Skocz do zawartości

Win32/Trustezeb.B


Rekomendowane odpowiedzi

Witam,

Zanim opiszę problem chciałam poinformowac, że jestem kompletnym laikiem w kwestii komputerów i wszystkiego co znimi związane dlatego też proszę o wyrozumiałośc.

Jakiś czas temu po otworzeniu załącznika dołączonego do maila, zawirusowałam komputer. Ktoś pomógł mi uruchomic komputer awaryjnie (przy standardowym uruchomieniu wyskakiwało okienko z informacją o trojanie) i skorzystając z Eset online zeskanował komputer.

Skanowanie, które trwało około godziny, wykryło konia trojańskiego Win32/Trustezeb.B i rzekomo go usuneło. Niestety zauważyłam, że nie mogę otworzyc wszystkich swoich plików tekstowych, muzycznych i zdjęc. Nazwy tych plików zmieniły się w szereg przypadkowych liter alafabetu. Kiedy próbuje otworzyc np. dokument tekstowy pojawia sie tekst złożony z "porozrzucanych liter i znaków".

Ktoś zasugerował, żeby zesknowac komputer przy pomocy TDSSKiller.exe, tak też zrobiłam (nie mam pewności czy poprawnie). Skanowanie trwało około 20 sekund i nie wykryło żadnych wirusów.

Jak mogłabym rozwiązac ten problem, czy jest jakiś sposób odzyskania moich plików. Ze względu na mój brak znajomości zagadnień informatycznych, bardzo prosze o udzielenie porady w miare obrazowy sposób.

Na wszelki wypadek poodaje dodatkowe informacje (nie wiem, czy są one konieczne):

Windows Vista

Procesor: Intel® Core™2 Duo CPV T5750 @ 2,00GHz

Pamięc (RAM) 3,00 GB

Typ systemu: 32-bitowy system operacyjny

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zasady działu: KLIK. Wymagany komplet obowiązkowych logów OTL + GMER.

 

 

Skanowanie, które trwało około godziny, wykryło konia trojańskiego Win32/Trustezeb.B i rzekomo go usuneło. Niestety zauważyłam, że nie mogę otworzyc wszystkich swoich plików tekstowych, muzycznych i zdjęc. Nazwy tych plików zmieniły się w szereg przypadkowych liter alafabetu. Kiedy próbuje otworzyc np. dokument tekstowy pojawia sie tekst złożony z "porozrzucanych liter i znaków".

 

Objawy wskazują, że jest tu trojan, który szyfruje dane i jest wymagane dopasowane narzędzie deszyfrujące, w przeciwnym wypadku na danych krzyżyk. W bazie ESET jest do pobrania deszyfrator: KLIK. Z tym, że dotyczy wariantu Win32/Trustezeb.A, a Ty wspominasz o Win32/Trustezeb.B. Czy posiadasz dane co usuwał skaner ESET (chodzi o dokładną ścieżkę dostępu)? Niemniej, nie masz już nic do stracenia (dane i tak są zablokowane), próbuj tego deszyfratora. W pierwszej kolejności proszę jednak o logi, by się zorientować czy trojan ma czynne komponenty (w takiej sytuacji deszyfrowanie danych może być awykonalne).

 

 

Ktoś zasugerował, żeby zesknowac komputer przy pomocy TDSSKiller.exe, tak też zrobiłam (nie mam pewności czy poprawnie). Skanowanie trwało około 20 sekund i nie wykryło żadnych wirusów.

 

TDSSKiller nie jest ogólnym skanerem antywirusowym. Ma ściśle selektywny smak na wystąpienia określonych infekcji rootkit. Nie pasuje w ogóle pod Twój przypadek.

 

 

.

Odnośnik do komentarza

"Czy posiadasz dane co usuwał skaner ESET (chodzi o dokładną ścieżkę dostępu)?"

 

Niestety nie posiadam ścieżki dostępu.

 

Podczas skanowania OTL pojawił się błąd "Win32 Error.Code23. Błąd danych (CRC)" i powstał tylko OTL.Txt (w załączeniu).

Następnie użyłam skanowania DSS i wygenerowały się dwa logi DDS.txt i Attach.txt (w załączeniu).

 

Przy próbie uruchomienia GMER wyświetlił się komunikat "...gmer.exe nie jest prawidłową aplikacją systemu Win32". Nie udało się zrobic skanowania RootRepeal z poziomu lowest level. RootRepeal wygenerował special raport (w załączaniu).

OTL.Txt

DDS.txt

Attach.txt

special raport.txt

Odnośnik do komentarza
Podczas skanowania OTL pojawił się błąd "Win32 Error.Code23. Błąd danych (CRC)" i powstał tylko OTL.Txt (w załączeniu).

Następnie użyłam skanowania DSS i wygenerowały się dwa logi DDS.txt i Attach.txt (w załączeniu).

 

Log z OTL jest także niepełny w obszarze głównego poboru danych, w ogóle nie została wyciągnięta część rejestru. Za to te dane podaje log z DDS.

 

 

Przy próbie uruchomienia GMER wyświetlił się komunikat "...gmer.exe nie jest prawidłową aplikacją systemu Win32".

 

Czy na pewno plik GMER został poprawnie zapisany na dysku, tzn. zapisał się w całości?

 

 

W logach nie widzę czynnego składnika infekcji, lecz GMER nie został sprawdzony. Są widoczne tylko te podejrzane obiekty, ale to jak sądzę nowa postać Twoich plików tekstowych, zaszyfrowanych przez trojana:

 

[2012-06-09 22:24:36 | 000,073,943 | ---- | C] () -- C:\Users\beata h\Documents\aeplTepOQTrJXDuNJOQr

[2012-06-09 22:01:22 | 000,806,400 | ---- | C] () -- C:\Users\beata h\Documents\xVsdxftdGALqEA

 

 

To próbuj już tego deszyfratora ESET. Pobierz narzędzie z artykułu i podaj wyniki czy coś zdziałało.

 

 

 

.

Odnośnik do komentarza
  • 4 tygodnie później...

Przepraszam, że tak późno odpisuje.

 

"Są widoczne tylko te podejrzane obiekty, ale to jak sądzę nowa postać Twoich plików tekstowych, zaszyfrowanych przez trojana"

Tak, to nowa postac moich plików.

 

"To próbuj już tego deszyfratora ESET. Pobierz narzędzie z artykułu i podaj wyniki czy coś zdziałało"

Pobrałam (mam nadzieje, że poprawnie). Kiedy probuje otworzyc dany plik tym deszyfratorem pojawia się okienko z trzema możliwościami: "decode", "decode using clean file", "exit". Po wybraniu opcji "decode" otwiera się kolejne okienko: "Cant find windows original wallpaper file. Try to decode with clean file". Zatem nic mi się nie udało odkodowac.

Odnośnik do komentarza
  • 4 tygodnie później...
  • 2 miesiące temu...

Witam,

Chciałam jednak zadac dodatkowe pytanie dotyczące tamej sprawy.

Czy mogę usunąc wszystkie pliki które zostały zakodowane przez ten trojan (nie mam na myśli moich własnych plików tekstowych, muzycznych czy zdjęc) Chodzi mi o pliki, których osobiście nie tworzyłam, znajdujące się w róznych lokalizacjach, np.: C:\Intel\Logs, C:\MEDIA\CAGCAT10, C:\MEDIA\OFFICE11\BULLETS, C:\Toshiba\Webshops...itd i jeszcze w wielu innych lokalizacjach. Dodam, że nazwy tych plików to szereg przypadkowych liter np.: OuNJOQrveXDTsXDTeXlTu, a we właściowościach, z zakładce "typ pliku" jest napisane "plik".

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...