krzywomordus

Dziękuję za pomoc.

Teraz robię research na temat ransom-odpornych backupów...

Bo to nie był komputer zaszyfrowany – po prostu znajdował się w tej sieci i szukam podejrzanego, skąd to się przywlekło.

Z pliku Fixlog wklejam to, co się nie powiodło:

Natomiast na komputerze zaszyfrowanym udało mi się odzyskać 100% plików, niestety po opłaceniu haraczu. Przy okazji zniknęła masa plików konfiguracyjnych, a system wygląda w opłakanym stanie i już mu chyba nie zaufam bez pełnego formatu.

W każdym razie załączam logi z tego zaszyfrowanego komputera (dla prostoty dałem tę annotację w nazwach plików) już po uruchomieniu decryptora, który mógł sam po sobie posprzątać.

Addition - zaszyfrowany.txt FRST - zaszyfrowany.txt Shortcut - zaszyfrowany.txt

Hej,

nie sądziłem, że kiedykolwiek będę musiał prosić o pomoc w tej sprawie, ale zostałem ofiarą ransomware i dla świętego spokoju (oraz cennej wartości zaszyfrowanych plików) chyba zapłacę haracz.

W każdym razie chciałbym się dowiedzieć, jak to się stało i zabezpieczyć się przed podobnym wydarzeniem w przyszłości. Jestem w trakcie odszyfrowywania na komputerze, który opadł ofiarą (i nie mam wciąż pewności, czy to zadziała), ale chciałbym poprosić o pomoc i zerknięcie najpierw na mój komputer osobity (nr 1) czy czegoś tam nie ma, a potem po całej tej akcji zrobię raport z zaszyfrowanego komputera (nr 2) i ewentualnie innego komputera biurowego (nr 3).

Patrzę i nie widzę jeszcze nic podejrzanego, ale dawno się tym nie zajmowałem i wiele mogło się zmienić w świecie trojanów.

Addition.txt FRST.txt Shortcut.txt

Nie mam żadnych wątpliwości, po prostu nie wiem jak do tego doszło - w końcu nie macam tego dysku ani go nie przytulam, czy też rzucam o ścianę.

Cały problem okazał się być natury sprzętowej, dlatego też reszta leży w moich rękach. A teraz pozostało mi jedynie jak zwykle podziękować za wybitną pomoc techniczną oraz naprawa/wymiana gwarancyjna.

Nie żebym był niewdzięczny - a już na pewno nie pozostanę dłużny. Trochę polurkuję,tutaj coś tam tego się odezwę, w końcu zainwestuję w paypala, cokolwiek. W każdym razie wielkie dzięki!

Oj, przecież wiem co to jest. Nie znam tylko tempa rozwoju tej, hm, infekcji. 608 bad sektorów na nowszym dysku w porównaniu do 2 na starym to dla mnie tajemnica nie do rozwiązania.

Co do maxtora to się zgodzę, jest to staruszek i miałem z nim parę nieciekawych przygód. (Aha, nie mam już na niego gwarancji. Po prostu zostanie, zrobiłem już zresztą backup na trzecim dysku.)

Co do Samsunga, na który przeprowadziłem system (wcześniej był na maxtorze), po prostu ciężko jest mi się zgodzić. Jest relatywnie nowy i chciałbym go mimo wszystko zachować.

Czy bad sektory to naprawdę tak poważna sprawa? Czy da się stwierdzić jak szybko się tworzą?

A tak poza tym to usługa dysku wirtualnego, po aktualizacji zaległych poprawek i wyłączeniu usług, ma stan pusty (wyłączony?). Jednak po próbie jej uruchomieniu staje na tym etapie i... tyle. A samo zarządzanie dyskami przy wyłączonej usłudze dalej nie działa.

Przepraszam, że tak długo trwała odpowiedź, ale zatrzymało mnie to:

Na szczęście płyta z Windowsem uratowała mnie, nawet szybko i zgrabnie.

Teraz siedzę na Viście z wyłączonymi usługami third-party (nie wiem jak to napisać po polsku), a sama usługa Dysku Wirtualnego ma stan pusty.

BREAKING NEWS: Z pośpiechu w trakcie pisania tego posta włączyłem tę usługę, ale stanęła na uruchamianiu się. Przepraszam!

sprawdź uprawnienia dla klucza

ID heksagonalnych mam dwa:

W pierwszym {A86AE501-EF73-4C8D-827E-98BA5046B05F} TrustedInstaller ma pełną kontrolę, ale System i Administratorzy również ją mają.

W drugim {CA7DE14F-5BC8-48fd-93DE-A19527B0459E} jest tak jak napisałeś.

EDIT: Przepraszam jeszcze że omijam połowę pytań, właśnie sprawdzam stan aktualizacji. Czy wyniki z procesami mogą być z OTLa?

EDIT2: Trochę mi tych aktualizacji, ekhem, brakuje. Właśnie się instalują.

Ta grupa z badami pojawiła się tylko 12 kwietnia i nie powtórzyła.

Tego dnia montowałem trzeci dysk SATA, przy czym nastąpiło parę anomalii:

- okazało się, że nie działa tryb AHCI (kiedy Windows kończy się bootować, czyli znika pasek ładowania (jeszcze przed zalogowaniem się), następuje reset) i w grę wchodzi zwyczajna emulacja,

- sam dysk zamontowałem sobie w ramach eksperymentów nad instalacją Hackintosha (operacja nieudana i tymczasowo zaniechana, powód - prawdopodobnie sprzęt),

- nie mogłem zainicjować tego dysku, ponieważ, jak już napisałem, nie działa zarządzanie dyskami (zamontowałem go na innym pececie i dopiero tam zainicjowałem).

Aha, przy próbie instalacji Hackintosha odmontowałem sobie niepotrzebne dyski (systemowy z Vistą i drugi na dane), następnie kiedy już skończyłem się bawić pozamieniały mi się kolejności dysków i BIOS już defaultowo próbuje bootować z podłączonego pendriva (muszę go odłączać przy każdorazowym starcie systemu, zapewne problem z kolejnością w BIOSie). Problem jest niewielki, ale uciążliwy - przy podłączonym pendrivie pecet nie ruszy.

Ujmując w skrócie kolejność dysków (po zamontowaniu trzeciego, przez próbą instalacji Hackintosha):

1. 
    
   
2. Systemowy z Vistą.
   
3. Drugi z danymi.
   
4. Trzeci, nowy, na razie też z danymi.
   
5. Stacja DVD, z nią raczej nie ma problemów, albo przynajmniej nie było.
   

Jest natomiast zupełnie odwrotnie listowana w BIOSie (po Hackintoshu):

1. 
    
   
2. Pendrive.
   
3. Nowy, trzeci dysk.
   
4. Drugi z danymi.
   
5. Systemowy z Vistą
   
6. I gdzieś tam dalej DVD.
    
   

A zresztą lepiej jest to opisane w logu z CDI (na dole).

I zaprezentuj log z OTL.

OTL.Txt

Extras.Txt

Jestem świadom priorytetu kolejności wykonywania podanych instrukcji, ale z lenistwa zacząłem od końca. Zaraz zrobię czysty rozruch i powiadomię o rezultacie.

Czy PS/2 jest tu całkowicie nieczynne (wyłączone w BIOS / żadnych urządzeń tego rodzaju)?

Całkowicie, nawet nigdy nie używane (klawiatura i myszka na USB).

Jeśli w tym komputerze jest używana macierz RAID

Niestety nie jest (wszystkie podłączone oddzielnie przez SATY), ale to niegłupi pomysł. Jak już się ze wszystkim uporam to lecę po RAIDa.

użyj CrystalDiskInfo i zaprezentuj wynik.

CrystalDiskInfo.txt

System pachnie świeżością, bo ma już drugiego SP.

Co do dzienników, pozwoliłem je sobie podzielić na pełne (ze wszystkim) oraz oddzielnie te dwa istotne. W każdym razie wysłałem obie części:

http://www.speedyshare.com/files/27939994/Logs.zip

http://www.speedyshare.com/files/27939995/app_sys.zip

Swoją drogą, łał. 88-stopniowy procent kompresji!

Hello,

mam mianowicie następujący problem. Nie mogę korzystać z zarządzania dyskami, gdyż owe zarządzanie nie chce połączyć się z tą usługą dysków wirtualnych (łączy się w nieskończoność, ostatecznie kiedyś wyświetli błąd, może po godzinie).

Są oczywiście tutoriale jak to naprawić, ale w moim przypadku sprawa ma się chyba troszkę inaczej, bo te pomoce nic nie zaradziły.

Zauważyłem przy okazji, że otwierając services.msc wszystkie usługi są już uruchomione albo wyłączone, tylko ta jedna nieszczęsna się uruchamia. Co więcej, nie można tego zmienić:

Dlatego moje pytanie brzmi: jak to naprawić?

(Strasznie uciążliwe)

Nareszcie wszystko bangla!

Może nie zabrzmi to zbyt twórczo, ale... dzięki. Teraz powrócę do bycia lurkiem, a w razie potrzeby zwiększę licznik postów tego forum.

Puściłem po raz kolejny gmera i tym razem poszło.

Taaak więęęęc proszę:

OTL.Txt

Extras.Txt

gmer.txt

UsbFix.txt

Hello,

pod wpływem instynktu stadnego wyemigrowałem tu ze znanego zapewne forum o wyszukiwarkach p2p, zarówno za picasso i całą resztą. Cześć wszystkim!

Wracając do tematu - od ponad dwóch lat system ten chronią tylko UAC i trochę oleju w mojej głowie - jednak nawet tak wyrafinowana ochrona nie powstrzymała rozprowadzenia się zawirusowanych autorun.infów, ani paru przygód z crackami.

Teraz oczywiście nic już nie jest aktywne - jednak bawiąc się OTLem i innym softem znalazłem resztki po trojanach - i szczerze mówiąc, nie wiem do końca jak się ich pozbyć.

Mój problem na oczywiście niski priorytet, aczkolwiek nie pogardzę poradą i pomocą i utylizowaniu tychże śmieci. Pleeezee

Chciałem jak najlepiej dostosować się do wymogów w kwestii logów, jednak GMER wyrzucił mi BSODa, którego jak baran nie zapisałem (chodziło o sterownik o nazwie zbliżonej do awdaoub.sys (bądź innej), oraz z kodem błędu 0x00000000 - na tym etapie poprzestałem z gmerem).

Z drugiej strony, jakiegoż z rootkitów mogę mieć? Wątpię w obecność któregokolwiek z nich.

defogger_disable by jpshortstuff (23.02.10.1)

Log created at 21:22 on 03/03/2011 (Aleksander)

Checking for autostart values...

HKCU\~\Run values retrieved.

HKLM\~\Run values retrieved.

Checking for services/drivers...

Unable to read sptd.sys

SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

OTL.Txt

Extras.Txt