shanq Opublikowano 29 Września 2016 Zgłoś Udostępnij Opublikowano 29 Września 2016 Witam. Wczoraj system został zainfekowany wirusem decrypter. Wszystkie zdjęcia zostały zablokowane. Proszę o pomoc. FRST.txt Addition.txt Shortcut.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 29 Września 2016 Zgłoś Udostępnij Opublikowano 29 Września 2016 To najnowsza infekcja Unblockupc Ransomware. Nie ma ratunku dla zakodowanych plików. Podobny temat z tą infekcją: KLIK. Przywracanie systemu miałeś wyłączone, więc odpada szukanie kopii zapasowej na dysku C. Poza tym, są tu niestety aż trzy dyski, dane są szyfrowane na wszystkich. W raportach widzę tylko elementy związane z notatkami ransom (te pliki same w sobie nie są szkodliwe) oraz chyba zablokowany katalog minecraft. Jedyne czym jestem w stanie się zająć, to doczyścić to co widać i nic więcej... Decyduj co robimy, czy kopiujesz zaszyfrowane dane na nośnik zewnętrzny (na przyszłość, gdyby pojawiło się jakieś rozwiązanie) i format, czy doczyszczanie tego co widać. Odnośnik do komentarza
shanq Opublikowano 29 Września 2016 Autor Zgłoś Udostępnij Opublikowano 29 Września 2016 Doczyszczanie. Czy mogę logować się do swojego banku? Odnośnik do komentarza
picasso Opublikowano 29 Września 2016 Zgłoś Udostępnij Opublikowano 29 Września 2016 Szczerze mówiąc, nie wiem czy można ufać stanowi systemu, a mechanizm tej infekcji nie jest do końca znany. Przy infekcjach szyfrujących dane jest mimo wszystko zalecany format. Jeśli decydujesz się na doczyszczanie: Na początek uruchom RansomNoteCleaner, wybierz tę infekcję i wskaż do czyszczenia cały dysk / dyski. Narzędzie nagra log z operacji. Przedstaw go. Log ten będzie zapewne ogromny i nie wejdzie w załączniki, więc shostuj na serwisie zewnętrznym i dostarcz link. Odnośnik do komentarza
shanq Opublikowano 30 Września 2016 Autor Zgłoś Udostępnij Opublikowano 30 Września 2016 Log w załączniku RansomNoteCleaner.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 Coś mało tych plików "Files encrypted.txt" skasowanych. Czy na pewno nigdzie ich już nie widzisz? I tu więcej nic nie jestem w stanie zrobić, poza pobocznymi działaniami. Doczyść inne elementy oraz wpisy odpadkowe: 1. Deinstalacje: - Odinstaluj Ace Stream Media 3.1.7 (zintegrowany moduł reklamodawczy uruchamiany po predefiniowanym czasie) oraz !xSpeedPro 1.4 (archaiczny tweaker pod stare systemy). - W Google Chrome odmontuj rozszerzenia Hola - Free VPN, Ad;Block Plus. Hola powiązana z niepożądanymi aktywnościami: KLIK / KLIK. Natomiast to drugie rozszerzenie jest podejrzane i zostało usunięte z Chrome Web Store. - W Firefox sugeruję usunąć Youtube Downloader - 4K Download. To rozszerzenie jest znane z niepożądanych aktywności: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia Startup: C:\Users\Kuba i Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-28] () CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{41B89628-3BF9-D1E3-385B-EC1E477BD28F}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt () CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{9C77117E-049E-1C48-2950-AB001B022A89}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf () FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll [brak pliku] FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll [brak pliku] Task: {01B82FEB-2FEA-4FDB-A1FE-01A926B06B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {07CE7B31-C7C1-43B4-B482-0AA05F953FDD} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {1134E9A8-8395-401C-B872-202A5894F173} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {143DA133-667F-4AAD-8C93-7FC742D6731A} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {17A9195F-C078-48A7-AE95-916B24C41AF3} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {1AA648AD-D8CF-4759-8400-3B042AA8C0C1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {1D6A95B1-CEEC-4DA8-A1C8-D1F2E2DB04E7} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {24A522B9-26BA-4E94-B918-1810F2274D3D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {41A84CA8-E449-4BCA-B816-F18C62F256EA} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {44A89FCF-8DF1-45B7-ACFB-1E33FF61F8F0} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {44E790EF-4BA6-4C30-B738-C5F5C2083B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {487A6CE3-1B91-4364-A961-3044C6EB39A8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {53F3150E-44D5-4D61-8F0B-3B69317295D2} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {56375E71-59CE-4F87-93CC-A96F1524607F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {61ECBEC7-7149-47B7-9E29-EC31ADE8B256} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {6489B22C-8840-4016-B8C3-FD979BC60FCF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {69FCE008-65E2-4702-B071-6880EBF38A3B} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {6A0C031B-EFE5-4451-B80B-FA1B4701AC0B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6B77198A-B7C1-4CA3-8E13-EE3E855691BE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7D67E329-0850-4D81-8B54-AE9C13FCF306} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {85533619-3A11-4D9C-BEBB-E7E6641C830D} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {8A5F7929-44F2-424F-AD21-2FB17101DCD2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8C57B184-E0AC-47B1-A8B2-68C0DB6FF468} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {97043218-AA71-478C-95A3-21B323980277} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {9E18ED44-5AC6-42D6-AAD6-E38D1AE0EB06} - System32\Tasks\{539563CC-23A7-404B-BAE5-E9D5491D82A4} => pcalua.exe -a "D:\Program Files (x86)\Deluxe Ski Jump 4\Setup.exe" -d "D:\Program Files (x86)\Deluxe Ski Jump 4" Task: {A8420187-73E0-420F-A947-E552CF4FF391} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {AC3F17C5-5D79-458B-ADAD-5FB9C2C3C237} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BAE9E25D-401A-4A58-9F2A-B76ED5F04221} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {BE639ED8-6B8A-450C-8F83-2B9C4ABEFFD3} - System32\Tasks\{AC7EEBDE-C856-4D68-B400-9E09F7FE87D4} => pcalua.exe -a "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)\setup.exe" -d "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)" Task: {D002887D-A383-4099-A7FB-61BC80E2D625} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {D35A1C42-F74D-44BA-8444-BDC9B98B0383} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D9A832D0-AAE4-4F83-B6E4-4A8636D05AF4} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DAFD5D86-200A-4817-A8FD-BC115B4E86CD} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {DC56DAA5-BC1C-4846-AA96-CDC6C7FF7D3B} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {DEDE361C-067B-4786-A542-9C0C552BC85B} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {E58830CB-6465-47E7-B74F-15B2C30A7259} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {E87A98B3-F18D-4475-8675-342E7CEA4A28} - System32\Tasks\{2F64E152-E0AD-41F3-857F-9861B8B0D51D} => pcalua.exe -a "C:\Program Files (x86)\DS3_service\ScpService.exe" -d "C:\Program Files (x86)\DS3_service" Task: {F7AC6972-47A9-42D8-B4FB-DD7168A4FCCD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F9E8EA9C-8D60-4255-9A31-5BB1B5B36871} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {FD879963-45A1-4658-9161-DEEF0DAB432B} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center HKU\S-1-5-21-2670859206-3087183214-2171256421-1000\...\StartupApproved\Run: => "AceStream" R3 gkernel; C:\Users\Kuba i Michał\AppData\Local\Temp\gkernel.sys [44544 2016-09-28] () [brak podpisu cyfrowego] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CMD: netsh advfirewall reset CMD: type C:\ProgramData\uid.txt C:\ProgramData\uid.txt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Kuba\Desktop\Fallout 4.lnk C:\Users\Kuba i Michał\AppData\Roaming\uid.txt C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf C:\Users\Kuba i Michał\Desktop\decryptor.exe C:\Users\Kuba i Michał\Desktop\uid.txt C:\Users\Kuba i Michał\Desktop\Battlefield 4.lnk C:\Users\Kuba i Michał\Documents\decryptor.exe C:\Users\Kuba i Michał\Documents\uid.txt C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
shanq Opublikowano 1 Października 2016 Autor Zgłoś Udostępnij Opublikowano 1 Października 2016 Coś mało tych plików "Files encrypted.txt" skasowanych. Czy na pewno nigdzie ich już nie widzisz? Nigdzie ich już nie widzę. Logi w załączniku. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 1 Października 2016 Zgłoś Udostępnij Opublikowano 1 Października 2016 1. Przez SHIFT+DEL (omija Kosz) dokasuj jeszcze te elementy z dysku: C:\ProgramData\encinfo.jpg C:\Users\Kuba i Michał\AppData\Roaming\.ACEStream C:\Users\Kuba i Michał\AppData\Roaming\ACEStream Natomiast ten drugi C:\ProgramData\encfiles.log zawiera listę zakodowanych plików, więc sobie porównaj z tym co się stało na dysku. Zakodowane pliki zachowaj na wypadek gdyby w przyszłości pojawił się jakiś ratunek. 2. Uruchom DelFix. GMER i RansomNoteCleaner dokasuj ręcznie. 3. Zabezpieczenia przed infekcjami szyfrującymi dane. Lista programów zabezpieczających tutaj: KLIK. Pod kątem infekcji szyfrujących dane: Darmowe: Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane Bitdefender Anti-Ransomware CryptoPrevent Free Edition EMET (Enhanced Mitigation Experience Toolkit) Kaspersky Anti-Ransomware Tool for Business [Wymagana szczegółowa rejestracja] Malwarebytes Anti-Exploit Free (MBAE) [Przez 14-dni można testować wszystkie funkcje, potem następuje przełączenie na limitowaną wersję freeware] SBGuard Anti-Ransomware ViRobot APT Shield Inne monitory / Anti-exe, śledzenie zachowań, HIPS NoVirusThanks EXE Radar Pro [beta] [starsza wersja stabilna jest płatna] VoodooShield Free Komercyjne: Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane CryptoPrevent Premium HitmanPro.Alert Malwarebytes Anti-Exploit (MBAE) Premium Malwarebytes Anti-Ransomware [beta. Produkt przejściowy, jego funkcjonalność zostanie scalona z Malwarebytes Anti-Malware.] WinAntiRansom PLUS Inne monitory / Anti-exe, śledzenie zachowań, HIPS AppGuard VoodooShield Pro Niezbędne też wykonywanie kopii zapasowych cennych danych, a kopie umieszczane na odizolowanym dysku podłączanym tylko tymczasowo. Infekcje szyfrujące dane atakują każdy dostępny dysk lokalny, wymienny i sieciowy. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się