Skocz do zawartości

help_your_files, how_recover i zaszyfrowane pliki


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pliki HELP_YOUR_FILES to jest najnowsza wersja CryptoWall 4.0. Niestety odszyfrowanie danych jest awykonalne. Opis infekcji: KLIK.

 

Druga sprawa, zasady działu mówią, że należy dostarczyć obowiązkowe raporty, które udowodnią czy infekcja została dobrze wyczyszczona: KLIK.

 

PS. AdwCleaner to program do innych zadań. Nie adresuje infekcji szyfrujących.

Odnośnik do komentarza

Uwagi w kwestii używanych narzędzi:

- Shadow Explorer nie nadaje się pod system XP i nic na nim nie robi, to program dla systemów Vista i nowszych, które mają inny bardziej zaawansowany mechanizm Przywracania systemu.

- SpyHunter to skaner z czarnej listy, naciągacz. Trzymać się z daleka od niego. Stosowałeś też wątpliwe produkty marki Paretologic.

 

Jak już powiedziałam, z zaszyfrowanymi plikami przemienionymi przez CryptoWall w takie oto "alfanumeryczne" ciągi nie da się nic zrobić:

 

2015-12-02 19:28 - 2015-12-02 19:28 - 03079072 _____ C:\Documents and Settings\slawek\Moje dokumenty\mted5.w0

2015-12-02 19:28 - 2015-12-02 19:28 - 00544688 _____ C:\Documents and Settings\slawek\Moje dokumenty\gh9wr3jb3.1v

2015-12-02 19:28 - 2015-12-02 19:28 - 00300588 _____ C:\Documents and Settings\slawek\Moje dokumenty\3o9l14uee5.2ev64

2015-12-02 19:28 - 2015-12-02 19:28 - 00054156 _____ C:\Documents and Settings\slawek\Moje dokumenty\wv3jujl.5kou9

2015-12-02 19:28 - 2015-12-02 19:28 - 00053596 _____ C:\Documents and Settings\slawek\Moje dokumenty\00pj570f32.8d6

2015-12-02 19:28 - 2015-12-02 19:28 - 00023884 _____ C:\Documents and Settings\slawek\Moje dokumenty\9txl16l6a8.946q

 

Infekcja nie jest już czynna, ale są do usunięcia pliki HELP_YOUR_FILES* z wszystkich dysków oraz inne drobne korekty.

 

1. Odinstaluj stare wersje: Java 8 Update 60, RealPlayer. Problemem jest też stary Adobe Reader XI (11.0.08) - Polish, nowsze wersje nie mają wsparcia dla XP, tę wersję którą masz co najwyżej można ręcznie zaktualizować do wersji 11.0.13 i to wszystko co się da na XP.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-12-03] ()
S3 GMSIPCI; \??\I:\INSTALL\GMSIPCI.SYS [X]
AlternateDataStreams: C:\Documents and Settings\slawek\Local Settings:init
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Program Files\ParetoLogic
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\ParetoLogic
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\7f30610
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\7164054
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\www.shadowexplorer.com
RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\www.shadowexplorer.com
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\cc3e11"
CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\a7905487f"
CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK"
CMD: del /q "C:\Documents and Settings\slawek\SendTo\Android (ALLPlayer Pilot).lnk"
CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys
CMD: attrib -r -h -s C:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s D:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s E:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s F:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s G:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s H:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s I:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s J:\HELP_YOUR_FILES.* /s
CMD: attrib -r -h -s K:\HELP_YOUR_FILES.* /s
CMD: del /q /s C:\HELP_YOUR_FILES.*
CMD: del /q /s D:\HELP_YOUR_FILES.*
CMD: del /q /s E:\HELP_YOUR_FILES.*
CMD: del /q /s F:\HELP_YOUR_FILES.*
CMD: del /q /s G:\HELP_YOUR_FILES.*
CMD: del /q /s H:\HELP_YOUR_FILES.*
CMD: del /q /s I:\HELP_YOUR_FILES.*
CMD: del /q /s J:\HELP_YOUR_FILES.*
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox\Extensions /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być przeogromny, jeżeli plików HELP_YOUR_FILES jest nadal spora ilość. Gdyby się nie zmieścił do załącznika, po prostu shostuj gdzieś log i dostarcz link.

Odnośnik do komentarza

Zadania zostały wykonane. Jeszcze poprawka na odpadkowe elementy po odinstalowaniu RealPlayer. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Real
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\Real
RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\RealNetworks
RemoveDirectory: C:\Program Files\Real
RemoveDirectory: D:\Documents and Settings\slawek\Pulpit\Stare dane programu Firefox
CMD: del /q C:\WINDOWS\Tasks\Real*.job

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe logi FRST nie są mi potrzebne.

Odnośnik do komentarza

tym razem how_recover

działanie brutalnie przerwane twardym resetem. restart w trybie awaryjnym i skanowanie Anti-Malware, który wykruł i pousuwał pewne zagrożenia

niektóre podejrzane pliki pokasowane manualnie

infekcja chyba nie jest aktywna bo dysk nie mieli

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

gmer.txt.txtPobieranie informacji ...

Odnośnik do komentarza

To jest ciągle ten sam komputer, tematy sklejam razem. I jest wysoce niepokojące, że nastąpił drugi nalot infekcji szyfrującej. Coś jest nieszczelne lub popełniono identyczny błąd jak wcześniej.

 

Tym razem infekcja TeslaCrypt i zaszyfrowane kopie plików z rozszerzeniem .vvv. Owszem, infekcja nie jest już aktywna, ale nadal są ślady po jej pobycie, zarówno w rejestrze, jak i na dysku. Przeprowadź następujące operacje:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] 
HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [browserMe] => C:\Documents and Settings\slawek\Dane aplikacji\BrowserMe\ChromeUpdate.exe
HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [a09b6bddd0] => C:\Documents and Settings\slawek\Dane aplikacji\a09b6bddd0\c09ec.exe
HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [HideSCAHealth] 1
RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev
CMD: del /q C:\DelFix.txt.vvv
CMD: attrib -h "C:\Documents and Settings\All Users\*.exe"
CMD: attrib -h "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att"
CMD: del /q "C:\Documents and Settings\All Users\*.exe"
CMD: del /q "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att"
CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\wpulog.txt"
CMD: attrib -r -h -s C:\how_recover* /s
CMD: attrib -r -h -s D:\how_recover* /s
CMD: attrib -r -h -s E:\how_recover* /s
CMD: attrib -r -h -s F:\how_recover* /s
CMD: attrib -r -h -s G:\how_recover* /s
CMD: attrib -r -h -s H:\how_recover* /s
CMD: attrib -r -h -s I:\how_recover* /s
CMD: attrib -r -h -s J:\how_recover* /s
CMD: attrib -r -h -s K:\how_recover* /s
CMD: del /q /s C:\how_recover*
CMD: del /q /s D:\how_recover*
CMD: del /q /s E:\how_recover*
CMD: del /q /s F:\how_recover*
CMD: del /q /s G:\how_recover*
CMD: del /q /s H:\how_recover*
CMD: del /q /s I:\how_recover*
CMD: del /q /s J:\how_recover*
CMD: del /q /s K:\how_recover*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt - jeśli za duży do załącznika, shostuj gdzieś i podaj link. I opisz co to za komputer, czy podlega jakiejś sieci, co robiono w obu przypadkach wystąpienia infekcji.

Odnośnik do komentarza

komputer nie jest w sieci

ten sam system na 2 dyskach, infekcja 2x przy starcie systemu z tego samego dysku

infekcje pociagniete z neta podejrzewam strone imagetwist.com (miał być plik jpg)

w obu przypadkach infekcji komputer zresetowany na twardo- mam jeden dysk ata, który strasznie mielił w trakcie szyfrowania plików.

pierwszym razem (późny, po około 1,5 godziny) restart w normalnym trybie, skan adware, a dnia następnego zauważone zmiany w plikach (zaszyfrowane) i skan Anti-Malware i HitManpro

drugim razem, restart w trybie awaryjnym (dość szybko, po kilku minutach), skan Anti-Malware i manulane kasowanie niektórych (głównie exe i unnych z czasem utworzenia około infekcji) plików w documents and settings

za drugim razem zaczęły również wyskakiwać jakieś komunikaty (chyba 2 lub 3), że coś się dzieje (jakieś pliki exe startują) 

 

w załączeniu pliki

Fixlog.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Odnośnik do komentarza

Znowu miałeś problem z poprawnym przeklejeniem zawartości skryptu z posta do Notatnika, sklejone linie, wiele zadań się nie wykonało. Powtarzaj skrypt o takiej postaci, przejścia do nowej linii mają być identyczne w Notatniku:

 

RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev
CMD: attrib -s -h "C:\Documents and Settings\All Users\*.exe"
CMD: del /q "C:\Documents and Settings\All Users\*.exe"
CMD: del /q C:\DelFix.txt.vvv
CMD: del /q C:\WINDOWS\mru.dat
CMD: attrib -r -h -s C:\how_recover* /s
CMD: attrib -r -h -s D:\how_recover* /s
CMD: attrib -r -h -s E:\how_recover* /s
CMD: attrib -r -h -s F:\how_recover* /s
CMD: attrib -r -h -s G:\how_recover* /s
CMD: attrib -r -h -s H:\how_recover* /s
CMD: attrib -r -h -s I:\how_recover* /s
CMD: attrib -r -h -s J:\how_recover* /s
CMD: attrib -r -h -s K:\how_recover* /s
CMD: del /q /s C:\how_recover*
CMD: del /q /s D:\how_recover*
CMD: del /q /s E:\how_recover*
CMD: del /q /s F:\how_recover*
CMD: del /q /s G:\how_recover*
CMD: del /q /s H:\how_recover*
CMD: del /q /s I:\how_recover*
CMD: del /q /s J:\how_recover*
CMD: del /q /s K:\how_recover*
EmptyTemp:

 

Dostarcz wynikowy fixlog.txt. Powinien być ogromny.

Odnośnik do komentarza

Skrypt wykonany. Te same kroki końcowe z DelFix do wykonania co poprzednio. Na dysku w katalogu "Moje dokumenty" są też zaszyfrowane śmieci, to już samodzielnie posprzątaj. Sugeruję jednak zrobić format dysku.

 

I teraz kwestia zabezpieczeń:

- Wtyczki Adobe Flash do aktualizacji. Poza tym, zaktualizowałeś już wprawdzie Adobe Reader, ale czy on naprawdę jest tu potrzebny?

- Podawałam programy specjalizowane w zabezpieczeniach przed szyfratorami. Na dysku widać tylko pobrany CryptoMonitor, ale nie zainstalowany. Czy były jakieś przeszkody? Jeśli ta aplikacja stwarza problemy, to skorzystaj z CryptoPrevent.

- Brak także jakiegokolwiek antywirusa. Dobierz z czołówki (nie z niszy) dowolnego darmowego lub komercyjnego, który Ci się podoba.

Odnośnik do komentarza
  • 5 miesięcy temu...

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację:

 

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...