Skocz do zawartości
shanq

Wirus decrypter

Rekomendowane odpowiedzi

To najnowsza infekcja Unblockupc Ransomware. Nie ma ratunku dla zakodowanych plików. Podobny temat z tą infekcją: KLIK. Przywracanie systemu miałeś wyłączone, więc odpada szukanie kopii zapasowej na dysku C. Poza tym, są tu niestety aż trzy dyski, dane są szyfrowane na wszystkich.

 

W raportach widzę tylko elementy związane z notatkami ransom (te pliki same w sobie nie są szkodliwe) oraz chyba zablokowany katalog minecraft. Jedyne czym jestem w stanie się zająć, to doczyścić to co widać i nic więcej... Decyduj co robimy, czy kopiujesz zaszyfrowane dane na nośnik zewnętrzny (na przyszłość, gdyby pojawiło się jakieś rozwiązanie) i format, czy doczyszczanie tego co widać.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Szczerze mówiąc, nie wiem czy można ufać stanowi systemu, a mechanizm tej infekcji nie jest do końca znany. Przy infekcjach szyfrujących dane jest mimo wszystko zalecany format. Jeśli decydujesz się na doczyszczanie:

 

Na początek uruchom RansomNoteCleaner, wybierz tę infekcję i wskaż do czyszczenia cały dysk / dyski. Narzędzie nagra log z operacji. Przedstaw go. Log ten będzie zapewne ogromny i nie wejdzie w załączniki, więc shostuj na serwisie zewnętrznym i dostarcz link.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Coś mało tych plików "Files encrypted.txt" skasowanych. Czy na pewno nigdzie ich już nie widzisz?

 

I tu więcej nic nie jestem w stanie zrobić, poza pobocznymi działaniami. Doczyść inne elementy oraz wpisy odpadkowe:

 

1. Deinstalacje:

- Odinstaluj Ace Stream Media 3.1.7 (zintegrowany moduł reklamodawczy uruchamiany po predefiniowanym czasie) oraz !xSpeedPro 1.4 (archaiczny tweaker pod stare systemy).

- W Google Chrome odmontuj rozszerzenia Hola - Free VPN, Ad;Block Plus. Hola powiązana z niepożądanymi aktywnościami: KLIK / KLIK. Natomiast to drugie rozszerzenie jest podejrzane i zostało usunięte z Chrome Web Store.

- W Firefox sugeruję usunąć Youtube Downloader - 4K Download. To rozszerzenie jest znane z niepożądanych aktywności: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Ograniczenia 
Startup: C:\Users\Kuba i Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-28] ()
CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{41B89628-3BF9-D1E3-385B-EC1E477BD28F}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt ()
CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{9C77117E-049E-1C48-2950-AB001B022A89}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf ()
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll [brak pliku]
FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll [brak pliku]
Task: {01B82FEB-2FEA-4FDB-A1FE-01A926B06B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {07CE7B31-C7C1-43B4-B482-0AA05F953FDD} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {1134E9A8-8395-401C-B872-202A5894F173} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {143DA133-667F-4AAD-8C93-7FC742D6731A} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {17A9195F-C078-48A7-AE95-916B24C41AF3} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {1AA648AD-D8CF-4759-8400-3B042AA8C0C1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {1D6A95B1-CEEC-4DA8-A1C8-D1F2E2DB04E7} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {24A522B9-26BA-4E94-B918-1810F2274D3D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {41A84CA8-E449-4BCA-B816-F18C62F256EA} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {44A89FCF-8DF1-45B7-ACFB-1E33FF61F8F0} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {44E790EF-4BA6-4C30-B738-C5F5C2083B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {487A6CE3-1B91-4364-A961-3044C6EB39A8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {53F3150E-44D5-4D61-8F0B-3B69317295D2} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {56375E71-59CE-4F87-93CC-A96F1524607F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {61ECBEC7-7149-47B7-9E29-EC31ADE8B256} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {6489B22C-8840-4016-B8C3-FD979BC60FCF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {69FCE008-65E2-4702-B071-6880EBF38A3B} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku 
Task: {6A0C031B-EFE5-4451-B80B-FA1B4701AC0B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {6B77198A-B7C1-4CA3-8E13-EE3E855691BE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {7D67E329-0850-4D81-8B54-AE9C13FCF306} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {85533619-3A11-4D9C-BEBB-E7E6641C830D} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {8A5F7929-44F2-424F-AD21-2FB17101DCD2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {8C57B184-E0AC-47B1-A8B2-68C0DB6FF468} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {97043218-AA71-478C-95A3-21B323980277} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {9E18ED44-5AC6-42D6-AAD6-E38D1AE0EB06} - System32\Tasks\{539563CC-23A7-404B-BAE5-E9D5491D82A4} => pcalua.exe -a "D:\Program Files (x86)\Deluxe Ski Jump 4\Setup.exe" -d "D:\Program Files (x86)\Deluxe Ski Jump 4"
Task: {A8420187-73E0-420F-A947-E552CF4FF391} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {AC3F17C5-5D79-458B-ADAD-5FB9C2C3C237} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {BAE9E25D-401A-4A58-9F2A-B76ED5F04221} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {BE639ED8-6B8A-450C-8F83-2B9C4ABEFFD3} - System32\Tasks\{AC7EEBDE-C856-4D68-B400-9E09F7FE87D4} => pcalua.exe -a "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)\setup.exe" -d "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)"
Task: {D002887D-A383-4099-A7FB-61BC80E2D625} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {D35A1C42-F74D-44BA-8444-BDC9B98B0383} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {D9A832D0-AAE4-4F83-B6E4-4A8636D05AF4} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {DAFD5D86-200A-4817-A8FD-BC115B4E86CD} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {DC56DAA5-BC1C-4846-AA96-CDC6C7FF7D3B} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe
Task: {DEDE361C-067B-4786-A542-9C0C552BC85B} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {E58830CB-6465-47E7-B74F-15B2C30A7259} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {E87A98B3-F18D-4475-8675-342E7CEA4A28} - System32\Tasks\{2F64E152-E0AD-41F3-857F-9861B8B0D51D} => pcalua.exe -a "C:\Program Files (x86)\DS3_service\ScpService.exe" -d "C:\Program Files (x86)\DS3_service"
Task: {F7AC6972-47A9-42D8-B4FB-DD7168A4FCCD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {F9E8EA9C-8D60-4255-9A31-5BB1B5B36871} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe
Task: {FD879963-45A1-4658-9161-DEEF0DAB432B} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
HKU\S-1-5-21-2670859206-3087183214-2171256421-1000\...\StartupApproved\Run: => "AceStream"
R3 gkernel; C:\Users\Kuba i Michał\AppData\Local\Temp\gkernel.sys [44544 2016-09-28] () [brak podpisu cyfrowego]
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
CMD: netsh advfirewall reset
CMD: type C:\ProgramData\uid.txt
C:\ProgramData\uid.txt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft
C:\Users\Kuba\Desktop\Fallout 4.lnk
C:\Users\Kuba i Michał\AppData\Roaming\uid.txt
C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt
C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf
C:\Users\Kuba i Michał\Desktop\decryptor.exe
C:\Users\Kuba i Michał\Desktop\uid.txt
C:\Users\Kuba i Michał\Desktop\Battlefield 4.lnk
C:\Users\Kuba i Michał\Documents\decryptor.exe
C:\Users\Kuba i Michał\Documents\uid.txt
C:\Windows\ehome
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

1. Przez SHIFT+DEL (omija Kosz) dokasuj jeszcze te elementy z dysku:

 

C:\ProgramData\encinfo.jpg

C:\Users\Kuba i Michał\AppData\Roaming\.ACEStream

C:\Users\Kuba i Michał\AppData\Roaming\ACEStream

 

Natomiast ten drugi C:\ProgramData\encfiles.log zawiera listę zakodowanych plików, więc sobie porównaj z tym co się stało na dysku. Zakodowane pliki zachowaj na wypadek gdyby w przyszłości pojawił się jakiś ratunek.

 

2. Uruchom DelFix. GMER i RansomNoteCleaner dokasuj ręcznie.

 

3. Zabezpieczenia przed infekcjami szyfrującymi dane. Lista programów zabezpieczających tutaj: KLIK. Pod kątem infekcji szyfrujących dane:

 

Darmowe:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

Inne monitory / Anti-exe, śledzenie zachowań, HIPS Komercyjne:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

Inne monitory / Anti-exe, śledzenie zachowań, HIPS

Niezbędne też wykonywanie kopii zapasowych cennych danych, a kopie umieszczane na odizolowanym dysku podłączanym tylko tymczasowo. Infekcje szyfrujące dane atakują każdy dostępny dysk lokalny, wymienny i sieciowy.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...