quinto Opublikowano 27 Marca 2016 Zgłoś Udostępnij Opublikowano 27 Marca 2016 Cześć. Wczoraj spotkał mnie przykry incydent gdy próbowałem pobrać na szybko instalkę firefoxa, otworzyłem plik instalacyjny z jakiejś stronki z instalkami bez czekania na przeskanowanie. Zaszyfrowało mi kilkadziesiąt dokumentów, prawie połowę z tych, które miałem. W miarę szybko odłączyłem internet, przeszedłem w tryb awaryjny z obsługą sieci i skopiowałem sobie ocalałe dokumenty na pendrive. Zrobiłem też skany Malwarebytes i Spybotem. Z tego z czym zdążyłem się zapoznać nie ma co liczyć na odzyskanie plików, proszę zatem o informację czy wirus jeszcze jest czynny i czy konieczny jest format (wolałbym go uniknąć). Mam postawione na komputerze dwa systemy: winXP na partycji d i win7 na c. Do zainfekowania doszło podczas użytkowania win7, który siedzi na c, z niej też pochodzi GMER. EDIT: Wirus od czasu zainfekowania do wyłączenia przeze mnie komputera miał około 1 minuty swobody. W tym czasie zaszyfował mi około 30% plików programu MS Word, których miałem pierwotnie jakieś 300-400. Wszystkie dokumenty, które ocalały mają rozszerzenie .docx, więc poleciały wszystkie zapisane w starszym wordowskim formacie. Nie mogę jednak stwierdzić, że nie zaszyfrowało żadnego .docx. Nie zaszyfrowało mi żadnych zdjęć, ani innych plików, tylko dokumenty. Addition.txt FRST.txt GMER.txt Shortcut.txt Odnośnik do komentarza
trip017 Opublikowano 27 Marca 2016 Zgłoś Udostępnij Opublikowano 27 Marca 2016 Mam pytanie, czy miałeś aktywnego ESETa w momencie infekcji (tj. ważna licencja / najnowsze bazy wirusów). Jestem po prostu ciekaw czy ESET przepuścił taki syf. Rada na przyszłość: regularnie twórz kopie bezpieczeństwa. Ważne, abyś nie tworzył kopii na zamontowany udział sieciowy, bo jego zawartość też może zostać zaszyfrowana w takiej infekcji. Kopie twórz na płyty CD / DVD, na FTP, na darmowe dyski w chmurze (np. google drive), albo na zewnętrzny dysk USB lub pendrive. Odnośnik do komentarza
quinto Opublikowano 27 Marca 2016 Autor Zgłoś Udostępnij Opublikowano 27 Marca 2016 Eset był aktywny, ale nie aktualizowany od jakichś dwóch miesięcy. Tego win7 używam jedynie do gier, do internetu się tam nie podłączam nawet, dlatego nie miałem nawet przeglądarki. Wczoraj zrobiłem wyjątek, spieszyłem się no i pech. Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2016 (edytowane) Tak, jak już wspominasz, odszyfrowanie plików nie jest możliwe. Infekcja nie jest już aktywna - w starcie jest tylko martwy wpis "mlkji". System jest kiepsko zabezpieczony: archaiczny ESET z 2009 (!), niepełne aktualizacje (IE9) i stary niebezpieczny Adobe Flash dla Internet Explorer. Widziany tu ESET to ułuda zabezpieczeń, a aktualność baz danych to za mało. Moim zadaniem będzie tylko doczyszczenie systemu w stopniu podstawowym. Czyli: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 16 ActiveX, gdyż to właśnie exploity Adobe są jedną z przyczyn infekcji szyfrujących. Pozbądź się także Spybot - Search & Destroy, mało skuteczny dziś i niepolecany program. Czyszczenie infekcji pewnie wykonał MBAM, a nie Spybot. Na dalszą metę konieczne usunięcie ESET i zastąpienie czymś nowoczesnm z tej listy: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3811378809-90562482-1901480312-1000\...\Run: [DAEMON Tools Lite] => "E:\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-3811378809-90562482-1901480312-1000\...\Run: [mlkji] => "c:\users\f\appdata\local\mlkji.exe" /r CustomCLSID: HKU\S-1-5-21-3811378809-90562482-1901480312-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> E:\HAWX2\orbit\npuplaypc.dll => Brak pliku DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\F\AppData\Local\mlkji.gdb C:\Users\F\AppData\Local\mlkji.gss C:\1475950A61CA437AD33E7E9D655E4A0F.locky EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi