ona Opublikowano 13 Czerwca 2012 Zgłoś Udostępnij Opublikowano 13 Czerwca 2012 Witam, Zanim opiszę problem chciałam poinformowac, że jestem kompletnym laikiem w kwestii komputerów i wszystkiego co znimi związane dlatego też proszę o wyrozumiałośc. Jakiś czas temu po otworzeniu załącznika dołączonego do maila, zawirusowałam komputer. Ktoś pomógł mi uruchomic komputer awaryjnie (przy standardowym uruchomieniu wyskakiwało okienko z informacją o trojanie) i skorzystając z Eset online zeskanował komputer. Skanowanie, które trwało około godziny, wykryło konia trojańskiego Win32/Trustezeb.B i rzekomo go usuneło. Niestety zauważyłam, że nie mogę otworzyc wszystkich swoich plików tekstowych, muzycznych i zdjęc. Nazwy tych plików zmieniły się w szereg przypadkowych liter alafabetu. Kiedy próbuje otworzyc np. dokument tekstowy pojawia sie tekst złożony z "porozrzucanych liter i znaków". Ktoś zasugerował, żeby zesknowac komputer przy pomocy TDSSKiller.exe, tak też zrobiłam (nie mam pewności czy poprawnie). Skanowanie trwało około 20 sekund i nie wykryło żadnych wirusów. Jak mogłabym rozwiązac ten problem, czy jest jakiś sposób odzyskania moich plików. Ze względu na mój brak znajomości zagadnień informatycznych, bardzo prosze o udzielenie porady w miare obrazowy sposób. Na wszelki wypadek poodaje dodatkowe informacje (nie wiem, czy są one konieczne): Windows Vista Procesor: Intel® Core™2 Duo CPV T5750 @ 2,00GHz Pamięc (RAM) 3,00 GB Typ systemu: 32-bitowy system operacyjny Odnośnik do komentarza
picasso Opublikowano 13 Czerwca 2012 Zgłoś Udostępnij Opublikowano 13 Czerwca 2012 Zasady działu: KLIK. Wymagany komplet obowiązkowych logów OTL + GMER. Skanowanie, które trwało około godziny, wykryło konia trojańskiego Win32/Trustezeb.B i rzekomo go usuneło. Niestety zauważyłam, że nie mogę otworzyc wszystkich swoich plików tekstowych, muzycznych i zdjęc. Nazwy tych plików zmieniły się w szereg przypadkowych liter alafabetu. Kiedy próbuje otworzyc np. dokument tekstowy pojawia sie tekst złożony z "porozrzucanych liter i znaków". Objawy wskazują, że jest tu trojan, który szyfruje dane i jest wymagane dopasowane narzędzie deszyfrujące, w przeciwnym wypadku na danych krzyżyk. W bazie ESET jest do pobrania deszyfrator: KLIK. Z tym, że dotyczy wariantu Win32/Trustezeb.A, a Ty wspominasz o Win32/Trustezeb.B. Czy posiadasz dane co usuwał skaner ESET (chodzi o dokładną ścieżkę dostępu)? Niemniej, nie masz już nic do stracenia (dane i tak są zablokowane), próbuj tego deszyfratora. W pierwszej kolejności proszę jednak o logi, by się zorientować czy trojan ma czynne komponenty (w takiej sytuacji deszyfrowanie danych może być awykonalne). Ktoś zasugerował, żeby zesknowac komputer przy pomocy TDSSKiller.exe, tak też zrobiłam (nie mam pewności czy poprawnie). Skanowanie trwało około 20 sekund i nie wykryło żadnych wirusów. TDSSKiller nie jest ogólnym skanerem antywirusowym. Ma ściśle selektywny smak na wystąpienia określonych infekcji rootkit. Nie pasuje w ogóle pod Twój przypadek. . Odnośnik do komentarza
ona Opublikowano 16 Czerwca 2012 Autor Zgłoś Udostępnij Opublikowano 16 Czerwca 2012 "Czy posiadasz dane co usuwał skaner ESET (chodzi o dokładną ścieżkę dostępu)?" Niestety nie posiadam ścieżki dostępu. Podczas skanowania OTL pojawił się błąd "Win32 Error.Code23. Błąd danych (CRC)" i powstał tylko OTL.Txt (w załączeniu). Następnie użyłam skanowania DSS i wygenerowały się dwa logi DDS.txt i Attach.txt (w załączeniu). Przy próbie uruchomienia GMER wyświetlił się komunikat "...gmer.exe nie jest prawidłową aplikacją systemu Win32". Nie udało się zrobic skanowania RootRepeal z poziomu lowest level. RootRepeal wygenerował special raport (w załączaniu). OTL.Txt DDS.txt Attach.txt special raport.txt Odnośnik do komentarza
picasso Opublikowano 17 Czerwca 2012 Zgłoś Udostępnij Opublikowano 17 Czerwca 2012 Podczas skanowania OTL pojawił się błąd "Win32 Error.Code23. Błąd danych (CRC)" i powstał tylko OTL.Txt (w załączeniu).Następnie użyłam skanowania DSS i wygenerowały się dwa logi DDS.txt i Attach.txt (w załączeniu). Log z OTL jest także niepełny w obszarze głównego poboru danych, w ogóle nie została wyciągnięta część rejestru. Za to te dane podaje log z DDS. Przy próbie uruchomienia GMER wyświetlił się komunikat "...gmer.exe nie jest prawidłową aplikacją systemu Win32". Czy na pewno plik GMER został poprawnie zapisany na dysku, tzn. zapisał się w całości? W logach nie widzę czynnego składnika infekcji, lecz GMER nie został sprawdzony. Są widoczne tylko te podejrzane obiekty, ale to jak sądzę nowa postać Twoich plików tekstowych, zaszyfrowanych przez trojana: [2012-06-09 22:24:36 | 000,073,943 | ---- | C] () -- C:\Users\beata h\Documents\aeplTepOQTrJXDuNJOQr[2012-06-09 22:01:22 | 000,806,400 | ---- | C] () -- C:\Users\beata h\Documents\xVsdxftdGALqEA To próbuj już tego deszyfratora ESET. Pobierz narzędzie z artykułu i podaj wyniki czy coś zdziałało. . Odnośnik do komentarza
ona Opublikowano 13 Lipca 2012 Autor Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Przepraszam, że tak późno odpisuje. "Są widoczne tylko te podejrzane obiekty, ale to jak sądzę nowa postać Twoich plików tekstowych, zaszyfrowanych przez trojana" Tak, to nowa postac moich plików. "To próbuj już tego deszyfratora ESET. Pobierz narzędzie z artykułu i podaj wyniki czy coś zdziałało" Pobrałam (mam nadzieje, że poprawnie). Kiedy probuje otworzyc dany plik tym deszyfratorem pojawia się okienko z trzema możliwościami: "decode", "decode using clean file", "exit". Po wybraniu opcji "decode" otwiera się kolejne okienko: "Cant find windows original wallpaper file. Try to decode with clean file". Zatem nic mi się nie udało odkodowac. Odnośnik do komentarza
picasso Opublikowano 13 Lipca 2012 Zgłoś Udostępnij Opublikowano 13 Lipca 2012 Ciężka sprawa. Spróbuj za pomocą TestDisk wyszukać w czeluściach dysku starszą (niezaszyfrowaną) postać plików. Gdyby się udało je odzyskać, te zaszyfrowane przez trojana wyrzucić z dysku. Odnośnik do komentarza
ona Opublikowano 9 Sierpnia 2012 Autor Zgłoś Udostępnij Opublikowano 9 Sierpnia 2012 Witam, Dla mnie to zbyt skomplikowane więc zrezygnowałam z TestDisk ale dziękuje za wskazówki. Odnośnik do komentarza
ona Opublikowano 13 Października 2012 Autor Zgłoś Udostępnij Opublikowano 13 Października 2012 Witam, Chciałam jednak zadac dodatkowe pytanie dotyczące tamej sprawy. Czy mogę usunąc wszystkie pliki które zostały zakodowane przez ten trojan (nie mam na myśli moich własnych plików tekstowych, muzycznych czy zdjęc) Chodzi mi o pliki, których osobiście nie tworzyłam, znajdujące się w róznych lokalizacjach, np.: C:\Intel\Logs, C:\MEDIA\CAGCAT10, C:\MEDIA\OFFICE11\BULLETS, C:\Toshiba\Webshops...itd i jeszcze w wielu innych lokalizacjach. Dodam, że nazwy tych plików to szereg przypadkowych liter np.: OuNJOQrveXDTsXDTeXlTu, a we właściowościach, z zakładce "typ pliku" jest napisane "plik". Odnośnik do komentarza
picasso Opublikowano 15 Października 2012 Zgłoś Udostępnij Opublikowano 15 Października 2012 zy mogę usunąc wszystkie pliki które zostały zakodowane przez ten trojan (nie mam na myśli moich własnych plików tekstowych, muzycznych czy zdjęc) Tak, te pliki zaszyfrowane przez trojana możesz usunąć. Odnośnik do komentarza
ona Opublikowano 15 Października 2012 Autor Zgłoś Udostępnij Opublikowano 15 Października 2012 Dziękuje za odpowiedź. Odnośnik do komentarza
Rekomendowane odpowiedzi