Win32/Filecoder.EA.Gen Kłopot z komputerem i zaszyfrowane dane :(

[picasso]

Cytat

Przepraszam może coś przeoczyłem ale cyt: Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. - nie było usun dlatego zapytałem.

Tak, nie było, bo AdwCleaner nie jest wolny od błędów i fałszywych alarmów, dlatego najpierw sprawdzam w trybie "tylko do odczytu". Po jego weryfikacji zadałam czynności usuwające.

 

 

Jak mówiłam, wgląd do listy zaszyfrowanym plików musi poczekać, bo lista gruba. A teraz:

 

1. Już ostatnie poprawki. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3326234350-4050991087-374296464-1005\...\RunOnce: [scrSav] => C:\Windows\Screensavers\PackardBell\run_PackardBell
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicyUsers\S-1-5-21-3326234350-4050991087-374296464-1002\User: Group Policy restriction detected <======= ATTENTION 
SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1005 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\Users\Public\Desktop\CC Support
RemoveDirectory: C:\Users\Wujo\AppData\Local\IDTool
CMD: del /q "C:\Users\Wujo\Desktop\programy\Adobe Reader X.lnk"
CMD: del /q "C:\Users\Wujo\Downloads\Avast! Premier 2015 10.0.2206 + Crack [bRSHARES].exe"
CMD: del /q C:\Users\Wujo\Downloads\avast_premier_antivirus_setup_online.exe
CMD: del /q C:\Users\Wujo\Desktop\cccc.log
CMD: del /q C:\fix.txt
CMD: del /q C:\Windows\SetACL.exe
CMD: del /q C:\Windows\Minidump\*.dmp
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avast! Antivirus" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avast! Firewall" /f
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt.

 

2. Dla pewności zrób peny skan komputera za pomocą zainstalowanego MBAM. Dodatkowo jeszcze Hitman Pro. Jeśli coś znajdą, dostarcz raporty.

 

[romala]

Próba skanowania zakończyła się niebieskim ekranem - sterownik ekranu nvlddmkm.sys spowodował błąd

sprubuję sterownik przeinstalować

[picasso]

BSOD relatywny do sterownika karty graficznej. Sprawdź czy to jest powtarzalne.

[romala]

Gdzie mam to sprawdzić? mam ściągnąć program do tego np:BlueScreenView v1.52 i w nim sprawdzić czy tylko w podglądzie zdarzeń?

Narazie skanuję hitman - idzie i znalzał - na czerwono kilka  wpisów - usunąć?

[picasso]

Przecież jest wiadomo który sterownik był związany z błędem = sterownik graficzny nVidia:

 

Próba skanowania zakończyła się niebieskim ekranem - sterownik ekranu nvlddmkm.sys spowodował błąd

Pytam czy błąd się powtarza, czy może był to jednorazowy incydent.

[romala]

Mam log Hitnam :

 

HitmanPro_20150124_1556.txt

[picasso]

Hitman widzi tylko drobne szczątki. Wszystko usuń. Co ze skanem MBAM?

[romala]

MBAM trial sie skończył próbuję pobrać aktualizacje.

Hitman - 5 wpisów nieudane kasowanie

skanuje -MBAM

Niebieski ekran był jednorazowy ale troszkę wcześniej była niestabilność serownika lecz system przywrócił sterownik.

 

MBAM nic nie znalazło szukam logu

Już jest

 

Jeszcze raz zeskanowałem hitmanem - usunęło wszystkie wpisy.

Co dalej ?

 

MBAM log.txt

[picasso]

Proszę stosuj opcję Edytuj, gdy nikt jeszcze nie odpisał, a chcesz uzupełnić informacje. Wszystkie posty sklejam.

 

 

Cytat

MBAM nic nie znalazło szukam logu

I to Cię "martwi", że program nic nie znalazł? To bardzo dobrze, że wyników brak, system jest wyczyszczony porządnie. A te znaleziska Hitman to malutkie śmietki (związane z adware i ciastko) i nic szczególnego.

 

 

Cytat

Co dalej ?

 

vs.

 

picasso napisał:

Jak mówiłam, wgląd do listy zaszyfrowanym plików musi poczekać, bo lista gruba.

W międzyczasie możesz jeszcze zapuścić skan Kaspersky Virus Removal Tool. Domyślnie jest prowadzony ekspresowy przebieg, pełny skan ustawia się w opcjach.

 

[romala]

Witam ponownie.

Oczywiście że cieszyłem się że nie znalazł nic

Martwiłem się znalezieniem loga.

Ostatecznie go stworzyłem ponieważ ustawienia rozdzielczości okna nie pozwalały zobaczyć dolnej części okna programu - przesunełem dolny pasek i znalazłem właściwy klawisz:)

Kasperski zrobił co trzeba widziałem że znalazł 8 pozycji. Po zeskanowaniu ukazało sie okno z napisem po środku "Antyvirus service-911"  - co kolwiek to znaczy

Log ma 99,1 Mb - mam dostarczyć?- nie napisano. Dotyczy pełnego skanu komputera

W między czasie zainstalowałem antywirusa Esential od microsoftu i dałem pełny scan - też niczego nie znalazł.

Zastanawiam się co z plikami na dysku tymi poblokowanymi zamierzałem zebrać je w jednym miejscu a potem usunąć na nośnik zewnętrzny. I jeszcze jedna wątpliwość na dysku były zavirusowane pliki tekstowe z napisem -- decrypt all files itqinld -- te pliki były zarażone na 100 procent moja ochrona wyłapała natychmiast i skasowała pliki - czy myślisz że teraz są już bezpieczne? czy poprostu je usunąć?

Zastanawia mnie jeszcze jedno - czy programy do przywracania zawartości dysku po  formacie mogły by znaleźć pliki które nie były by zaszyfrowane -  ich wcześniejsze kopie? - no i czy nie znajdą virusów (teoretycznie)

Dołaczam logi manual disinfection report - ten jest mały wiec odrazu a drugi za chwilę z linku. http://kurierplikow.pl/pub/tekstowe/y9xf39937781

Czekam cierpliwie na odpowiedź.

I jeszcze jedno ten niebieski ekran pojawił się jescze dwa razy i jest jeszcze dziwne pikselowanie obrazu ale nie zawsze pojawiają sie jakieś pikselki - byc może to karta graficzna pada sprubuję usunąć całkowicie sterownik i ponownie go zainstalować, widać nadinstalowanie - z opcją czysta instalacja nie pomogło. A może wszystkie sterowniki nowe wgrać? Zastanowię się jeszcze.

Jest jeszcze jedna sprawa program Kasperskiego nie aktualizuje bazy danych - dlaczego?

 

Witam ponownie - coś mnie tknęło - skaner online eseta jak narazie 6 koni w tym 4 Win32filecoder.EA Gen

usunę te virusy i zobaczę co dalej

Ostateczny wynik to 29 infekcji - usuniętych.

 

manual disinfection report.txt

wirusy.txt

[picasso]

Cytat

Jest jeszcze jedna sprawa program Kasperskiego nie aktualizuje bazy danych - dlaczego?

To program jednorazowego użytku - kompilację ściąga się za każdym razem od nowa. Cytuję z supportu Kasperskiego:

 

Kaspersky Virus Removal Tool 2011 does not have a function to update its antivirus databases. The only way to actualize the tool is to download it again from Kaspersky Lab servers and install it.

It is also necessary to uninstall the previous version of Kaspersky Virus Removal Tool 2011 before installing a newer one. Your computer may crash to BSOD, hang and etc. in the result of simultaneous execution of more than one version.

 

 

Cytat

Kasperski zrobił co trzeba widziałem że znalazł 8 pozycji. Po zeskanowaniu ukazało sie okno z napisem po środku "Antyvirus service-911" - co kolwiek to znaczy

Log ma 99,1 Mb - mam dostarczyć?- nie napisano. Dotyczy pełnego skanu komputera

Mnie interesują tylko wyniki typu "Detected", a nie cały log z masą zbędnych informacji typu "OK" / "zablokowany" / "archiwum na hasło".

 

 

Cytat

Witam ponownie - coś mnie tknęło - skaner online eseta jak narazie 6 koni w tym 4 Win32filecoder.EA Gen

 

+

 

Cytat

I jeszcze jedna wątpliwość na dysku były zavirusowane pliki tekstowe z napisem -- decrypt all files itqinld -- te pliki były zarażone na 100 procent moja ochrona wyłapała natychmiast i skasowała pliki - czy myślisz że teraz są już bezpieczne? czy poprostu je usunąć?

ESET wykrył błahą część tej infekcji, tzn. te "pomocnicze" pliki TXT i HTML. One nie są groźne per se, zawierają "instrukcje" jak odszyfrować pliki, tzn. jak zapłacić haracz cyberprzestępcom. Reszta wyników z Documents i Downloads to mało istotne rzeczy, czyli po prostu instalatory z adware / downloadery.

 

 

Cytat

Zastanawia mnie jeszcze jedno - czy programy do przywracania zawartości dysku po formacie mogły by znaleźć pliki które nie były by zaszyfrowane - ich wcześniejsze kopie? - no i czy nie znajdą virusów (teoretycznie)

Dla porównania ta wypowiedź: KLIK. Tu było już tak dużo zapisów na dysku (samo działanie systemu Windows powoduje nieustanne zapisy), że rezultaty są mocno wątpliwe i podejrzewam, że nici z interesu. Gdy infekcja wystąpiła, należało natychmiast w momencie jej inicjacji odciąć komputer od prądu, by zablokować zapisy na dysku i od razu podjąć próbę zewnętrzną odzysku danych. W obecnej sytuacji: ani nie wiadomo jak długo trwała infekcja, ani nie wiadomo jak bardzo zapisy na dysku pogrążyły sprawę. Możesz oczywiście próbować, ale czarno to widzę. Poza tym, nie jestem pewna czy przypadkiem ten nowy wariant nie wbija zer na dysku w miejsce zastępowanych oryginałów, co uniemożliwia zastosowanie softu do odzysku danych.

 

 

Cytat

I jeszcze jedno ten niebieski ekran pojawił się jescze dwa razy i jest jeszcze dziwne pikselowanie obrazu ale nie zawsze pojawiają sie jakieś pikselki - byc może to karta graficzna pada sprubuję usunąć całkowicie sterownik i ponownie go zainstalować, widać nadinstalowanie - z opcją czysta instalacja nie pomogło. A może wszystkie sterowniki nowe wgrać? Zastanowię się jeszcze.

Ten wątek do działu Hardware. Załóż tam nowy temat z danymi wymaganymi działem: KLIK. Zlinkuj im też tutejszy temat, by wiedzieli co jeszcze się działo.

 

[romala]

Witam ponownie.

Przeskanuję jeszcze raz Kasperskim - nie wiem tylko jak ograniczyć log - czy mam sam to wyczesać jeżeli tak to napisz proszę. Program  jak zapewne wiesz jest w prawie zrozumiałym dla mnie języku angielskim wiec może coś przeoczyłem z tym logiem.

Co do Eseta i jego scanu - cieszę się że tak uważasz cyt (ESET wykrył błahą część tej infekcji, tzn. te "pomocnicze" pliki TXT i HTML). Jednak co by się stało gdyby te pliki przeniesiono gdzie indziej na inną maszynę. Ja nie mam aż takiego doświadczenia z virusami więc nie dziw się proszę reakcją zwykłych ludzi. Dla mnie - znaleziono wirus to wirus a jak on działa - nie wiem od razu.

Jeżeli chodzi o odzysk danych pamiętam co napisałaś i przejrzałem link który przesłałaś - dziękuję.

Sterownik odinstalowałem i zainstalowałem na nowo - działa i nie ma niebieskich ekranów. Jeżeli zaś coś nawali założę temat w odpowiednim dziale stosując się do zaleceń chyba że widzisz tu związek przyczynowo skutkowy który ja przeoczyłem. 

Reasumując nie dostarczyłem odpowiednich logów?

Co jeszcze trzeba zrobić?

 za godzinę Kaspersky zakończy podam log jak tylko to będzie możliwe.

[picasso]

Przeskanuję jeszcze raz Kasperskim - nie wiem tylko jak ograniczyć log - czy mam sam to wyczesać jeżeli tak to napisz proszę. Program jak zapewne wiesz jest w prawie zrozumiałym dla mnie języku angielskim wiec może coś przeoczyłem z tym logiem.

Nie pamiętam dokładnie opcji Kaperskiego, ale wydaje mi się, że w momencie gdy skan się ukończy jest dostępna zakładka z wynikiem skanu ograniczonym do wpisów "Detected" i to po prostu przekleić. I o ile dobrze sobie przypominam, ponowne uruchomienie nadpisuje poprzednie wyniki.

 

 

Co jeszcze trzeba zrobić?

Na razie nie ma na widoku szczególnych zadań. Nadal mam zaległy gruby log ze spisem zaszyfrowanych plików do obejrzenia. Nie mogę się zmobilizować, a czasu też mam mało, bo dużo topików w dziale.

[romala]

Witam raz jeszcze wygląda na to że nic nie znalazł - no threats detected -(nie wykryto żadnych zagrożeń) log chyba nie ma sensu Ale dodam bo coś na żólto wyśietlił.

Czekam na dalsze instrukcje.

 

Kasperski Log.txt

[picasso]

Jeśli chodzi o listę zaszyfrowanych plików, to można wyrzucić pliki nieistotne będące składową instalacji programów. Niestety z ważnymi plikami użytkownika nic nie da się zrbić.

 

1. Ważne zaszyfrowane pliki skopiuj z C na jakiś odrębny nośnik. Akcja tylko na wszelki wypadek, bo nie ma żadnych szans na odszyfrowanie danych.

 

2. Usuń wszystkie pozostałe pliki. Otwórz Notatnik i wklej w nim:

 

CMD: del /f /q /s C:\*.itqjnld

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Skrypt może się bardzo długo wykonywać. Przedstaw wynikowy fixlog.txt.

 

3. Po w/w operacji uruchom SystemLook na tych samych warunkach co poprzednio, by się upewnić, że brak już wyników.

[romala]

Witam i dziękuję za dalszą pomoc

Przesyłam logi : SystemLook oraz Fixlog

Czekam na dalsze kroki.

Komputer po restarcie zachowuje się normalnie.

 

SystemLook.txt

Fixlog.txt

[picasso]

Fix dużo usunął, ale nie wszystko. Maska nie objęła plików mających rozszerzenie BMP po sufiksie szyfracyjnym oraz plików z atrybutem ukrytym bądź ukrytym systemowym. Poprawka:

 

1. Do Notatnika wklej:

 

CMD: attrib -h -s C:\*.itqjnld
CMD: del /q /s C:\*.itqjnld
CMD: del /q /s "C:\Decrypt All Files itqjnld.bmp"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

 

2. Ponów szukanie SystemLook. Nie powinien nic pokazać.

[romala]

Witam - podaję nowe logi :

 

Fixlog.txt

SystemLook.txt

[picasso]

Coś mnie zaćmiło z komendą attrib, ona w podanej formie nie jest rekursywna, zapomniałam o przełączniku /s. Kolejny skrypt do FRST:

 

CMD: attrib -h -s C:\*.itqjnld /s
CMD: del /q /s C:\*.itqjnld

 

Podaj wynikowy fixlog.txt.

[romala]

Podaję nowy log :

 

Fixlog.txt

[picasso]

Teraz poszło. Na wszelki wypadek zapuść sobie SystemLook ponownie. Dysk C załatwiony. W spisie widzialnych partycji jest też mini partycja serwisowa HP_TOOLS. Przeglądnij ją ręcznie czy nie ma tego rodzaju plików zawierających frazę "itqjnld". Znalezione skasuj przez SHIFT+DEL (omija Kosz).

 

==================== Drives ================================

Drive c: (Packard Bell) (Fixed) (Total:286.27 GB) (Free:97.64 GB) NTFS ==>[System with boot components (obtained from reading drive)]
Drive f: (HP_TOOLS) (Removable) (Total:0.12 GB) (Free:0.01 GB) FAT 

 

[romala]

Nie znalazło nic - czy to już koniec naprawy? do hp servisowego  nie mogę dojść.

[picasso]

Tak, to już koniec. Czyli teraz:

 

1. Zastosuj DelFix (co nie zostanie usunięte już ręcznie załatw) oraz wyczyść foldery Przywracania systemu.

 

2. Sugerowane zabezpieczenie przed infekcjami szyfrującymi to aplikacja CryptoPrevent. Dostępna wersja darmowa.

 

3. Na wszelki wypadek wymiana wszystkich haseł logowania w serwisach (poczta, bank, serwisy społecznościowe, etc.).

[romala]

Dziękuję za pomoc dotacja Dotarła już pewnie więc wykonam zadania do końca i oddam komputer

Wielkie dzięki:)

Temat zamknięty