kosa351 Opublikowano 12 Marca 2013 Zgłoś Udostępnij Opublikowano 12 Marca 2013 Witam, znajomy przyniósł zainfekowanego laptopa ze standardową regułką - płać albo płacz. Po usunięciu syfu zabrał go do domu. Na następny dzień dzwoni, że nie może otworzyć dokumentów i zdjęć zapisanych na innej partycji. Czy może to mieć jakikolwiek związek z tą infekcją. W załączniku logi OTL, Po uruchomieniu zdjęcia nie pokazuje się nic lub błąd, że nieprawidłowe zdjęcie (po rozmiarze pliku wyglądają OK). Natomiast gdy uruchamiamy dokument wordowski wyskakuje info, że plik uszkodzony, następuje próba odzyskania pliku i po chwili mamy cały zestaw krzaczków. Krzyczy też czasem - Word nie może uruchomić konwertera mswrdd632.wpc. Zdaje sobie sprawę, że system zaśmiecony i nadaje się do porządnej aktualizacji, ale główny problem to teraz te pliki. Po przeniesieniu na inny komp również nie można uruchomić tych plików. Wygląda na to, że są uszkodzone. OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 13 Marca 2013 Zgłoś Udostępnij Opublikowano 13 Marca 2013 Zabrakło obowiązkowego raportu z GMER. Nie widzę oznak czynnej infekcji, ale załaduj poprawki na szczątki po niej i odinstalowanych aplikacjach oraz inne korekty: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL SRV - [2013-01-14 17:51:44 | 000,945,328 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe -- (vToolbarUpdater14.0.1) SRV - [2012-11-09 06:39:47 | 000,711,112 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\13.2.0\ToolbarUpdater.exe -- (vToolbarUpdater13.2.0) DRV - [2013-01-14 17:51:45 | 000,031,576 | ---- | M] () [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp) DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\PCAMPR5.SYS -- (PCAMPR5) IE - HKU\S-1-5-21-1798788267-3059312107-1564414917-1006\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" IE - HKU\S-1-5-21-1798788267-3059312107-1564414917-1006\..\SearchScopes\{8DCA7E31-7620-4F67-8798-76E4D033A090}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_UK&apn_ptnrs=U3&apn_dtid=OSJ000YYGB&apn_uid=75A59481-A0BA-4FEC-BD52-E72ECA782DC6&apn_sauid=C0DFE6A5-20F2-4732-8D06-A8E5716B2834" O4 - Startup: C:\Documents and Settings\user\Start Menu\Programs\Startup\Seagate 2GH3YM87 Product Registration.lnk = File not found O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found :Files C:\Program Files\Common Files\AVG Secure Search C:\Program Files\Common Files\AskToolbarInstaller.exe C:\Documents and Settings\All Users\Application Data\Alwil Software C:\Documents and Settings\All Users\Application Data\Common Files C:\Documents and Settings\All Users\Application Data\akhcscgkhjjjtfq C:\Documents and Settings\All Users\Application Data\vexfjdihhwwcmqm C:\Documents and Settings\All Users\Application Data\Wru C:\Documents and Settings\LocalService\Application Data\PCToolsFirewallPlus C:\Documents and Settings\LocalService\Application Data\PCToolsSpamMonitorPlus C:\Documents and Settings\user\Application Data\ArcaVirMicroScan C:\Documents and Settings\user\Application Data\CheckPoint C:\Documents and Settings\user\Application Data\PCToolsFirewallPlus C:\Documents and Settings\user.PC133312821021\Application Data\Internet Cleaner C:\Documents and Settings\user.PC133312821021.000\Application Data\searchquband C:\Documents and Settings\user.PC133312821021.000\Application Data\searchqutoolbar :Reg [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"=- [-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] [-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Po usunięciu syfu zabrał go do domu. Na następny dzień dzwoni, że nie może otworzyć dokumentów i zdjęć zapisanych na innej partycji. (...) Po przeniesieniu na inny komp również nie można uruchomić tych plików. Wygląda na to, że są uszkodzone. Przedstaw w jaki sposób usuwano "syf" i jakie były jego elementy. Na razie nie wiem jaką infekcję tu usuwano, choć poniższy wpis w OTL wskazuje na ten wariant: KLIK. I tu kolejne pytanie: czy działa Tryb awaryjny? O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found Jeśli bezpośrednim następstwem usunięcia infekcji są niesprawne pliki określonych formatów i nie ma tu przekłamań (mowa o innej partycji: może partycja ma uszkodzoną strukturę plików i nie ma to nic wspólnego infekcją), mógł to być wariant szyfrujący dane użytkownika. Gdyby tak było, bez deszyfratora plików nie jest możliwy odzysk plików pierwotnych i ewentualnie zostaje już szukanie poprzedniej postaci plików za pomocą TestDisk. . Odnośnik do komentarza
kosa351 Opublikowano 14 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2013 "Syf" usunięty był poprzez OTL, a dokładniej było to: c:\documents and settings\user1\local settings\temp\jasnmvbpczm.exe c:\windows\temp\xckppczm.exe Później tylko skan Mbam (log w załączniku) i czyszczenie Adwcleaner. To wszystko, co było zrobione. Tryba awaryjny nie działa. Co do dysku to raczej nie mam podejrzeń chckdsk nic nie widzi problemów, hd tune również. Pliki nie otwierają się na partycji C jak i D. GMER jeszcze skanuje, ale wygląda na czysty. Odnośnik do komentarza
picasso Opublikowano 14 Marca 2013 Zgłoś Udostępnij Opublikowano 14 Marca 2013 Nie widzę tu żadnego skanu MBAM w załączniku... Tryba awaryjny nie działa. Pobierz Sality_RegKeys. Z paczki uruchom plik SafeBootWinXP.reg. Zresetuj system i przetestuj czy wchodzi Tryb awaryjny. Pliki nie otwierają się na partycji C jak i D. Skoro pliki nie otwierają się na obu partycjach (wcześniej było mówione "na innej partycji"), a stało się to zaraz po infekcji, to infekcja zaszyfrowała dane. Czy na pewno pliki mają identyczne nazwy i nie zostały dodane żadne prefiksy / sufiksy do nazwy? Wyszukałam kolejny opis infekcji posługującej się debugerem P9KDMF.EXE i usuwającej Tryb awaryjny, ale z wyraźnymi danymi o szyfrowaniu plików. Wygląda na to, że tu był wariant podobny do Trustezeb, choć opis nie jest identyczny: KLIK. Wypróbuj dekoder Trustezeb.A Decryptor. Gdy zawiedzie, zostaje procedura z szukaniem zagubionych oryginałów via TestDisk: KLIK (z ominięciem instrukcji StopGpcode). . Odnośnik do komentarza
kosa351 Opublikowano 14 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2013 Pliki posiadają oryginalne nazwy. Dekoder nie zadziałał. Tryb awaryjny przywrócony. Po wykonaniu skryptu w OTL bardzo wydłużył się start systemu i wydaje mi się, że zaczął przymulać. W załączniku log z OTL i niedołączony Mbam. OTL.Txt mbam.txt Odnośnik do komentarza
picasso Opublikowano 14 Marca 2013 Zgłoś Udostępnij Opublikowano 14 Marca 2013 Pliki posiadają oryginalne nazwy.Dekoder nie zadziałał. Niestety na razie mogę tylko skierować do instrukcji z TestDisk... Po wykonaniu skryptu w OTL bardzo wydłużył się start systemu i wydaje mi się, że zaczął przymulać. Skrypt nie powinien mieć z tym związku, a wręcz przeciwnie (usunięte trzy obiekty startowe od nieprawidłowo odinstalowanego paska AVG = przyśpieszenie startu). Różnica między logami to właśnie obecność MBAM, pojawił się nowy sterownik startowy: DRV - [2013-03-14 16:33:23 | 000,040,776 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbamswissarmy.sys -- (MBAMSwissArmy) Tak więc: MBAM podejrzany. . Odnośnik do komentarza
kosa351 Opublikowano 11 Kwietnia 2013 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2013 Niestety nic się nie udało odzyskać. Znalazłem również takie info w pliku txt: Warning! Files on your hard drives were encrypted. In a case you want get your data unencrypted, you will need to purchase 100 pounds Ukash voucher and send to our e-mail the unique 19 digit number of voucher. An e-mail must be sent as wtitten below. All letters that did not fit the form will be ignored. You will recieve an e-mail with an instruction how to decrypt data after we check the Ukash code you have sent. ------mail_form----------------- to: meinny@hotmail.de Subject: decoding of files 60CAA07B524553550000 ID of your computer: 60CAA07B524553550000 Ukash code: -------------------------------- What's Ukash: www.ukash.com/en-GB/whats-ukash/ Get Ukash: www.ukash.com/en-GB/where-to-get/Myślę, że temat do zamknięcia. Odnośnik do komentarza
Conor29134 Opublikowano 12 Kwietnia 2013 Zgłoś Udostępnij Opublikowano 12 Kwietnia 2013 Rozejrzałem się w sieci i wynika że to wersja szyfrująca welsofa http://www.pchelpforum.com/xf/threads/encrypted-files-after-ukash-met-police-infection.145714/ Raczej nie ma szans na odzysk. Jeżeli posiadasz jeszcze pliki tej infekcji bardzo prosilbym o spakowanie do archiwum zabezpieczonego hasłem shostowanie go na speedy.sh i udostępnienie na pw linka i hasła do paczki Odnośnik do komentarza
Rekomendowane odpowiedzi