xMafiozAx Opublikowano 21 Września 2017 Zgłoś Udostępnij Opublikowano 21 Września 2017 (edytowane) Witam, mam problem, bowiem z mojego pendrive zniknęły pliki, mimo iż miejsce jest na nim zajmowane. Zrobiłem odzyskiwanie plików, lecz prawie wszystkie pliki doc są zapisane w formacie TMP, a gdy chciałem zmienić rozszerzenie na doc to po otwarciu pliku ukazuje się mniej więcej coś takiego: m[Wó8Ľyóć«Żß|őőăW_üł‘˘"uŃ(xć>î–(đ)ĎÉ9±f•Ä˛®‹jť×ëJgŠĹ$ŽÓÂó…©)ěqŚĂŃ… To oczywiście tylko fragment z całego pliku, lecz tak wyglądają prawie wszystkie pliki. Moje pytanie brzmi czy da się z tym cokolwiek zrobić żeby odzyskać dokumenty? Jeśli potrzebujecie czegoś więcej to bez problemu postaram się wam to dać. Edytowane 22 Września 2017 przez xMafiozAx Kasuje linki z malware. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 21 Września 2017 Zgłoś Udostępnij Opublikowano 21 Września 2017 Linki do plików kasuję (są potencjalnie szkodliwe), prześlij mi je w Prywatnej wiadomości na forum. Umieszczanie ich publicznie jest niebezpieczne dla innych użytkowników. Proszę zastosuj się do zasad działu, dodatkowo poproszę o raport z USBFix z opcji Listing oraz Research w momencie, w którym zainfekowany pendrive jest podpięty do komputera. Nie wykonuj żadnych czynności związanych z płatnością online na tym komputerze i nie loguj się do banków itp. usług. Odnośnik do komentarza
xMafiozAx Opublikowano 22 Września 2017 Autor Zgłoś Udostępnij Opublikowano 22 Września 2017 W prywatnej wiadomości podrzucam Ci cały plik który odzyskał mi program, jednak obawiam się też że nie odzyskało mi wszystkich plików z pendrive, bo jak przeleciałem wzrokiem po tych skanach to wydaje się ich być o wiele więcej niż zostało odzyskane. Nie umiem też dokładnie określić ile powinno być plików ze względu, że są to pliki do pracy mojej rodzicielki, a pozmieniane nazwy jeszcze bardziej to utrudniają. Sam plik z odzyskiwania ma 94mb, a na pendrive pokazuje 423 mb zajętego miejsca, lecz nie wykluczam tego że ze względu na zmianę rozszerzenia pliki mogły ulec zmniejszeniu. Wrzucam to co prosiłeś: Research -> https://pastebin.com/TNazk0km Listing -> https://pastebin.com/7i5RXgQ0 Odnośnik do komentarza
Miszel03 Opublikowano 22 Września 2017 Zgłoś Udostępnij Opublikowano 22 Września 2017 A gdzie pełny zestaw raportów FRST? Przejrzyj zasady działu, podlinkowałem Ci je w moim pierwszym poście. Odnośnik do komentarza
xMafiozAx Opublikowano 22 Września 2017 Autor Zgłoś Udostępnij Opublikowano 22 Września 2017 Wybacz, umknęło mi to całkiem podczas czytania, zamieszczam to w załączniku, ale też dodaję wersję pastebin, ze względu że pliki mogą wyrządzić szkodę, jak pisałeś wyżej, w razie potrzeby możesz je usunąć z załącznika. FRST: https://pastebin.com/ZJRxNU6F Addition: https://pastebin.com/g6KRFvQY Shortcut: https://pastebin.com/q6xYLrWe FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Września 2017 Zgłoś Udostępnij Opublikowano 22 Września 2017 Raporty wskazują na to, że niedawno był tutaj większy bałagan. Teraz zajmować się będziemy sprzątaniem systemu z infekcji typu adware / PUP. Wątkiem pobocznym będzie sprzątanie systemu z po programach itd. Jeśli zaś chodzi o tytułowy problem to nie widzę przyczyny na tym systemie, przypuszczalnie pendrive został zainfekowany na innym. Punkt 1 powinien przywrócić pliki i wyleczyć pendirve. 1. Podepnij zainfekowanego pendrive do portu USB, a następnie w interfejsie USBFix kliknij Clean. Dostarcz raport z przeprowadzenia tego działania. 2. Przez Panel Sterowania odinstaluj adware / PUP: WinZip. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\RunOnce: [] => [X] HKU\S-1-5-21-360975752-3786565279-1083807947-1001\...\Run: [GalaxyClient] => [X] HKLM\...\Providers\hizyzp25: C:\Program Files (x86)_\local64spl.dll HKLM\...\Providers\yn2ca30o: C:\Program Files (x86)\\local64spl.dll C:\Program Files (x86)_\local64spl.dll C:\Program Files (x86)\\local64spl.dll C:\Program Files (x86)\local64spl.dll.ini SearchScopes: HKU\S-1-5-21-360975752-3786565279-1083807947-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = KLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1477333215&z=246edfc7b45dca66060252ag4z5m8m9c2c8c3o4g7c&from=interhop1024&uid=HitachiXHTS543232L9A300_090930FB8400CEJ4270AX&q={searchTerms} FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\6416071.js [2017-03-26] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\6416071.cfg [2017-03-26] S2 ed2kidle; "C:\Program Files (x86)\amuleC\ed2k.exe" -downloadwhenidle [X] S2 IlS; C:\ProgramData\Tencent\QQ\dr\qmdr.dll [X] S2 InterHop; "C:\Program Files (x86)\InterHop\InterHop.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X] S3 OverwolfUpdater; "C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe" /RunningFrom SCM [X] S2 UvConverter; "C:\Program Files (x86)\UvConverter\UvConverter.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X] S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] ContextMenuHandlers1-x32: [WinZipper] -> {DC638EEA-2BA2-4459-9C46-85A2F0BE6040} => C:\Program Files (x86)\WinZipper\wzShellctx64.dll -> Brak pliku ContextMenuHandlers4: [WinZipper] -> {DC638EEA-2BA2-4459-9C46-85A2F0BE6040} => C:\Program Files (x86)\WinZipper\wzShellctx64.dll -> Brak pliku ContextMenuHandlers6-x32: [WinZipper] -> {DC638EEA-2BA2-4459-9C46-85A2F0BE6040} => C:\Program Files (x86)\WinZipper\wzShellctx64.dll -> Brak pliku Task: {296A3842-F378-4B34-9B2A-ACFCF5322269} - \Overwolf Updater Task -> Brak pliku ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Fishpat\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\86bee06da8dbda8b\Google Chrome.lnk -> C:\Program Files (x86)\Fishpat\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D ShortcutWithArgument: C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7cdc350dafa50a54\Google Chrome.lnk -> C:\Program Files (x86)\Fishpat\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxps://launchpage.org/?uid=oTlKBKjchxocXe%2FWrUZCG7qKYIrY3ndPJFlyD8TbELWDkEafc%2B65xTmhEN3Q8aOs1w%3D%3D CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Bartek\AppData\Local CMD: dir /a C:\Users\Bartek\AppData\LocalLow CMD: dir /a C:\Users\Bartek\AppData\Roaming CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Wyczyść przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
xMafiozAx Opublikowano 22 Września 2017 Autor Zgłoś Udostępnij Opublikowano 22 Września 2017 Zdaję sobie sprawę że pendrive został zainfekowany na innym komputerze, bowiem został on zainfekowany w pracy mojej rodzicielki i jestem tego w 100% pewien, bowiem już 2 raz wystąpiła identyczna sytuacja (zniknięcie plików mimo zajętego miejsca na dysku, zaszyfrowane pliki), lecz wtedy znajomy mojej rodzicielki odzyskał te dane prawdopodobnie odpłatnie. USBFix opcją Clean odzyskał wszystkie stracone pliki, jednak pliki doc są nadal zaszyfrowane, stąd moje pytanie, jest jakiś sposób na ich odszyfrowanie i odzyskanie dokumentów? To narazie jest mój priorytet i bardzo mi na tym zależy. Widzę że również rozwiązałeś mój problem z malware z którym zmagałem się już spory okres czasu, niestety bezskutecznie. Dziękuję. W załączniku logi o które prosiłeś. FRST.txt Fixlog.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Września 2017 Zgłoś Udostępnij Opublikowano 23 Września 2017 USBFix opcją Clean odzyskał wszystkie stracone pliki, jednak pliki doc są nadal zaszyfrowane, stąd moje pytanie, jest jakiś sposób na ich odszyfrowanie i odzyskanie dokumentów? A gdzie raport z tej operacji? Skoro wszystkie pliki zostały odzyskane i działają z wyjątkiem plików DOC to obawiam się, że te są uszkodzone. Shostuj je gdzieś i prześlij mi na PW do sprawdzenia, oczywiście jeśli nie są poufne. Poszło gładko. Do kasacji zostały resztki po infekcjach oraz sama fałszywa przeglądarka, która wcześniej pominąłem. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\ayk3F7F C:\Program Files (x86)\j10gqnmc C:\Program Files (x86)\jr4bnhdn C:\Program Files (x86)\Jujatsterkerther C:\Program Files (x86)\tz4iudxh C:\Program Files (x86)\UvConverter C:\Program Files (x86)\zeiaih4k C:\ProgramData\gjcfj C:\ProgramData\QQBrowser C:\ProgramData\Tencent C:\ProgramData\ttff C:\Users\Bartek\AppData\Local\UCBrowser C:\Users\Bartek\AppData\Local\vufshwpelyreemicult C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\86bee06da8dbda8b\Google Chrome.lnk C:\Users\Bartek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7cdc350dafa50a54\Google Chrome.lnk MSCONFIG\startupreg: apphide => C:\Program Files (x86)\sbqh\uc.exe MSCONFIG\startupreg: svchost0 => "C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe"\UUC0789.exe C:\Program Files (x86)\Fishpat C:\Users\Bartek\AppData\Local\Fishpat DeleteKey: HKLM\SOFTWARE\WOW6432Node\Fishpat DeleteKey: HKEY_USERS\S-1-5-21-252974029-621322211-1437129156-1001\SOFTWARE\Fishpat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wygląda na to, że przeglądarka Google Chrome jest zainfekowana bardziej niż mi się wydawało (= zarażone preferencje). Wymagana jest kompleksowa reinstalacja przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Koniecznie ustaw przeglądarkę Google Chrome jako domyślną, to musi być zrobione w celu niwelacji ustawień infekcji. 3. Zastosuj AdwCleaner z opcji najpierw Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). fishpat Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
xMafiozAx Opublikowano 23 Września 2017 Autor Zgłoś Udostępnij Opublikowano 23 Września 2017 Wybacz, nie zauważyłem że USBFix dał logi z Clean, dołączam to w załączniku. Pliki doc wysyłam Ci w wiadomości prywatnej. Google Chrome odinstalowałem i zainstalowałem ponownie, niestety po zalogowaniu do Chrome wszystkie dane ze starej synchronizacji wróciły, być może zrobiłem coś nie tak, ale przed odinstalowaniem opcję synchronizacji wyłączyłem. Wszystkie logi o które prosiłeś zamieszczam w załączniku. UsbFix_Report.txt Fixlog.txt AdwCleanerC0.txt AdwCleanerS0.txt SearchReg.txt FRST.txt Shortcut.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 25 Września 2017 Zgłoś Udostępnij Opublikowano 25 Września 2017 Google Chrome odinstalowałem i zainstalowałem ponownie, niestety po zalogowaniu do Chrome wszystkie dane ze starej synchronizacji wróciły, być może zrobiłem coś nie tak, ale przed odinstalowaniem opcję synchronizacji wyłączyłem. Na pewno zrobiłeś dokładnie tak jak jest opisane w tym poradniku: KLIK? Potwórz tą akcję. OK. System został przywrócony do porządku, infekcje usunięte, a kosmetyka systemowa zrobiona. Te pliki DOC przejrzę później i powiem coś więcej na ten temat. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_USERS\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Fishpat DeleteKey: HKEY_USERS\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\df7f444d_0 DeleteValue: HKEY_USERS\S-1-5-21-360975752-3786565279-1083807947-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Fishpat\Application\chrome.exe DeleteValue: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment|C:\Program Files (x86)\Fishpat\Reports\Dump Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go. Odnośnik do komentarza
xMafiozAx Opublikowano 25 Września 2017 Autor Zgłoś Udostępnij Opublikowano 25 Września 2017 Dobra, teraz reinstalacja Chrome przebiegła tak jak powinna, ustawienia się zresetowały. Oprócz fixlog'a podrzucam też aktualny skan z FRST, być może się przyda. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
xMafiozAx Opublikowano 11 Października 2017 Autor Zgłoś Udostępnij Opublikowano 11 Października 2017 I co z tymi plikami? Da radę coś zrobić czy już nie są do odzyskania? Odnośnik do komentarza
Miszel03 Opublikowano 11 Października 2017 Zgłoś Udostępnij Opublikowano 11 Października 2017 Ja nie mogę zbytnio nic wykombinować. Skonsultuje się w najbliższym czasie z picasso (jutro, bo dziś nie dam już rady). Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się