bialylukasz Opublikowano 24 Sierpnia 2015 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2015 Witam, dostałem do naprawy komputer, który był używany przez starszą osobę a na niej objawy cryptolockera lub jakiegoś pochodnego wirusa. (https://www.fixitpc.pl/topic/24868-wirus-szyfrujący-pliki-z-sufiksem-decodeindiacom/). Nie było jednak żadnego ekranu lecz tylko zaszyfrowane pliki tekstowe,pliki Worda oraz Excela. Co ciekawe pliki stworzone na nowo normalnie się otwierają. Wyniki skanowania przedstawiam w załączniku. Czy po usunięciu infekcji jest możliwość odszyfrowania plików? Pozdrawiam. Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2015 Zgłoś Udostępnij Opublikowano 12 Października 2015 Objaśnij dokładniej wątek zaszyfrowanych plików, gdzie to widać (jakie ścieżki, na którym dysku) i czy na pewno zaszyfrowane kopie mają taki sam suffiks _decode@india.com jak w linkowanym temacie, a może zupełnie inny. W dostarczonych raportach z pierwszego posta nie widać żadnych oznak infekcji szyfrującej dane. A rozszerzenia określonych plików, które miałyby podlegać szyfrowaniu, nie są naruszone. Ale raport FRST jest mocno ograniczony. Dodatkowo, raporty pochodzą sprzed kilku miesięcy. Proszę zrób nowe logi dla porównania jaka jest aktualna sytuacja. Oraz dodaj jeszcze log z narzędzia IDTool. Czy po usunięciu infekcji jest możliwość odszyfrowania plików? Niestety nie. Nie ma żadnego dekodera do tych wariantów infekcji. Aczkolwiek nadal nie wiadomo jaki rodzaj infekcji tu wystąpił. Odnośnik do komentarza
bialylukasz Opublikowano 15 Października 2015 Autor Zgłoś Udostępnij Opublikowano 15 Października 2015 Hej, dzięki za odpowiedź. Logi w załączniku, z programu po wybraniu Rescan Computer odczekuje ok 5 sekund i nic się nie pojawia, przy wybraniu Detection Search wyskakuje błąd jak w screen7 - nie wiem czy to skanowanie ma być takie krótkie? Zainfekowane pliki (txt,pdf,xls,doc) znajdują sie na wszystkich partycjach (np F:\1 - MOJE DOKUMENTY), ich nazwy są normalnie, przy próbie ich otworzenia wyskakuje błąd jak na załączonych screenach1-4. Co ciekawe teraz przy utworzeniu jakiegokolwiek pliku doc,xls itp. można go normalnie zapisać i potem otworzyć. W porównaniu do podlinkowanego tematu, nie było żadnych ekranów z wpłaceniem pieniędzy w zamian za odszyfrowanie plików. Pozdrawiam frst.txt addition.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 16 Października 2015 Zgłoś Udostępnij Opublikowano 16 Października 2015 (edytowane) z programu po wybraniu Rescan Computer odczekuje ok 5 sekund i nic się nie pojawia, przy wybraniu Detection Search wyskakuje błąd jak w screen7 - nie wiem czy to skanowanie ma być takie krótkie? To oznacza, że program nie wykrył żadnych znanych sobie flag infekcji. "Detection Search" służy do wyszukiwania informacji o znalezionej infekcji (w oknie wynik się podświetla i dopiero wtedy uruchamia tę funkcję). Funkcja bezużyteczna przy braku wykrycia czegoś. A ten błąd po jej uruchomieniu to jest także u mnie na systemie Windows 10. Zainfekowane pliki (txt,pdf,xls,doc) znajdują sie na wszystkich partycjach (np F:\1 - MOJE DOKUMENTY), ich nazwy są normalnie, przy próbie ich otworzenia wyskakuje błąd jak na załączonych screenach1-4. Co ciekawe teraz przy utworzeniu jakiegokolwiek pliku doc,xls itp. można go normalnie zapisać i potem otworzyć. W porównaniu do podlinkowanego tematu, nie było żadnych ekranów z wpłaceniem pieniędzy w zamian za odszyfrowanie plików. Czyli na dysku C również? Jak mówiłam, nic tu nie wskazuje na infekcję. Nie wystąpiły żadne objawy poświadczające infekcję: brak komunikatów ransom infekcji (szyfrowanie plików ma cel, tzn. uiszczanie opłat), brak śladów infekcji, brak sufiksów w nazwach zdefektowanych plików. W tej sytuacji widzę dwie możliwości: - Nie jest to infekcja lecz uszkodzenia plików z niewiadomych powodów. - Inne źródło niż widziany system / komputer: dyski tego systemu były w jakiś sposób dostępne (mapowanie dysków) dla innego komputera, na którym była infekcja. I czy tu przypadkiem nie ma dwóch systemów zainstalowanych? W raporcie jest odczyt, iż dwie partycje noszą pliki startowe: ==================== Dyski ================================ Drive c: (Dysk lokalny - PAWEŁ) (Fixed) (Total:33.65 GB) (Free:16.37 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive d: (Dysk lokalny - JAN) (Fixed) (Total:78.13 GB) (Free:18.19 GB) NTFS Drive e: (Dysk lokalny - PAWEŁ) (Fixed) (Total:24.41 GB) (Free:8.3 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive f: (Dysk lokalny - JAN) (Fixed) (Total:44.57 GB) (Free:39.83 GB) NTFS Nie jestem w stanie nic zrobić z tą usterką plików. Jedyna możliwość jaką widzę, to poszukiwanie poprzednich wersji plików za pomocą programów do odzyskiwania danych, np. TestDisk. Z tym że upłynęło dużo czasu, system był na na chodzie i odbywało się wielke zapisów na dysku, co skutecznie ogranicza szanse. Dodatkowo, jeśli to jednak była robota jakiejś infekcji, to obecnie w większości przypadków jest stosowane "bezpieczne usuwanie" uniemożliwiające korzystanie z programów do odzyskiwania danych. Osobna sprawa to innego typu korekty usprawniające system: 1. Odinstaluj stare wersje i zbędne programy: Adobe Flash Player 17 ActiveX, Adobe Reader X (10.1.8) - Polish, Adobe Shockwave Player 11.6, Chinese Traditional Fonts Support For Adobe Reader 9, Gadu-Gadu 7.7, IObit Malware Fighter, Java 2 Runtime Environment, SE v1.4.1_07, Java 7 Update 45, Java Web Start, SpyHunter 4, Surfing Protection. SpyHunter to wątpliwy program. IObit Malware Fighter zbędny przy Avast. Zaś marka IOBit nie jest tu ogólnie polecana: wybryki z kradzieżą bazy danych MBAM w przeszłości, niskie morale (adware w instalatorach, podejrzane związki partnerskie). Sugeruję pozbyć się wszystkich programów IOBit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AV: AVG Anti-Virus Free (Enabled - Up to date) {17DDD097-36FF-435F-9E1B-52D74245D6BF} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-016 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1614895754-1425521274-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKU\S-1-5-21-1614895754-1425521274-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} HKU\S-1-5-21-1614895754-1425521274-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-016 URLSearchHook: HKU\S-1-5-21-1614895754-1425521274-682003330-1004 - (Brak nazwy) - {A3BC75A2-1F87-4686-AA43-5347D756017C} - Brak pliku HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} SearchScopes: HKU\S-1-5-21-1614895754-1425521274-682003330-1004 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-016&q={searchTerms} BHO: Brak nazwy -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> => Brak pliku BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> => Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> => Brak pliku Handler: linkscanner - No CLSID Value - FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S3 eapihdrv; \??\C:\DOCUME~1\Jan\USTAWI~1\Temp\ehdrv.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 VIAudio; system32\drivers\vinyl97.sys [X] U4 WMCoreService; Brak ImagePath HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\IMFservice => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Documents and Settings\Jan\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Program Files\mozilla firefox\plugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox w Dodatkach odmontuj Advanced SystemCare Surfing Protection, o ile nadal będzi widoczy po w/w deinstalacji. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi Dołącz też plik fixlog.txt. Edytowane 2 Czerwca 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi