E:\how_recover* CMD: del /q /s F:\how_recover* CMD: del /q /s G:\how_recover* CMD: del /q /s H:\how_recover* CMD: del /q /s I:\how_recover* CMD: del /q /s J:\how_recover* CMD: del /q /s K:\how_recover* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt - jeśli za duży do załącznika, shostuj gdzieś i podaj link. I opisz co to za komputer, czy podlega jakiejś sieci, co robiono w obu przypadkach wystąpienia infekcji. Odnośnik do komentarza
henio Opublikowano 9 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 komputer nie jest w sieci ten sam system na 2 dyskach, infekcja 2x przy starcie systemu z tego samego dysku infekcje pociagniete z neta podejrzewam strone imagetwist.com (miał być plik jpg) w obu przypadkach infekcji komputer zresetowany na twardo- mam jeden dysk ata, który strasznie mielił w trakcie szyfrowania plików. pierwszym razem (późny, po około 1,5 godziny) restart w normalnym trybie, skan adware, a dnia następnego zauważone zmiany w plikach (zaszyfrowane) i skan Anti-Malware i HitManpro drugim razem, restart w trybie awaryjnym (dość szybko, po kilku minutach), skan Anti-Malware i manulane kasowanie niektórych (głównie exe i unnych z czasem utworzenia około infekcji) plików w documents and settings za drugim razem zaczęły również wyskakiwać jakieś komunikaty (chyba 2 lub 3), że coś się dzieje (jakieś pliki exe startują) w załączeniu pliki Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2015 Zgłoś Udostępnij Opublikowano 9 Grudnia 2015 Znowu miałeś problem z poprawnym przeklejeniem zawartości skryptu z posta do Notatnika, sklejone linie, wiele zadań się nie wykonało. Powtarzaj skrypt o takiej postaci, przejścia do nowej linii mają być identyczne w Notatniku: RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev CMD: attrib -s -h "C:\Documents and Settings\All Users\*.exe" CMD: del /q "C:\Documents and Settings\All Users\*.exe" CMD: del /q C:\DelFix.txt.vvv CMD: del /q C:\WINDOWS\mru.dat CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s E:\how_recover* /s CMD: attrib -r -h -s F:\how_recover* /s CMD: attrib -r -h -s G:\how_recover* /s CMD: attrib -r -h -s H:\how_recover* /s CMD: attrib -r -h -s I:\how_recover* /s CMD: attrib -r -h -s J:\how_recover* /s CMD: attrib -r -h -s K:\how_recover* /s CMD: del /q /s C:\how_recover* CMD: del /q /s D:\how_recover* CMD: del /q /s E:\how_recover* CMD: del /q /s F:\how_recover* CMD: del /q /s G:\how_recover* CMD: del /q /s H:\how_recover* CMD: del /q /s I:\how_recover* CMD: del /q /s J:\how_recover* CMD: del /q /s K:\how_recover* EmptyTemp: Dostarcz wynikowy fixlog.txt. Powinien być ogromny. Odnośnik do komentarza
henio Opublikowano 10 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 tekst wkleja mi w notatnik w jednej lini, stąd moja 'pomyłka' Fixlog.txtPobieranie informacji ... FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2015 Zgłoś Udostępnij Opublikowano 10 Grudnia 2015 Skrypt wykonany. Te same kroki końcowe z DelFix do wykonania co poprzednio. Na dysku w katalogu "Moje dokumenty" są też zaszyfrowane śmieci, to już samodzielnie posprzątaj. Sugeruję jednak zrobić format dysku. I teraz kwestia zabezpieczeń: - Wtyczki Adobe Flash do aktualizacji. Poza tym, zaktualizowałeś już wprawdzie Adobe Reader, ale czy on naprawdę jest tu potrzebny? - Podawałam programy specjalizowane w zabezpieczeniach przed szyfratorami. Na dysku widać tylko pobrany CryptoMonitor, ale nie zainstalowany. Czy były jakieś przeszkody? Jeśli ta aplikacja stwarza problemy, to skorzystaj z CryptoPrevent. - Brak także jakiegokolwiek antywirusa. Dobierz z czołówki (nie z niszy) dowolnego darmowego lub komercyjnego, który Ci się podoba. Odnośnik do komentarza
picasso Opublikowano 2 Czerwca 2016 Zgłoś Udostępnij Opublikowano 2 Czerwca 2016 W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html. Odnośnik do komentarza
Rekomendowane odpowiedzi