barakuda1234 Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 (edytowane) Witam https://www.fixitpc.pl/topic/14756-komputer-zostal-zablokowany-pliki-z-rozszerzeniem-block/ To samo g...o mi się przypałętało. Po odpaleniu kompa pojawia się informacja wyżej opisywana. Tryb awaryjny nie odpala. Po odpaleniu kompa udało mi się włączyć menedżer zadań i w procesach odpalał się proces TECLA który ze zręcznością małpy wyłączyłem i udało mi się zajrzeć do kompa. Nie ma połączenia z internetem. Pliki graficzne i edytory tekstu zaszyfrowane rozszerzenie .BLOCK. Użyłem combo fixa myslicie że skutecznie udało mu sie wyrzucić wirusa? Szantażyści informują że pliki po 72h będą nadpisywane, myślicie że nie blefują? Jeśli nie blefują tak jak działa licznik, czy korzysta z zegara biosu czy też zlicza czas uruchamiania kompa? Przejrzalem zablokowane pliki, jeśli dobrze widzę to pierwsze były zaszyfrowane o 19:27 a ostatni ok. godz 1 w tym czasie pojawił się kilkukrotnie komunikat (szara ramka) że nie mam uprawnień i żebym zgłosił się do administartora tego komputera - to były pierwsze symptomy, które zlekceważyłem w tym czasie wirus szyfrował wszystko. Pod koniec pracy nie udało mi się wyłączyć komputera, po restarcie pojawił się ten gó... pulpit. Teraz najważniejsze po między 19 (kiedy odpaliłem kompa) a 20 wykonałem nastepujące czynności - podłączyłem całkowicie nową mp3 Sandiska (tego nie podejrzewam, ściągałem oprogramowanie ze strony Sandiska, logowałem się na tej stronie hxxp://www.rsmpraga.pl/dla-mieszkancow/e-bok.html Czy da się sprawdzić czy ona nie jest rozsadnikiem wirusa? Ściagnięty został także PDF z kalendarzem na 99% z tej strony hxxp://www.kalendarzswiat.pl/kalendarz_wydruk/2012 aha i to był pierwszy objaw że coś jest nie tak: nie można było go wydrukować. Edytowane 14 Grudnia 2012 przez picasso Temat podzielony. //picasso Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Użyłem combo fixa myslicie że skutecznie udało mu sie wyrzucić wirusa? Takim bajaniem nie załatwia się tu spraw. Tu są określone zasady działu: KLIK. A na temat samego ComboFixa: KLIK. Tu tylko formuła tego szczególnego wątku zahaczająca o dyskusję o samym odszyfrowaniu jest globalna. Ale analizy poszczególnych systemów = każdy ma mieć nowy temat z zestawem obowiązkowych tu logów. Szantażyści informują że pliki po 72h będą nadpisywane, myślicie że nie blefują? Jeśli nie blefują tak jak działa licznik, czy korzysta z zegara biosu czy też zlicza czas uruchamiania kompa? To możliwe z tym "nadpisywaniem" (dopóki działa aktywna infekcja), bo podejścia z PhotoRec były tu nieskuteczne. Mogło być tak, że aktywny proces infekcji przebijał "plik na plik" zacierając możliwość odzysku z czeluści dysku... Ale to są tylko moje spekulacje. I nie wiem czy dobrze rozumiem treść od szantażystów, o jakim napisywaniu mówią (w którym punkcie czasowym). PS. Wg zasad działu proszę nie podawać linków niepewnych w formie aktywnej. Zedytowane. . Odnośnik do komentarza
barakuda1234 Opublikowano 13 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Kurka wodna. Sory. Czy po użyciu Combo fixa jest sens podawania logów? Czy tą stronę z kalendarzem można jakoś przeskanować w celu sprawdzenie jej pod kątem obecności wirusa? Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Czy po użyciu Combo fixa jest sens podawania logów? Zawsze jest, bo po pierwsze trzeba sprawdzić co robił (należy dostarczyć raport który wtedy utworzył, nie uruchamiaj ponownie narzędzia), a po drugie ocenić co jest obecnie (czyli logi obowiązkowe z OTL). Ale to nie tutaj. Tu jest dyskusja o szyfrowaniu. Możemy zrobić tak, że wydzielę Twoje posty do nowego tematu i tam będzie kontynuacja dywagacji i ocena systemu. Czy tą stronę z kalendarzem można jakoś przeskanować w celu sprawdzenie jej pod kątem obecności wirusa? Są skanery do oceny stron np. Wepawet. Niby skan tego URL nie zwraca nic szkodliwego, ale nie wiem na ile głęboki był ten skan i czy docelowy PDF był analizowany... . Odnośnik do komentarza
kostykiewicz Opublikowano 13 Grudnia 2012 Zgłoś Udostępnij Opublikowano 13 Grudnia 2012 Moje przypuszczenia, ale niekoniecznie słuszne. Napisales ze byles na wxww.rsmpraga.pl/dla-mieszkancow/e-bok.html wg. strony na ktorej mozesz sprawdzic czy masz zarazona strone http://www.unmaskparasites.com/ wynika ze nie ma tam zlosliwego kodu. Wspomniales o kalendarzu i PDF-ie. Jaki masz program do odczytywania PDF-ow? adobe czy jest to moze FoxReader firmy www.foxitsoftware.com Jeśli masz Adobe w starszej wersji to ten syf przenosi sie przez lukę w Adobe Reader lub też javę czy nieaktualną przeglądarkę. Z jakiej przeglądarki korzystasz i czy miales aktualną wersję ? To możliwe z tym "nadpisywaniem" (dopóki działa aktywna infekcja), bo podejścia z PhotoRec były tu nieskuteczne. Mogło być tak, że aktywny proces infekcji przebijał "plik na plik" zacierając możliwość odzysku z czeluści dysku... Ale to są tylko moje spekulacje. I nie wiem czy dobrze rozumiem treść od szantażystów, o jakim napisywaniu mówią (w którym punkcie czasowym). Skoro infekcja próbuje nadpisywać pliki to zapewne wyamga to trochę czasu, jesli ktos w przyszlosci ale tego nie zycze spotka sie z takim czyms to najlepszym wyjsciem bedzie odlaczenie komputera od sieci/wylaczenie go szybko i probowac PhotoRec dysku zainfekowanego odzyskac te dane, ale uwazajac w ten sposob aby sie nie zarazic-drugiego komputera z ktore krozystamy do odzyskania danych dzieki PhotoRec o ile taka mozliwosc bedzie. Nasuwa mi się kolejne pytanie, bo nie wiem, czy istnieje mozliwosc zalokowania w systemie nadpisywania plikow? moze troche glupie ale tak tylko pytam, mozliwe ze jest taka mozliwosc a o tym nie wiem i pomoze to w przyszlosci?? Odnośnik do komentarza
barakuda1234 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Nie mogę teraz tam zajrzeć ale najprawdopodobniej zarówno przegladarka (Mozilla) jak i adobe reader nie byłe od jakiegoś czasu zaktualizowane:/ Zawsze jest, bo po pierwsze trzeba sprawdzić co robił (należy dostarczyć raport który wtedy utworzył, nie uruchamiaj ponownie narzędzia), a po drugie ocenić co jest obecnie (czyli logi obowiązkowe z OTL). Ale to nie tutaj. Tu jest dyskusja o szyfrowaniu. Możemy zrobić tak, że wydzielę Twoje posty do nowego tematu i tam będzie kontynuacja dywagacji i ocena systemu. Może tak zróbmy. Jestem w trakcie tworzenia loga z GMERA Odnośnik do komentarza
barakuda1234 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Niestety zanim dotarłem na to forum zdążyłem już przeprowadzić akcje Combo fixem więc log z ww programu powstał jako pierwszy. OTL.Txt OTL Extras.Txt GMER.txt CF log.txt Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 W raportach nie ma oznak czynnej infekcji, ale są subtelne jej odpadki (folder Ajtu i wpis startowy nań kierujący oraz plik bg.jpg), należy też usunąć śmieci adware. Rozumiem, że nie masz zamiaru formatować, toteż przechodzimy do czyszczenia. 1. Uwaga na początek, Twój czas komputera jest błędy, cofnięcie o dwa lata do tyłu: OTL logfile created on: 2010-01-01 00:04:38 - Run 1. Dlatego log z OTL jest taki potężny i zawiera dużo bezwartościowych rekordów. Skoryguj czas komputera. 2. Przez Panel sterowania odinstaluj adware Babylon toolbar on IE, Softonic-Eng7 Toolbar. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. 4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\Documents and Settings\mrówka\Dane aplikacji\bg.jpg C:\Documents and Settings\mrówka\Dane aplikacji\Ajtu C:\Documents and Settings\mrówka\Dane aplikacji\PriceGong C:\Documents and Settings\mrówka\Ustawienia lokalne\Dane aplikacji\QuickStores C:\Documents and Settings\All Users\Pulpit\QuickStores.lnk :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "{1284AB20-7431-AD40-5C6C-9D624CDDBE70}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] :OTL O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab" (Reg Error: Key error.) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\gdrv.sys -- (gdrv) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\MRWKA~1\USTAWI~1\Temp\catchme.sys -- (catchme) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\MRWKA~1\USTAWI~1\Temp\ALSysIO.sys -- (ALSysIO) DRV - File not found [Kernel | Auto | Stopped] -- -- (adfs) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart systemu. 5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania. 6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner. . Odnośnik do komentarza
barakuda1234 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Dziękuję, wieczorem się tym zajmę. Czy na dzień dzisiejszy jakieś oprogramowanie antywirusowe posiada zaktualizowaną bazę wirusów zabezpieczającą przed tym dziadostwem. W trakcie infekcji i blokowania plików podłączałem mp3 i pendrive czy mozliwe że są zainfekowane, jak mogę to sprawdzić? Odnosnie czasu na kopmpie, to przestraszyłem się tej groźby wykasowania plików po 72h i wyjąłem baterię z płyty głównej. Nie wiem czy to miało sens. Odnośnik do komentarza
picasso Opublikowano 14 Grudnia 2012 Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Czy na dzień dzisiejszy jakieś oprogramowanie antywirusowe posiada zaktualizowaną bazę wirusów zabezpieczającą przed tym dziadostwem. Nie wiem. Natomiast jest inny gatunek programów, który może zabezpieczyć, czyli środowiska typu piaskownice / wirtualne bariery. Przykłady: SandBoxie (płatny, ale po po 30 dniach dalej można korzystać, tylko przypominanie o zakupach się zaczyna), GeSWall Freeware (darmowy). W trakcie infekcji i blokowania plików podłączałem mp3 i pendrive czy mozliwe że są zainfekowane, jak mogę to sprawdzić? Infekcja na przenośnych wątpliwa, w rozumieniu dodanych obiektów infekcji. Ale szyfrowanie plików mogło się tam wykonać, jeśli dyski były podpięte w momencie gdy infekcja jechała po danych i zawierały "odpowiedni" typ danych którymi infekcja się interesuje. . Odnośnik do komentarza
barakuda1234 Opublikowano 14 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 14 Grudnia 2012 Nośniki tylko z muzyką więc nie było interesującego materiału dla wirusa. Odnośnik do komentarza
barakuda1234 Opublikowano 15 Grudnia 2012 Autor Zgłoś Udostępnij Opublikowano 15 Grudnia 2012 Załączam logi. OTL2.Txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2012 Zgłoś Udostępnij Opublikowano 16 Grudnia 2012 Zrobione. Drobne poprawki i koniec czyszczenia: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] Klik w Wykonaj skrypt. Tym razem nie będzie restartu. 2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Plik ComboFix.exe ma być na Pulpicie i Start > Uruchom > wklej komendę: "C:\Documents and settings\mrówka\Pulpit\ComboFix.exe" /uninstall Następnie wyczyść po pozostałych: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder Stare dane programu Firefox z Pulpitu. 3. Do nadrobienia aktualizacje Windows i wyliczonych poniżej programów: KLIK. W raporcie OTL jest widziany krytyczny poziom aktualizacji XP (i odcięcie od systemu pobierania łat, tylko XP SP3 ma dostęp) oraz wersje programów: Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstationInternet Explorer (Version = 6.0.2900.2180) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{26A24AE4-039D-4CA4-87B4-2F83216024FF}" = Java 6 Update 30"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish"{EB87675F-5281-4767-A54B-31931794C23D}" = OpenOffice.org 3.3"ENTERPRISE" = Microsoft Office Enterprise 2007"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)"Opera 12.00.1467" = Opera 12.00 FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) W podsumowaniu: wyrzuć wszystkie zakreślone pozycje Java / Adobe / Silverlight i zastąp najnowszymi, zaktualizuj Firefox i Operę, wykonaj pełną aktualizację XP (SP3 + IE8 + reszta łat), zainstaluj pakiet SP3 dla Office 2007. PS. A co do: KLIK... Nie "zdaje się" tylko na pewno. Jeśli chcesz wysłać ten materiał do laboratorium, to skopiuj folder C:\Qoobox do ZIP przed wykonaniem punktu 2. . Odnośnik do komentarza
Rekomendowane odpowiedzi