Skocz do zawartości

Problem z zakodowanymi plikami na moim PC


Rekomendowane odpowiedzi

Witam.

Mam problem z jakimś obcym programem który dostał się do mojego komputera i zakodował mi wszystkie prywatne pliki (zdjęcia, pliki notatnika, etc.) 

Nie mogę sobie z nim poradzić i dlatego proszę o pomoc w tej sprawie.

 

Program po każdym uruchomieniu komputera wprowadza do niemalże każdego folderu swoje pliki z informacją o zakodowaniu. (załączam je na screen-ach)

 

Załączam także scan-y z FRST i GMER.

 

Jeśli ten temat już się pojawił gdzieś na forum, proszę o przekierowanie do niego..

 

Będę wdzięczny za pomoc w zdiagnozowaniu problemu.

 

 

Addition.txt

FRST.txt

GMER.txt

post-17618-0-11560000-1460273419_thumb.jpg

post-17618-0-39000000-1460273423_thumb.jpg

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

To infekcja Tesla Crypt 4.0. Bardzo mi przykro, ale nie ma możliwości odkodowania danych.... Podobny temat na forum: KLIK. Twierdzisz, że po każdym uruchomieniu są dodawane nowe pliki. W podanych tu raportach nie widać żadnych oznak tej infekcji, ona już nie jest aktywna. Przeinstalowałeś system dzisiaj rano przed założeniem tematu:

 

Windows 8.1 (X64) (2016-04-10 07:42:11)

 

 

Nie ma rozwiązania dla zakodowanych plików. Jedyne w czym jestem w stanie pomóc, to masowe usunięcie notatek ransom z innych dysków niż co dopiero sformatowany C, a przy okazji usunięcie śmieci integrowany na Lenovo oraz szczątków po odinstalowanym McAfee. Pod tym kątem:

 

1. Deinstalacje firmowych programów Lenovo:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Host App Service, Lenovo Browser Guard (firmowe adware), Lenovo Experience Improvement, Start Menu

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => Brak pliku
AppInit_DLLs-x32: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => Brak pliku
Task: {0BB6DC28-A179-45BA-9A1D-CE0808E77397} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo)
Task: {27D6BBD7-E46A-49A9-A83E-0D4F60FFC9DD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo)
S2 0124231460274210mcinstcleanup; C:\WINDOWS\TEMP\012423~1.EXE [851136 2014-05-20] (McAfee, Inc.)
S4 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe" [X]
S2 mfevtp; "C:\WINDOWS\system32\mfevtps.exe" [X]
S3 TESHelper; c:\Program Files\Common Files\Lenovo\Magic Transfer\x64\MagicTransferTESHelper.exe [X]
S0 cfwids; system32\drivers\cfwids.sys [X]
S0 mfeapfk; system32\drivers\mfeapfk.sys [X]
R0 mfeavfk; system32\drivers\mfeavfk.sys [X]
S0 mfeelamk; system32\drivers\mfeelamk.sys [X]
S0 mfefirek; system32\drivers\mfefirek.sys [X]
R0 mfehidk; system32\drivers\mfehidk.sys [X]
R0 mfewfpk; system32\drivers\mfewfpk.sys [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
C:\ProgramData\McAfee
C:\WINDOWS\system32\VisualDiscoveryOff.ini
C:\WINDOWS\SysWOW64\VisualDiscovery.ini
C:\WINDOWS\SysWOW64\VisualDiscoveryOff.ini
CMD: attrib -r -h -s D:\+REcovER* /s
CMD: attrib -r -h -s E:\+REcovER* /s
CMD: del /q /s D:\+REcovER*
CMD: del /q /s E:\+REcovER*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Plik fixlog prawdopodobnie będzie ogromny, ze względu na masowe rekursywne usuwanie plików +REcovER*. Nie zmieści się pewnie do załącznika, shostuj go na jakimś serwisie zewnętrznym i podaj do niego link.

Odnośnik do komentarza

1. Czy na pewno usuwałeś wpis Metric Collection SDK 35? Ja go nadal widzę w FRST Addition.

 

2. Pozostałe zadania pomyślnie wykonane. Jeszcze drobna poprawka. Otwórz Notatnik i wklej w nim:

 

HKLM-x32\...\RunOnce: [spUninstallCleanUp] => REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\Public\Pokki

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

 

Na dysku były moje najważniejsze rodzinne zdjęcia i dokumenty....Załamałem sie jak powiedziałaś, że nie da się ich odzyskać....

Ostatecznie spróbuj programów do odzyskiwania danych takich jak DMDE, PhotoRec. Programy należy uruchomić z innego dysku niż ten na którym są zdefektowane dane. W Twoim przypadku może to być świeżo sformatowany dysk C, bo jak rozumiem te ważne dane są właśnie na D i E.

Jednak podejrzewam, że wyników pomyślnych nie uzyskasz. Po pierwsze, infekcje szyfrujące przeważnie stosują tzw. "bezpieczne usuwanie danych", by właśnie zapobiec użyciu narzędzi tego rodzaju. Po drugie: dyski były aktywne (operacje zapisu i nadpisywanie struktur na dysku), nie wiadomo kiedy nastąpiła infekcja i w jakim przedziale czasowym wystąpiło szyfrowanie. Ofiara nie wie, że szyfrowanie jest w tle, dopóki nie pojawią się notatki ransom, gdy to już proces się po prostu ukończył.

 

Zaszyfrowane dane zostaw na wszelki wypadek, choć obecnie szanse są zerowe. Złamanie klucza jest awykonalne przy obecnych parametrach sprzętowych i mocy obliczeniowej. Nawiasem mówiąc, sformatowałeś dysk C, czyli usunąłeś także dane identyfikacyjne infekcji używane m.in. w procesie uzyskiwania klucza od przestępców, więc nawet gdybyś zdecydował się teraz im zapłacić (nie polecane działanie), to może być już niemożliwe.

Odnośnik do komentarza

1. Fix FRST wykonany. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK

2. Odrębna sprawa to zabezpieczenia, prócz dbania o aktualizacje programów typu Adobe Flash. Spójrz do tego tematu: KLIK. Pod kątem infekcji szyfrujących do rozważenia z darmowych:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

Inne monitory / Anti-exe, śledzenie zachowań, HIPS

 

Oczywiście niezbędny krok to wykonanie kopii zapasowej ważnych danych, umieszczonej na odizolowanym nośniku (np. dysk który nie jest na stałe podłączony).
 

Odnośnik do komentarza
  • 1 miesiąc temu...
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...