Skocz do zawartości

Wirus zablokował mi pliki - helpme@freespeechmail.org


Rekomendowane odpowiedzi

Witam !

 

Złapałam wirusa, który w nazwach plików dopisuje ".id-4096270429_helpme_małpa_freespeechmail.org".

Szyfruje on wszystkie pliki txt, doc, MP3, rar, zip, GHO, i żeby je odkodować, to muszę im zapłacić.

Znacie jakiś sposób, by się go pozbyc?

 

SpyHunter4 nie pomógł :(

- Mam XP (32-bit)

- angielski - noga

Proszę o pomoc... łopatologicznie ;)

 

Pierszym objawem było - wyłączenie kompa

Drugie - brak internetu przez 3h

Trzecie - samoistnie zmieniła mi się tapeta na pulpicie (patrz załącznik)

 

post-16590-0-43390000-1447838616_thumb.jpg

 

Zrobiłam przywracanie systemu i tapeta powróciła do pierwotnego stanu, ale przy każdym uruchamianiu kompa wyskakiwało mi to powiadomienie.

 

Pozdrowionka!

 

P.S. W miejscu _małpa_ jest znak: @

FRST.txt

gmer.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

SpyHunter4 nie pomógł

To jest program z czarnej listy, niepożądany w systemie! Jest namolnie reklamowany w wysoko pozycjonowanych na Google "opisach usuwania infekcji" jako ich "specjalizowany" usuwacz. Przy czym tu chodzi tylko o jego instalację, bo się okazuje że trzeba uiszczać opłaty.

 

 

Złapałam wirusa, który w nazwach plików dopisuje ".id-4096270429_helpme_małpa_freespeechmail.org".

Szyfruje on wszystkie pliki txt, doc, MP3, i żeby je odkodować, to muszę im zapłacić.

Znacie jakiś sposób, by się go pozbyc?

Zaszyfrowane pliki z przyrostkiem helpme@freespeechmail.org jest w stanie odkodować RakhniDecryptor od Kasperskiego. Wg logów infekcja nie jest już aktywna, więc zajmij się odkodowaniem plików i zgłoś z wynikami działań.

 

PS. Potem zajmę się doczyszczaniem drobnych śmieci. A FRST został uruchomiony ze złego miejsca, czyli z Tymczasowych plików internetowych:

 

Uruchomiony z C:\Documents and Settings\Betty\Ustawienia lokalne\Temporary Internet Files\Content.IE5\BST0L5CC

 

Pobierz ponownie i zapisz na Pulpicie. FRST będzie tu jeszcze używany do usuwania.

Odnośnik do komentarza

Zapuściłam już RakhniDecryptor i przewiduje zakończenie tego mielenia na 24h. Jutro napisze jakie to dało efekty.
Dziękuję serdecznie za pomoc i cierpliwość!

 

EDIT: Chyba jestem pierwszą osobą na tym forum, która testuje ten program, bo cosik mi się wydaje, że ta naprawa będzie trwała ze 3-4 dni non-stop. Patrz załącznik

post-16590-0-21310000-1447103890_thumb.jpg

Odnośnik do komentarza

Ale to jest oczywiste. Hasło nie jest znane, program próbuje je "złamać" - na Twoim obrazku jest pokazane jaka masa kombinacji już była próbowana. Proces odszyfrowywania może być bardzo długi. Z linka którym podałam:

 

"Once you select an encrypted file, you will receive a warning that the brute force process can take many hours if not days."

 

Druga sprawa, jest potrzebne dużo wolnego miejsca na dysku, nie wiem czy to co było na początku wystarczy:

 

Drive c: (3BETTY-XP) (Fixed) (Total:40.34 GB) (Free:12.8 GB) FAT32 ==>[dysk z komponentami startowymi (Windows XP)]

 

Po trzecie, nie jest gwarantowane, że się uda. Wszystko zależy od tego jak "słabe zabezpieczenie" miał wariant w Twoim systemie.

Odnośnik do komentarza

1) Słonko Ty moje - zerknij na pierwszy wpis "angielski-noga" (czyli: nie pisaty-nie kumaty) i dlatego prosiłam o pomoc łopatologiczną (dla laika... no dobrze: dla nieuka). Albo udaje mi się cosik dobrze zrobić instynktownie, albo prób i błędów.

2) Co do wolnego miejsca na dysku; obecny ma 120 GB, ale miałam 500 GB który zaczął mi tykać jak stary zegar i pod koniec nie zawsze miałam z nim "łączność". Przeniosłam jak najwięcej danych z 500 na 120 i dlatego jest tak zapchany.

3) Wstyd się przyznać, ale w ogóle nie był zabespieczony. Byłam zbyt pewna, że poruszając się w bezpiecznych tematach czy odbierając e-mail uchronie się przed atakami. Z sieci nic nie ściągałam (po za programami z firmowanych stron). Kasperky zainstalowałam dopiero po ataku.

4) W świat internetu weszłam w 2001 roku i przez kilka lat byłam na bieżąco, ale później powróciłam do życia realnego i to spowodowało, że: kto stoi w miejscu, ten się cofa. Nawet nie zdawalam sobie spawy, że aż tak daaaaaaleko można

5) Dołączam załącznik jak obecnie pracuje mój komp (wydajnosc)

6) Domyślam się iż jeszcze chodzi coś nie tak. Byłabym Ci bardzo wdzięczna, gdybyś zerknęła na "procesy" (to dla mnie czarna magia... jak i wpisy w rejestrze).

post-16590-0-69610000-1447109382_thumb.jpg

post-16590-0-63890000-1447109408_thumb.jpg

post-16590-0-51170000-1447109429_thumb.jpg

Odnośnik do komentarza

1) Słonko Ty moje - zerknij na pierwszy wpis "angielski-noga" (czyli: nie pisaty-nie kumaty) i dlatego prosiłam o pomoc łopatologiczną (dla laika... no dobrze: dla nieuka). Albo udaje mi się cosik dobrze zrobić instynktownie, albo prób i błędów.

Przepraszam za ten cytat po angielsku.

 

 

2) Co do wolnego miejsca na dysku; obecny ma 120 GB, ale miałam 500 GB który zaczął mi tykać jak stary zegar i pod koniec nie zawsze miałam z nim "łączność". Przeniosłam jak najwięcej danych z 500 na 120 i dlatego jest tak zapchany.

Nawiasem mówiąc to jest w rzeczywistości mniej niż równe 120GB, tzn. "tylko" 111.8 GB. Niczego nie brakuje, są po prostu stosowane dwa typy liczenia: producent dysku marketingowo wykorzystuje obliczenia w systemie dziesiętnym (by wyglądało że jest "więcej"), ale to samo Windows kalkuluje w systemie dwójkowym (czyli "w plecy" jest troszeczkę).

 

 

3) Wstyd się przyznać, ale w ogóle nie był zabespieczony. Byłam zbyt pewna, że poruszając się w bezpiecznych tematach czy odbierając e-mail uchronie się przed atakami. Z sieci nic nie ściągałam (po za programami z firmowanych stron). Kasperky zainstalowałam dopiero po ataku.

Tę infekcję prawdopodobnie złapałaś właśnie via e-mail otwierając jakiś załącznik. Obecnie jest to jedna z głównych dróg rozprzestrzeniania się infekcji szyfrujących dane. Jest multum takich infekcji, a Twoja nie jest tą najgorszą, bo jest jakaś szansa na odszyfrowanie. Aczkolwiek zaznaczyłam, że nie ma gwarancji, gdyż ta sama infekcja na dwóch różnych komputerach może zastosować nietożsamą siłę hasła. Są osoby, które utraciły dane, bo RakhniDecryptor poległ.

 

 

5) Dołączam załącznik jak obecnie pracuje mój komp (wydajnosc)

6) Domyślam się iż jeszcze chodzi coś nie tak. Byłabym Ci bardzo wdzięczna, gdybyś zerknęła na "procesy" (to dla mnie czarna magia... jak i wpisy w rejestrze).

Aktualnie jest specyficzne środowisko zadaniowe nie podlegające innym analizom. Procesor obciąża RakhniDecryptor, który wykonuje niewiarygodną ilość operacji, "atak siłowy" na hasło i mnogość kombinacji którą narzędzie sprawdza kosztuje. Proces dekrypcji jest niezwykle zasobożerny, a im słabszy sprzęt, tym bardziej to widoczne. Niestety nie ma możliwości, by wpłynąć na polepszenie stanu rzeczy nie przerywając pracy Kasperskiego, a ponowne jego uruchomienie sprowadzi się do tego samego efektu, bo po prostu potrzebna jest moc obliczeniowa.

W obecnej sytuacji należy zostawić komputer "na wolnym biegu", tzn. nie utrudniać narzędziu dodatkowo i nie otwierać żadnych dodatkowych programów. Tu nie ma innej rady niż przeczekać to co się dzieje w tle, aż do końcowych wyników pracy narzędzia (pozytywnych lub negatywnych), by uzyskać pewność, że zrobiono wszystko co możliwe, by odszyfrować dane. Jak już powiedziane, proces próby odszyfrowania jest bardzo mozolny i Kaspersky stosuje ostrzeżenie przed rozpoczęciem, że należy się przygotować na wiele godzin, a nawet dni.

 

W przypadku gdy RakhniDecryptor nie znajdzie u Ciebie pasującego hasła, nie widzę już innego ratunku.

Odnośnik do komentarza

Tak zapytam z ciekawości być może jest to jakiś ratunek otóż usunąć rozszerzenie z pliku. Mogło być tak, że program dodał tylko na początku przy otwieraniu te 'zabezpieczenie' szyfrujące i jest jakakolwiek szansa na to, że właśnie tak się stało i zmienienie rozszerzenia do podstawowego by uratowało pliki.

Ta metoda na pewno nie działa, a wręcz pogarsza stan, pliki zostaną pominięte przez dekoder. Zaszyfrowanym plikom nie należy samodzielnie zmieniać nazw. To robota dla dekodera (pomyślne odszyfrowanie równa się też przywróceniu poprzedniej nazwy).

Odnośnik do komentarza

ODKODOWUJE! - albo raczej kopiuje odkodowane i chyba będzie duży problem z miejscem na dysku. Sprawdziłam już jeden plik naprawiony z pulpitu, ale on pojawił mi się jako drugi z właściwą ikoną. Na dysku "C" było 12,8 GB, a zostało 4,48.Teraz leci dysk "D" na krórym zostało 208 KB wolnego miejsca, a tam mam MP3. Chyba będę musiała kupić drugi dysk i jeszcze raz zapuścić ten program. Narazie poczekam na jego zakończenie, ale nie mogłam zapanować nad radością i musiałam się tą dobrą wiadomością z Wami (a przede wszytkim z Picasso) podzielić.  

Odnośnik do komentarza

Tak, duplikaty są spodziewane. Dekoder zabezpiecza się na wypadek niepowodzenia. Nie usuwa zaszyfrowanych wersji i tworzy wersje niezaszyfrowane. Te wszystkie zaszyfrowane pliki to usunę hurtowo za pomocą FRST, ale zanim to nastąpi musisz mi potwierdzić, że Kaspersky odkodował wszystko i że odkodowane pliki działają. Na obrazku widać, że wykryto więcej plików niż odkodowano, a wiele wystąpień ma opis "Processing error" (= błąd przetwarzania) i nie nie wiem do czego to podciągnąć (brak miejsca na dysku? inne powody?).

Odnośnik do komentarza

No cóż, to jest jakiś wariant. Ale najpierw zaczęłabym od czegoś innego, a zajmie Ci to sporo czasu. Sprawdzić wszystkie które mają w oknie status "Decrypted" czy naprawdę działają po odkodowaniu, bo może się zdarzyć że coś jednak nie będzie działać. Następnie wszystkie te które mają status "Processing error" skopiować na jakiś zewnętrzy nośnik do późniejszego dekodowania.

Odnośnik do komentarza

Możemy zrobić następującą operację: usunąć wszystkie zaszyfrowane pliki z partycji C, E, F, G - to zwolni nieco miejsca na nich. I wtedy można spróbować przekopiować część zaszyfrowanych plików z D na wybrane partycje i zapuścić dekoder ponownie.

 

Zakładam, że na pewno wszystko odszyfrowane na tych partycjach, gdyż akcja usunięcia szyfrowanych wersji jest nieodwracalna. Przy okazji będą adresowane drobnostki widoczne w pierwszych raportach FRST. Czyli:

 

1. Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe AIR, Adobe Reader 9.5.1, OpenOfficePL 2.2.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
BootExecute: autocheck autochk * sh4native Sh4Removal
Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
S3 AsrCDDrv; \??\C:\WINDOWS\system32\Drivers\AsrCDDrv.sys [X]
HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [RocketDock] => "C:\Program Files\RocketDock\RocketDock.exe"
HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [Asrsetup] => H:\ASRSetup.exe
CustomCLSID: HKU\S-1-5-21-1801674531-823518204-725345543-1003_Classes\CLSID\{0B4AA204-AB61-47E3-B5B4-27DCF375EBAC}\localserver32 -> "CDStart.exe" => Brak pliku
HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = hxxp://www.msn.com/access/allinone.asp
HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = hxxp://www.microsoft.com/msoffice/
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
C:\spyhunter.fix
C:\Documents and Settings\Betty\Dane aplikacji\sversion.ini
C:\Documents and Settings\Betty\Dane aplikacji\recovery.bmp
C:\Documents and Settings\Betty\Pulpit\Skrót do SpyHunter4.lnk
C:\Documents and Settings\Betty\Ustawienia lokalne\Dane aplikacji\housecall.guid.cache
C:\WINDOWS\system32\sh4native.exe
C:\WINDOWS\system32\Drivers\tmcomm.sys
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Documents and Settings\Betty\Moje dokumenty\Downloads\SpyHunter 4.20.9.4533 Portable - AppzDam
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
CMD: attrib -r -h -s C:\*_helpme@freespeechmail.org /s
CMD: attrib -r -h -s E:\*_helpme@freespeechmail.org /s
CMD: attrib -r -h -s F:\*_helpme@freespeechmail.org /s
CMD: attrib -r -h -s G:\*_helpme@freespeechmail.org /s
CMD: del /q /s C:\*_helpme@freespeechmail.org
CMD: del /q /s E:\*_helpme@freespeechmail.org
CMD: del /q /s F:\*_helpme@freespeechmail.org
CMD: del /q /s G:\*_helpme@freespeechmail.org
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Przetwarzanie Fix może długo trwać, załączone rekursywne usuwanie wszystkich zaszyfrowanych plików z wszystkich partycji z wyjątkiem D.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Plik fixlog.txt też dołącz, ale on będzie makabrycznie wielki, więc spakuj go do ZIP, shostuj gdzieś i podaj link do paczki.

Odnośnik do komentarza

Skoro Kaspersky teraz obrabia pliki z dysku D, to poczekajmy na ukończenie tego. Jeśli akcja się skończy powodzeniem i wszystko z D będzie odszyfrowane i w pełni sprawne, poprzednio podany skrypt FRST zostanie rozszerzony o usuwanie szyfrowanych wersji również z D. Czyli zamiast poprzednio podanej ta wersja do uruchomienia:

 

CloseProcesses:
CreateRestorePoint:
BootExecute: autocheck autochk * sh4native Sh4Removal
Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
S3 AsrCDDrv; \??\C:\WINDOWS\system32\Drivers\AsrCDDrv.sys [X]
HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [RocketDock] => "C:\Program Files\RocketDock\RocketDock.exe"
HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [Asrsetup] => H:\ASRSetup.exe
CustomCLSID: HKU\S-1-5-21-1801674531-823518204-725345543-1003_Classes\CLSID\{0B4AA204-AB61-47E3-B5B4-27DCF375EBAC}\localserver32 -> "CDStart.exe" => Brak pliku
HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = hxxp://www.msn.com/access/allinone.asp
HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = hxxp://www.microsoft.com/msoffice/
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
C:\spyhunter.fix
C:\Documents and Settings\Betty\Dane aplikacji\sversion.ini
C:\Documents and Settings\Betty\Dane aplikacji\recovery.bmp
C:\Documents and Settings\Betty\Pulpit\Skrót do SpyHunter4.lnk
C:\Documents and Settings\Betty\Ustawienia lokalne\Dane aplikacji\housecall.guid.cache
C:\WINDOWS\system32\sh4native.exe
C:\WINDOWS\system32\Drivers\tmcomm.sys
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\Documents and Settings\Betty\Moje dokumenty\Downloads\SpyHunter 4.20.9.4533 Portable - AppzDam
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f"
CMD: attrib -r -h -s C:\*_helpme@freespeechmail.org /s
CMD: attrib -r -h -s D:\*_helpme@freespeechmail.org /s
CMD: attrib -r -h -s E:\*_helpme@freespeechmail.org /s
CMD: attrib -r -h -s F:\*_helpme@freespeechmail.org /s
CMD: attrib -r -h -s G:\*_helpme@freespeechmail.org /s
CMD: del /q /s C:\*_helpme@freespeechmail.org
CMD: del /q /s D:\*_helpme@freespeechmail.org
CMD: del /q /s E:\*_helpme@freespeechmail.org
CMD: del /q /s F:\*_helpme@freespeechmail.org
CMD: del /q /s G:\*_helpme@freespeechmail.org
EmptyTemp:

 

Oczywiście to można użyć już tylko po pełnym odzyskaniu wszystkich danych z wszystkich partycji, w przeciwnym wypadku zostanie na zawsze odcięta droga do repety.

Odnośnik do komentarza

Tu i tak klarowało się konwertowanie systemu plików wszystkich partycji na dysku 120, bo partycje są w starym i bardziej awaryjnym systemie plików FAT32. Należy sformatować w NTFS. I skoro plany idą aż tak daleko, to możemy całkowicie sobie darować wykonywanie Fix FRST. Usunięcie partycji wszystko załatwi. Tylko pytanie, czy planujesz ponownie instalować stary system XP? Jeśli to możliwe, to już bym robiła przeskok na najnowszy system.

 

Zdecydowanie polecam, by na nowym dysku 500 trzymać wszystkie dane izolując je od działającego systemu. Ale pamiętaj o tym, że infekcje szyfrujące atakują wszystkie możliwe dyski (w tym sieciowe) dostępne podczas zdarzenia, więc pełnym zabezpieczeniem byłoby przeznaczyć ten dysk na magazyn kopii zapasowych nie podłączany na stałe do komputera.

Odnośnik do komentarza

XP idzie już do lamusa. Już jakiś czas temu mialam w planach zainstalowanie siódemki, ale zabieram się za to jak pies za jeża.

Jestam osobą niepełnosprawną i ludziom, którzy mi pomagają odwdzięczam się robiąc im foto-albumy, czy pisząc pisemka. Dlatego najbardziej zależało mi na odzyskaniu ich plików. Jak pojawia się większy problem, to zaczynam się gubić i wpadam w panike. Troche się boje, że sama sobie nie poradze z reinstalacją systemu.

Odnośnik do komentarza

XP idzie już do lamusa. Już jakiś czas temu mialam w planach zainstalowanie siódemki, ale zabieram się za to jak pies za jeża.

(...)

Troche się boje, że sama sobie nie poradze z reinstalacją systemu.

Teraz jest dobry czas na gruntowną modernizację układu, więc instalacja Windows 7 jak najbardziej na miejscu. Instalacja nie jest trudniejsza niż instalacja XP. W razie czego służę pomocą.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...