sznurek2 Opublikowano 20 Lutego 2016 Zgłoś Udostępnij Opublikowano 20 Lutego 2016 Jak w temacie moj laptop zostal zainfekowany jakims swinstwem, ktore z tego co widze zmienia nazwy plikow poprzez dodanie roszerzenia .mp3 do wczesniejszej nazwy (przed infekcja np. "dom.txt" ---> po infekcji "dom.txt.mp3"), szyfruje pliki, oraz rozsyla do wszystkich zainfekowanych katalogow pliki o nazwie "recovery+"kilka losowych znakow o rozszerzeniach txt, png oraz html) z instrukcja w jezyku angielskim jak odszyfrowac ("zaplacic itd") zainfekowane pliki. Dziwne jest ze poniekad zbieglo sie to z problemami z aktualizacja systemu na laptopie Windows 7, ktora zdaniem systemu byla czesciowo udana. Nastepnego dnia (dzien wykrycia infekcji) byly rozne problemy np z uruchomieniem menedzera zadan, ktory od razu sie wylaczal. Malwarebytes niczego nie wykrył (aktualizowany był tydzien temu). Avira w tym czasie wykryl kilka niepozadanych plikow, ktore mogly byc zrodlem problemu. Przy zamykaniu systemu mignela na chwile jakas "reklama" ad.fly czy cos takiego. Nie wiem czy bezpieczne jest w takim stanie uruchamianie internetu na laptopie i czy ta infekcja bedzie postepowac. Prosze o pomoc. Edycja - dolaczenie logow Edycja2 - dolaczenie nowych logow po tym jak uaktualniony malwarebytes wykryl i "usunal" szkodliwy plik (ogypjevoxrei.exe) co najprawdopodobniej spowodowalo powstrzymanie dalszego szyfrowania plikow, ale pozostalosci po infekcji pozostaly gdyz przy kazdym uruchomieniu systemu pojawia sie okno konsoli do wprowadzania komend oraz komunikat ze z powodu braku usunietego pliku nie jest mozliwe wykonanie instrukcji programu czyli jak mysle dalszego szyfrowania i rozsylania wiadomosci do wszystkich zainfekowanych katalogow. Niestety znaczna ilosc plikow została zaszyfrowana i jesli jest mozliwosc ich odszyfrowania to bylbym zobowiazany gdyby ktos moglby mi cos w tej kwestii poradzic. FRST.txt Addition.txt Shortcut.txt glmoegr.txt FRST2.txt Shortcut2.txt Addition2.txt gmerlog2.txt Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2016 O ile problem nadal aktualny: To infekcja TeslaCrypt 4.0, opis tu: KLIK. Niestety odkodowanie plików jest awykonalne. Jedyne co jest w moim zasięgu, to doczyszczenie elementów infekcji (pustych już wpisów startowych i masowo wyprodukowanych notatek "recover") oraz starych programów (luki w Adobe i Java to jedna z dróg tego rodzaju infekcji). Próbując usuwać infekcję doinstalowałeś lewy skaner SpyHunter. Pod kątem doczyszczania: 1. Deinstalacje: Jest tu niepoprawnie odinstalowany, lecz aktywny McAfee. Zastosuj firmowe narzędzie McAfee Consumer Product Removal Tool. Odinstaluj via Panel sterowania: Acrobat.com, Adobe AIR, Adobe Flash Player 20 ActiveX, Adobe Reader 9.5.5 MUI, DNA, Java 8 Update 51 (64-bit), Java 8 Update 51, Mozilla Firefox (3.6.13), Norton Online Backup, OpenOffice.org 3.3, SpyHunter 4. Przy deinstalacji Firefox potwierdź usuwanie danych użytkownika, resztę doczyści skrypt podany poniżej. W przypadku kłopotów z deinstalacją SpyHunter, skorzystaj z automatu SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [nwhskfqivdvd] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [hrgvpsxasune] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [gicnkrfusfkd] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [iasclukcnasv] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" HKU\S-1-5-21-4187990256-1465665935-2649587895-1000\...\Run: [hwdqlyhbdvda] => C:\Windows\system32\cmd.exe /c start "" "C:\Users\Dom\Documents\ogypjevoxrei.exe" Task: {09E3109C-F1B0-4D02-9351-6E95AB5B5001} - System32\Tasks\{63A9B410-4C7D-490F-8780-CEEE9F64EC5F} => pcalua.exe -a C:\Users\Dom\AppData\Local\Temp\jre-8u60-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {A36E5181-0A03-4B56-8E6A-DE33F27EE995} - System32\Tasks\{1CF58CB6-B48D-42AF-943C-0BC1881C5CE2} => pcalua.exe -a C:\Users\Dom\AppData\Local\Temp\jre-8u66-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {BEBC17E8-1614-413A-B27C-B3A4EBF453DB} - System32\Tasks\Zamknij PC => shutdown Task: {FBA30705-4B13-45FB-B9D7-D35EB31FB076} - System32\Tasks\{99658704-DEE9-4567-9BFE-487BDEE4698B} => pcalua.exe -a C:\Users\Konto\Desktop\Masse\PhSp_CS2_English.exe -d C:\Users\Konto\Desktop\Masse BHO: Brak nazwy -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adzworks DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcpltui_exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\{b26e72f8-0c20-6dca-b26e-e72f80c2cbe0} RemoveDirectory: C:\ProgramData\{CA2FACF7-9029-4A21-892B-E7F60B39FF1A} RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Symantec RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Glorylogic RemoveDirectory: C:\Users\Dom\AppData\LocalLow\7C029D65 RemoveDirectory: C:\Users\Dom\AppData\Local\Mozilla RemoveDirectory: C:\Users\Dom\AppData\Local\Microsoft\Windows\GameExplorer\{1B008B11-31F3-4E4F-A4A0-9108F6C35685} RemoveDirectory: C:\Users\Dom\AppData\Roaming\2006C96F RemoveDirectory: C:\Users\Dom\AppData\Roaming\7C029D65 RemoveDirectory: C:\Users\Dom\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Dom\AppData\Roaming\Real RemoveDirectory: C:\Users\Konto\AppData\Local\Microsoft\Windows\GameExplorer\{FF270D74-BFCB-4BAD-AF08-9B61CA9C85D0} RemoveDirectory: C:\Users\Konto\AppData\Local\Microsoft\Windows\GameExplorer\{9A5249AF-1466-4851-861D-5B95EA28DF65} RemoveDirectory: C:\Users\Konto\AppData\Local\Microsoft\Windows\GameExplorer\{7AF3C831-CBAC-4C9A-949E-5E11A6897A94} RemoveDirectory: C:\Users\Robert RemoveDirectory: C:\Users\Saber C:\Program Files (x86)\GUT5B1B.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bloodshed Dev-C++\License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\My Free Mahjong\Readme\License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\My Free Mahjong\Readme\Readme.lnk C:\Users\Dom\AppData\Local\{*} C:\Users\Konto\AppData\Roaming\Microsoft\Windows\SendTo\ISO Workshop.lnk C:\Windows\SysWOW64\*.tmp CMD: netsh advfirewall reset CMD: for /d %f in (C:\Users\Dom\AppData\Local\{*}) do rd /s /q "%f" CMD: attrib -r -h -s C:\Recovery+* /s CMD: del /q /s C:\Recovery+* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Fix może się długo wykonywać, ze względu na rekursywne usuwanie plików ransom z całego dysku C. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt - może być ogromny i gdyby się nie zmieścił, shostuj go na jakimś serwisie zewnętrznym i podaj link do pliku. Odnośnik do komentarza
picasso Opublikowano 23 Maja 2016 Zgłoś Udostępnij Opublikowano 23 Maja 2016 (edytowane) "Projekt" TeslaCrypt został zamknięty, o dziwo przestępcy upublicznili klucz i w dekoderach TeslaDecoder lub ESET TeslaCrypt decrypter jest już możliwe odkodowanie plików zakodowanych przez TeslaCrypt 3 i 4 (rozszerzenia .xxx, .ttt, .micro, .mp3 lub brak zmiany w rozszerzeniach). Edytowane 11 Lipca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi