pansamochodzik Opublikowano 9 Czerwca 2016 Zgłoś Udostępnij Opublikowano 9 Czerwca 2016 witam Prawdopodobnie dopadł mnie TeslaCrypt ,mam pozmieniane pliki pdf i wiele niechcianych skryptów w różnych folderach. Wyskakuje mi też jako tło jakaś instrukcja jak mogę odszyfrować swoje pliki. malwarebytes w trybie awaryjnym wykrył mi ponad 90 różnych zagrożeń które usunołem. Widziałem że zamieściliście https://www.fixitpc.pl/topic/30413-eset-teslacrypt-decrypter/ ten link ale za groma nie potrafię się tym obsłużyć. Zamieszczam logi i proszę łopatologicznie wytłumaczyć jak się tego pozbyć . Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2016 Zgłoś Udostępnij Opublikowano 9 Czerwca 2016 Gdyby chodziło tu o TeslaCrypt, nie byłoby problemu. Niestety to nie TeslaCrypt. Ta infekcja jest już martwa i nie jest instalowana, w exploitach zastąpiono ją nową generacją szyfratorów. Złapałeś nową infekcję CryptXXX / UltraCrypter, widać w raporcie zakodowane pliki: 2016-06-08 10:14 - 2016-06-08 10:14 - 00230943 ____R C:\Users\Marek\Downloads\umowa_rezerwacja_5629.pdf.crypz Do wglądu ten temat i mój ostatni post: KLIK. Odkodowanie danych awykonalne. Jedyne więc co jestem w stanie tu zdziałać, to usunąć tylko obiekty startowe, w tym notatki ransom i plik przejętej tapety, oraz jakieś drobne śmieci. Na dalszą metę zalecany format dysku systemowego. Doraźne doczyszczanie systemu: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!1BEBA2CC2C7D.lnk [2016-06-09] Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!1BEBA2CC2C7DB.lnk [2016-06-09] Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!1BEBA2CC2C7DH.lnk [2016-06-09] HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,c:\program files\soluto\soluto.exe /userinit, Task: {8438EC2F-88FC-4153-ABA5-6A514A1D8A65} - System32\Tasks\Dropbox 1D => C:\Program Files (x86)\Dropbox\Client\Dropbox.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" R3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] SearchScopes: HKU\S-1-5-21-3377222215-263577021-991360115-1001 -> DefaultScope {AD627D66-48D3-45B5-B45D-AAED37AAE370} URL = CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\ProgramData\*.* C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Marek\AppData\Local\Dropbox C:\Users\Marek\AppData\Local\Temp\Low\explorer.exe C:\Users\Marek\AppData\Roaming\*.* C:\Users\Marek\AppData\Roaming\Dropbox C:\Users\Marek\AppData\Roaming\Mozilla C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Public\Desktop\Skype.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Skoryguj tło Pulpitu Windows wybierając dowolny niezaszyfrowany plik jako nową tapetę. 3. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > pozbądź się Adobe Reader XI (11.0.16) MUI, Java 6 Update 22, Soluto. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Amazon 1Button App > Dalej. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
pansamochodzik Opublikowano 9 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2016 ad1. wykonane ad2. nie mam żadnego pliku zdrowego ad3. Adobe nie mogę odinstalować pojawia się komunikat jak w załączniku. reszty nie zrobiłem bo nie wiem czy mogę bez odinstalowania Adobe Jestem załamany:-( wszystkie zdjęcia pociechy parę tysięcy i wszystkie pdf ,wordy poszły w p.... Myslałem że to tylko C zainfekowało a dwie pozostałe partycje z danymi ,muzyką itp. mają foldery z rozszezeniem .cyrpz proszę napisać co dalej Odnośnik do komentarza
picasso Opublikowano 9 Czerwca 2016 Zgłoś Udostępnij Opublikowano 9 Czerwca 2016 ad3. Adobe nie mogę odinstalować pojawia się komunikat jak w załączniku. reszty nie zrobiłem bo nie wiem czy mogę bez odinstalowania Adobe Skorzystaj ze specjalizowanego firmowego usuwacza Adobe Reader linkowanego w przyklejonym: KLIK. Po tym dostarcz logi, o których mówiłam. Jestem załamany:-( wszystkie zdjęcia pociechy parę tysięcy i wszystkie pdf ,wordy poszły w p.... Myslałem że to tylko C zainfekowało a dwie pozostałe partycje z danymi ,muzyką itp. mają foldery z rozszezeniem .cyrpz Bardzo mi przykro, ale nie jestem w stanie nic poradzić. Niestety infekcje szyfrujące atakują wszystkie dostępne dyski, wliczając sieciowe (w zależności od infekcji nawet nie musi być mapowania). Jedyne co jeszcze można spróbować, ale tylko na dysku C: ==================== Restore Points ========================= 24-05-2016 18:29:52 Installed Java 6 Update 22 02-06-2016 14:44:36 Scheduled Checkpoint Użycie ShadowExplorer, by spróbować odzyskać dane z dysku C. Warunkiem jest jednak, że infekcja zaczęła działać po pierwszym punkcie przywracania. Odnośnik do komentarza
pansamochodzik Opublikowano 9 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 9 Czerwca 2016 czyli nie mam co próbować tego co kolezanka z postu wcześniejszego? czy powinienem zgrać te zainfekowane zdjęcia ( bo na nich mi najbardziej zależy) iliczyć że coś kiedyś im pomoze? teraz już nie mam nic ważnego na kompie(mam go rok) czy sugerujesz jakieś kroki aby odświeżyć system,jak tak to co ? dziękuję za cierpliwość :-) FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2016 Zgłoś Udostępnij Opublikowano 10 Czerwca 2016 czyli nie mam co próbować tego co kolezanka z postu wcześniejszego? W tamtym temacie był inny wariant - zaszyfrowane pliki *.crypt (CryptXXX), tu jest nowszy wariant *.crypz (UltraCrypter). Brak dekodera. Na dodatek, uiszczenie opłaty przestępcom także nie gwarantuje otrzymania klucza: KLIK. czy powinienem zgrać te zainfekowane zdjęcia ( bo na nich mi najbardziej zależy) iliczyć że coś kiedyś im pomoze? Zaszyfrowane pliki można zgrać na zewnętrzny nośnik lub pozostawić na bieżących dyskach. Zaszyfrowane dane nie są szkodliwe. teraz już nie mam nic ważnego na kompie(mam go rok) czy sugerujesz jakieś kroki aby odświeżyć system,jak tak to co ? Po ataku infekcji szyfrującej dane jest sugerowany format dysku systemowego, do wykonania w wygodnym dla siebie czasie. Skrypt FRST wykonał się tylko częściowo. Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 AdobeARMservice; "c:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] Task: {F4246F33-17F0-4637-910E-1C34412DE3C0} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-04-22] (Adobe Systems Incorporated) SearchScopes: HKU\S-1-5-21-3377222215-263577021-991360115-1001 -> DefaultScope {AD627D66-48D3-45B5-B45D-AAED37AAE370} URL = BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => No File DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\ProgramData\*.* C:\ProgramData\Adobe C:\ProgramData\McAfee C:\ProgramData\Soluto C:\ProgramData\Sun C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Reader XI.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Marek\AppData\Local\Adobe C:\Users\Marek\AppData\Local\Dropbox C:\Users\Marek\AppData\Local\Temp\Low C:\Users\Marek\AppData\Roaming\*.* C:\Users\Marek\AppData\Roaming\Adobe C:\Users\Marek\AppData\Roaming\Dropbox C:\Users\Marek\AppData\Roaming\Mozilla C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Marek\Desktop\Adobe Reader XI.lnk C:\Users\Marek\Desktop\Adobe - skrót.lnk C:\Users\Public\Desktop\Skype.lnk C:\WINDOWS\SysWOW64\deployJava1.dll EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
pansamochodzik Opublikowano 10 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2016 za pierwszym razem wyskoczył jakiś błąd systemowy win za drugim chyba się udało :-) Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2016 Zgłoś Udostępnij Opublikowano 10 Czerwca 2016 To już drugie podejście w którym FRST zastopował na kluczu Mozilla, ale skrypt się wykonał. W zakresie czyszczenia systemu kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\Users\Public\Pokki. Jakoś go przeoczyłam. 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 3. Lista pomocnych programów zabezpieczających: KLIK. Odnośnik do komentarza
pansamochodzik Opublikowano 10 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2016 log po delfix chcę wszystkie uszkodzone pliki wrzucić do jednego folderu , w każdym folderze są pliki wirusa z tą samą nazwą !BEBA2CC2.... czy mam ja ręcznie pousuwać ,może jest sposób zbiorczy :-) a może będą potrzebne jak będzie możliwość odzyskania danych? DelFix.txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2016 Zgłoś Udostępnij Opublikowano 10 Czerwca 2016 1. W raporcie widziałam te pliki tylko w folderach Startup i ProgramData. Skoro one są we wszystkich folderach, to wklej do Notatnika: attrib -r -h -s C:\!1BEBA*.* /s attrib -r -h -s E:\!1BEBA*.* /s del /q /s C:\!1BEBA*.* del /q /s E:\!1BEBA*.* pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako administrator. Otworzy się czarne okno w którym będą przelatywać masowo linie wykazujące rekursywne usuwanie z obu dysków plików spełniających warunki zastosowanej maski. 2. DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Odnośnik do komentarza
pansamochodzik Opublikowano 10 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2016 ok zniknęły :-) mam teraz taką ochronę na kompie -Crystal Security -Malwarebytes Anti-Malware (MBAM) -Reason Core Security Standard Protection -Bitdefender Anti-Ransomware -CCleaner co Twoim zdaniem zainstalować jeszcze z listy forumowej? czyli teraz powinienem zrobić format dysku systemowego czy wszystkich na kompie? Format przez windowsa? Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2016 Zgłoś Udostępnij Opublikowano 10 Czerwca 2016 mam teraz taką ochronę na kompie Jeśli rzecz o ochronie przed infekcjami szyfrującymi, to sugeruję dorzucić Malwarebytes Anti-Exploit. To jest inny rodzaj ochrony niż limitowana szczepionka Bitdefender, a funkcjonalność ta nie jest częścią MBAM (i w wersji darmowej w ogóle brak osłony). czyli teraz powinienem zrobić format dysku systemowego czy wszystkich na kompie? Format przez windowsa? Chodziło mi tylko o dysk systemowy. Krok opcjonalny, choć sugerowany. Odnośnik do komentarza
pansamochodzik Opublikowano 10 Czerwca 2016 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2016 jeśli uważasz że to wszystko co można zrobić ,więc dziekuje bardzo za pomoc :-) "rozważę" dotację :-) pzdr MP Odnośnik do komentarza
picasso Opublikowano 14 Lipca 2016 Zgłoś Udostępnij Opublikowano 14 Lipca 2016 Otwieram temat. Po zalogowaniu do panelu opłat przestępcy dają za darmo klucze do odszyfrowania wariantów .crypz i .cryp1 (i tylko i wyłącznie dla tych): KLIK. Jest niejasne co się dzieje, to może być jakiś błąd w "obsłudze" panelu, więc trzeba się śpieszyć. Odnośnik do komentarza
pansamochodzik Opublikowano 6 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2016 witam dopiero teraz zobaczyłem Twoj wpis, nie wiem jak mam to ugryżć ,proszę napisz dokładnie jak z tego skorzystać .Moje pliki mają rozszerzenie crypz pzdr MP Odnośnik do komentarza
picasso Opublikowano 6 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 6 Sierpnia 2016 Należało zalogować się do panelu opłat zgodnie z wytycznymi na planszy okupu. Niestety z tego co wyczytałam już zrobiono "reset" systemu i skończyło się rozdawanie kluczy za darmo. Odnośnik do komentarza
pansamochodzik Opublikowano 6 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 6 Sierpnia 2016 gapa ze mnie :-( ale jak do tego panelu się zalogować skoro wszystko usuneliśmy i tylko zostawiłe folder z uszkodzonymi plikami. Naprawdę nie da się nic zrobić? Odnośnik do komentarza
trip017 Opublikowano 7 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 7 Sierpnia 2016 Spróbuj napisać do dr.web. Wymagają przesłania zaszyfrowanych plików jpg i doc. Udostępniają deszyfrator za 150 euro. Odnośnik do komentarza
picasso Opublikowano 14 Września 2016 Zgłoś Udostępnij Opublikowano 14 Września 2016 Ja tylko dodam, gdyby ktoś inny szukał informacji, że Dr. Web dekoduje warianty infekcji, jeśli infekcja nastąpiła przed czerwcem 2016: Files compromised by CryptXXX can now be decrypted by Doctor Web. Obecnie nie ma innych możliwości. Wprawdzie Trend Micro Ransomware File Decryptor deklaruje obsługę formatu crypz, ale dekodowanie może być tylko częściowe (wynikiem są i tak uszkodzone pliki). Odnośnik do komentarza
picasso Opublikowano 20 Grudnia 2016 Zgłoś Udostępnij Opublikowano 20 Grudnia 2016 Nowe wieści: KLIK. Kaspersky złowił określoną pulę kluczy do nowszych wariantów CryptXXX i zaktualizował dekoder RannohDecryptor pod kątem odkodowania wariantów o rozszerzeniach .crypt, .cryp1, .crypz. Niemniej nie ma gwarancji, że pliki da się odkodować. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się