Unblockupc.in - porażka

[pj007]

Wczoraj dopadł mnie ten wredny typ, jak go się pozbyć ?

Przeglądąłem straty z aranżacjami zbiorników wodnych i dopadło mnie

Antywirus nic nie widzi.

Wredota zaszyfrowała ok 70% plików cudem nie ruszyło kilku folderów w sumie nie wiem dlaczego tam był same zdjęcia i filmy rodzinne.

Jak to cholerstwo wyrzucić z kompa i czekać spokojnie aż ktoś przekaże dekoder tej wredoty.

 

Zaaktualizowane i najbardziej aktualne z możliwych.

 

Przed skanem przetestowałem komputer NOD32 oraz programem: Malwarebytes Anti-Malware

 

Skasowałem też pliki tekstowe ktore byly w zmodyfikowanych folderach, w plikach tych byl tylko spam o stronach na ktore mozna wejsc by odblokowac pliki.

 

Shortcut.txt Addition.txt FRST.txt GMER.txt

[picasso]

Cytat

Przed skanem przetestowałem komputer NOD32 oraz programem: Malwarebytes Anti-Malware

 

Instalowałaś także skaner wątpliwej reputacji SpyHunter.

 

 

Cytat

Wredota zaszyfrowała ok 70% plików cudem nie ruszyło kilku folderów w sumie nie wiem dlaczego tam był same zdjęcia i filmy rodzinne.

Jak to cholerstwo wyrzucić z kompa i czekać spokojnie aż ktoś przekaże dekoder tej wredoty.

 

W raportach nie widać nic więcej niż plik einfo.exe w starcie (związany z wyświetlaniem planszy z okupem na Pulpicie), pliki uid.txt i dwa dziwne wpisy CustomCLSID (może to być konsekwencja utraty właściwości docelowych plików ze względu na szyfrowanie). A w pliku C:\ProgramData\encfiles.log powinna być lista wszystkich zaszyfrowanych plików. Skanery mogą tu nic nie wykrywać, bo infekcja może już nie istnieć. Infekcje szyfrujące dane mają planowane samoczynne usunięcie się po ukończeniu szyfrowania. Widoczność notatek ransom jest niestety zbyt późną fazą, gdy infekcja ukończyła działanie. Użytkownik siedzi z infekcją szyfrującą dane nie wiedząc że to się dzieje (poza niejasnym obciążeniem procesora, gdy szyfrowanie jest w toku), jawne komunikaty o zaszyfrowanych plikach pojawiają się, gdy nie ma już czego ratować.

 

 

1. Twierdzisz, że nie wszystko zaszyfrowane. Na wszelki wypadek proponuję wejść w Tryb awaryjny Windows i szybko przekopiować to co ostało się na zewnętrzny dysk, dysk odpiąć, następnie wejść z powrotem do trybu normalnego i odwiedzić te foldery ponownie, by sprawdzć czy pliki są nadal niezaszyfrowane. To ma w zamiarze potwierdzić, że szyfrowanie nie jest już aktywne. W innym temacie tu na forum użytkownik też raportował, że ma jakoby tylko część zaszyfrowaną, a po odwiedzeniu folderów + restart systemu zaszyfrowana została pozostała część. Infekcji u niego nie było widać, więc sugerowałam, że może nie zauważył prawdziwego zakresu szyfrowania na innych dyskach. Skłonił się do tej opcji, ale ja pewności nie mam co tu się dzieje.

 

2. Odinstaluj Ace Stream Media 3.1.6, zintegrowany player posiada moduł adware preaktywowany po określonym czasie. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CMD: type C:\ProgramData\uid.txt
Startup: C:\Users\hp 250\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-28] ()
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\igfxcui: igfxdev.dll [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
CustomCLSID: HKU\S-1-5-21-2885112695-2845545208-2409991739-1001_Classes\CLSID\{1F830936-B874-E793-74C3-D7CB2589A5B5}\InprocServer32 -> C:\Users\hp 250\AppData\Roaming\HP\Digital Imaging\Data\Destination\profile.ini ()
CustomCLSID: HKU\S-1-5-21-2885112695-2845545208-2409991739-1001_Classes\CLSID\{81796566-F369-C99A-1C26-1A74AF8046E5}\InprocServer32 -> C:\Users\hp 250\AppData\Roaming\Adobe\Acrobat\11.0\Security\services_rdr.txt ()
Task: {174E3E8C-16B0-4FB3-BFC8-2D0C0116BD1B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {19ABC829-E351-485C-96E3-7C1923FF5444} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {32FFF0F3-40BE-4A2E-B372-1F8DD66EF27B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\Windows\System32\AutoWorkplace.exe
Task: {419538FF-502A-4620-BDA9-6B5E5D8D483B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {4D8048AD-BA0A-4EC9-82E2-8C05A7F25C95} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {6AA856D3-45F5-4521-BD97-A984DAF3F14A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {6AF63FD3-A13C-46D5-B2A4-24E7106DA93A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {830F3E9D-BC8F-42E2-8FB8-F19F4F9DE620} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {93EDD824-D08B-464F-B077-394743B51693} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {9F0AB603-4A2D-47E7-A51F-8B932D6B6AC5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {CDC1B183-B322-49D9-AA67-F7C1A8AF7722} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {F691E682-FB57-4399-ABA4-7A3F12607A97} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-09-29] ()
S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-02-13] (McAfee, Inc.)
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions
DeleteKey: HKCU\Software\MozillaPlugins
C:\ProgramData\uid.txt
C:\ProgramData\AVAST Software
C:\Users\hp 250\AppData\Roaming\uid.txt
C:\Users\hp 250\AppData\Roaming\Adobe\Acrobat\11.0\Security\services_rdr.txt
C:\Users\hp 250\AppData\Roaming\Enigma Software Group
C:\Users\hp 250\AppData\Roaming\HP\Digital Imaging\Data\Destination\profile.ini
C:\Windows\System32\Drivers\EsgScanner.sys
C:\Windows\System32\drivers\mfeelamk.sys
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

 

[pj007]

Te pliki co się uratowały nie zostały już później zaszyfrowane.

 

Komputer wydaje mi sie ze wolniej chodzi ale miala miejsce tez duza aktualizacja od MS.

 

Najnowsze pliki

 

Fixlog.txt FRST.txt

[picasso]

Cytat

Te pliki co się uratowały nie zostały już później zaszyfrowane.

 

Czyli w porządku, to potwierdzenie, że infekcja nigdzie nie czyha. Jej tu po prostu już nie ma, tylko skutki jej działania. Pozostaje zachowanie zaszyfrowanych danych w nadziei na rozwiązanie w przyszłości. Na wszelki wypadek też podaję jaki był identyfikator w Twoich plikach uid.txt (nie wiem czy może to być potrzebne w przyszłości):

 

========= type C:\ProgramData\uid.txt =========

Your UID: U1CYB96TUT

 

 

Cytat

Komputer wydaje mi sie ze wolniej chodzi ale miala miejsce tez duza aktualizacja od MS.

 

Prędzej doinstalowane ostatnio programy dodające masę obiektów startowych, a nie aktualizacje Windows. 29 września zainstalowałeś bardzo rozbudowany startowo pakiet ESET Smart Security, a także MBAM. Potencjalny kandydat to ESET.

 

 

Końcowe kroki:

 

1. Przez SHIFT+DEL (omija Kosz) dokasuj poniższe foldery:

 

C:\Users\hp 250\AppData\Roaming\.ACEStream

C:\Users\hp 250\AppData\Roaming\ACEStream

 

2. Zastosuj też DelFix. GMER i jego logi oraz inne pobrane narzędzia dokasuj sobie ręcznie.

 

[pj007]

dziekuje za pomoc, zostalo czekac na dekoder aby odzyskac pliki