krukct Opublikowano 26 Lipca 2015 Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Witam. Wczoraj wieczorem masowo zaczęły mi wyskakiwać powiadomienia z ESET Nod32 Antivirus (v. 7.0.302.8, Baza sygnatur wirusów: 11998 (20150726), więc aktualna) następującej treści: Do tego dochodzi spowolniona praca komputera. Doczytałem w internecie, że sytuacja raczej nieciekawa i zainfekowane pliki raczej nie są do odzyskania, ale chciałbym zapobiec rozprzestrzenianiu się infekcji oraz odzyskać świadomość posiadania "czystego" systemu. Jak narazie przeskanowałem komputer programami AdwCleaner i Malwarebytes w najnowszych wersjach, ale żaden z nich nic nie znalazł. W pierwszej kolejności wykonałem skan programem FRST, ale w trakcie skanowania GMERem (prawie 5 godzin), te pierwsze zostały już zaszyfrowane, więc sytuacja rozwija się szybko. System to oryginalny Windows 7 w wersji Home Premium 64bit, ze wszystkimi najnowszymi aktualizacjami. Sekcja Dodaj/Usuń programy w Panelu sterowania jest czysta. Co mogę zrobić? Proszę o pomoc. Pozdrawiam, krukct gmer.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 26 Lipca 2015 Zgłoś Udostępnij Opublikowano 26 Lipca 2015 post do usunięcia Odnośnik do komentarza
Zappa Opublikowano 26 Lipca 2015 Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Spróbujmy usunąć infekcję. Potem ratuj co się da, nie podpinaj żadnych dysków zewnętrznych, bo zostaną zarażone. Otwórz notatnik i wklej CloseProcesses:Startup: C:\Users\Donek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG [2015-07-26] ()InternetURL: C:\Users\Donek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL -> hxxp://6i3cb6owitcouepv.misterhoppo.com/19izt75S3 NPF; system32\drivers\NPF.sys [X]S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]U3 kwddikog; \??\C:\Users\Donek\AppData\Local\Temp\kwddikog.sys [X]C:\Users\Donek\Desktop\HELP_DECRYPT.URLC:\Users\HELP_DECRYPT.URLC:\Users\Public\HELP_DECRYPT.URLC:\Users\Public\Documents\HELP_DECRYPT.URLC:\Users\Donek\HELP_DECRYPT.URLC:\Users\Donek\Documents\HELP_DECRYPT.URLC:\Users\Donek\AppData\Roaming\HELP_DECRYPT.URLC:\Users\Donek\AppData\HELP_DECRYPT.URLC:\Users\Donek\AppData\Local\HELP_DECRYPT.URLC:\ProgramData\HELP_DECRYPT.URLEmptyTemp: plik zapisz jako fixlist.txt i umieść na pulpicie. Uruchom FRST i kliknij w Fix. Po restarcie pojawi sie raport fixlog.txt. Przedstaw go i zrób nowy skan FRST. Opcji Addition i Shortcut nie zaznaczaj. Odnośnik do komentarza
krukct Opublikowano 26 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Dzięki za odpowiedź, w załączniku przesyłam raporty. Póki co Eset przestał wykrywać kolejne zagrożenia. Fixlog.txt FRST.txt Odnośnik do komentarza
Zappa Opublikowano 26 Lipca 2015 Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Otwórz notatnik i wklej C:\HELP_DECRYPT.URLDeleteQuarantine: plik zapisz jako fixlist.txt i umieść na pulpicie. Uruchom FRST i kliknij w Fix. Zdaj relację czy wszystko zostało zaszyfrowane? Odnośnik do komentarza
krukct Opublikowano 26 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Zaszyfrowane są wszystkie zdjęcia (około 20 GB), 95% muzyki (10 GB), wszystkie materiały związane ze studiami (ponad 7 GB), kilka filmów w .avi (o dziwo ponad 200 GB seriali w .mkv jest nietkniętych), czyli w sumie praktycznie wszystko co miałem na dysku. Najbardziej szkoda mi będzie zdjęć i materiałów na studia, ale na szczęście nie było tam niczego NAPRAWDĘ ważnego. Myślisz, że system jest już bezpieczny i mogę podpiąć pendrive czy dysk przenośny? To chyba dobry moment na format systemu i zrobienie ze wszystkim porządku. Fixlog.txt Odnośnik do komentarza
Zappa Opublikowano 26 Lipca 2015 Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Myślisz, że system jest już bezpieczny i mogę podpiąć pendrive czy dysk przenośny? Myślę, że to dobry moment na format systemu i zrobienie ze wszystkim porządku. Nic nie podpinaj. Ani się waż. Jeśli masz tam ważne dane mogą zostać zaszyfrowane. 1.Na razie zastosuj DelFix. Usunie wszystkie narzedzia skanujące https://www.fixitpc.pl/topic/5-dezynfekcja-kroki-finalizujace-temat/page__p__42415?do=findComment&comment=42415 2. Możesz spróbować odszyfrować pliki. Rzuć okiem na ten temat i spróbuj użyc CryptLockera. https://www.fixitpc.pl/topic/26809-cryptolocker/ Odnośnik do komentarza
krukct Opublikowano 26 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Co do CryptLockera (https://www.decryptcryptolocker.com/), to strona chyba już przestała działać. DelFix.txt Odnośnik do komentarza
Zappa Opublikowano 26 Lipca 2015 Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Możesz spróbować tego, ale nie rób sobie nadziei https://noransom.kaspersky.com/ Odnośnik do komentarza
krukct Opublikowano 26 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Lipca 2015 Raczej nic z tego, nie mam danych potrzebnych do przeprowadzenia deszyfracji. Musiała dopaść mnie inna wersja infekcji bo nie widziałem nawet takiego okna jak poniżej. Utratę danych jakoś przeżyję - grunt żeby nowe dane nie skończyły w ten sam sposób. EDIT: Jednak kilka nowych plików zostało dodanych przez ESETa do kwarantanny. Do tego nie mogę włączyć usługi Centrum zabezpieczeń systemu Windows. Coś jeszcze można zrobić? Odnośnik do komentarza
Zappa Opublikowano 27 Lipca 2015 Zgłoś Udostępnij Opublikowano 27 Lipca 2015 Do tego nie mogę włączyć usługi Centrum zabezpieczeń systemu Windows. mam nadzieję że sobie poradzisz z naprawą według tego poradnika https://www.fixitpc.pl/topic/6767-rekonstrukcja-centrum-zabezpieczen-systemu-windows/ Jednak kilka nowych plików zostało dodanych przez ESETa do kwarantanny. podaj dokładne ścieżki tych plików Odnośnik do komentarza
krukct Opublikowano 27 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2015 Dzięki za link, Centrum zabezpieczeń już działa. Co do plików to jednak fałszywy alarm. Wczoraj wieczorem widziałem okno ESETa o jakimś pliku przeniesionym do kwarantanny, ale ostatni plik został przeniesiony do kwarantanny wczoraj rano (26.07.2015 o godz. 11:22), czyli jeszcze zanim założyłem ten temat). Odnośnik do komentarza
Zappa Opublikowano 27 Lipca 2015 Zgłoś Udostępnij Opublikowano 27 Lipca 2015 Wyczyściłes kwarantannę ESET? Odnośnik do komentarza
krukct Opublikowano 27 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2015 Tak, wyczyszczona. Odnośnik do komentarza
Zappa Opublikowano 27 Lipca 2015 Zgłoś Udostępnij Opublikowano 27 Lipca 2015 Wspomniałes o ponownym postawieniu systemu. Jeśli skaner nic nie wykazuje mozna przyjąć że infekcja została usunięta. jednak zrobiłbym kopie ważnych dla ciebie plików przed podłaczeniem dysków zewnętrznych. Nie chce mieć na sumieniu przyszłego magistra. Odnośnik do komentarza
krukct Opublikowano 27 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2015 Nie, skaner ESETa nie wykrywa żadnych zagrożeń. Podłączony zostanie czysty dysk w celu zgrania kilku rzeczy, które jeszcze będą mi potrzebne. Później postawię system na nowo żeby upewnić się, że wszystko jest czyste i bez żadnych pozostałości po niedziałających już rzeczach. Teraz mam jeszcze kilka pytań: - czy aktualny antywirus ESET Nod32 Antivirus (v. 7.0.302.8) jest godny polecenia, czy lepiej rozejrzeć się za czymś innym? - czy warto stosować dodatkowe zapory lub programy chroniące przed zagrożeniami? Czy lepiej zostać przy zestawie w.w. ESET + Zapora systemu Windows + dodatkowy rozsądek przy korzystaniu z internetu? Odnośnik do komentarza
Zappa Opublikowano 27 Lipca 2015 Zgłoś Udostępnij Opublikowano 27 Lipca 2015 - czy aktualny antywirus ESET Nod32 Antivirus (v. 7.0.302.8) jest godny polecenia, czy lepiej rozejrzeć się za czymś innym? Zostań przy ESET. Jest nowsza wersja. - czy warto stosować dodatkowe zapory lub programy chroniące przed zagrożeniami? Czy lepiej zostać przy zestawie w.w. ESET + Zapora systemu Windows + dodatkowy rozsądek przy korzystaniu z internetu? Rozsądek jak najbardziej wskazany. Nie wiem gdzie złapałeś infekcję szyfrującą. Dobrym rozwiązaniem jest piaskownica do przeglądania netu - Sandboxie. Poczytaj tematy w dziale oprogramowanie zabezpieczające. Odnośnik do komentarza
krukct Opublikowano 27 Lipca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Lipca 2015 W takim razie sprawa wygląda na rozwiązaną. Dziękuję serdecznie za pomoc! Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się