Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

CryptoLocker - zablokowane pliki

mlewan 11 Lip 2016 15:57 615 8
  • #1 11 Lip 2016 15:57
    mlewan
    Poziom 20  

    Chwila nieuwagi i mam zablokowane pliki. Co mogę zrobić? Backup był jakieś dwa miesiące temu i nie ma jakiejś szczególnej tragedii, ale po pierwsze chciałbym być pewien, że usunę paskudztwo z komputera, po drugie podjąć próbę odzyskania plików jeśli to możliwe. Bardzo proszę o pomoc.

    Edit.

    Większość plików mam też do odzyskania z załączników w Thunderbirdzie. Czy są one zagrożone? Jeśli tak, to jak mogę je zabezpieczyć?

    0 8
  • CControls
  • Pomocny post
    #2 11 Lip 2016 16:18
    Kolobos
    Spec od komputerów

    Nie sa, szyfrowane sa tylko pliki zapisane na dysku.

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zamiesc w zalaczniku logi z FRST (Frst.txt oraz Addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    0
  • CControls
  • #3 11 Lip 2016 16:21
    mlewan
    Poziom 20  

    Dzięki. Komputer jest wyłączony, ponieważ po restarcie szyfrowanie trwało nadal. Jak go bezpiecznie uruchomić?

    0
  • Pomocny post
    #6 11 Lip 2016 17:15
    Kolobos
    Spec od komputerów

    To chyba tez czesc infekcji, widzac, ze to js, jezeli tak to tez dodaj do Fixlist ta linie:
    2016-07-11 06:25 - 2016-07-11 05:37 - 00026344 _____ C:\Users\Dell Latitude E6430\Desktop\faktura_elektrycznej.js

    obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    HKLM-x32\...\Run: [] => [X]
    HKU\Dell Latitude E6430\...\Run: [iboxkjaz] => C:\ProgramData\ycalitug.exe [447342 2016-07-11] ()
    HKU\Dell Latitude E6430\...\CurrentVersion\Windows: [Load] C:\ProgramData\msaowcplo.exe <===== ATTENTION
    Startup: C:\Users\Dell Latitude E6430\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MagicDisc.lnk [2015-04-30]
    ShortcutTarget: MagicDisc.lnk -> D:\Program Files (x86)\MagicDisc\MagicDisc.exe (No File)
    GroupPolicy: Restriction - Chrome <======= ATTENTION
    2016-07-11 05:37 - 2016-07-11 05:52 - 00003844 _____ C:\Users\Dell Latitude E6430\Desktop\HOW_TO_RESTORE_FILES.html
    2016-07-11 05:37 - 2016-07-11 05:52 - 00001198 _____ C:\Users\Dell Latitude E6430\Desktop\HOW_TO_RESTORE_FILES.txt
    2016-07-11 05:37 - 2016-07-11 05:37 - 00447342 _____ C:\ProgramData\ycalitug.exe
    2016-07-11 05:37 - 2016-07-11 05:37 - 00003844 _____ C:\Users\Dell Latitude E6430\Downloads\HOW_TO_RESTORE_FILES.html
    2016-07-11 05:37 - 2016-07-11 05:37 - 00003844 _____ C:\Users\Dell Latitude E6430\Documents\HOW_TO_RESTORE_FILES.html
    2016-07-11 05:37 - 2016-07-11 05:37 - 00001198 _____ C:\Users\Dell Latitude E6430\Downloads\HOW_TO_RESTORE_FILES.txt
    2016-07-11 05:37 - 2016-07-11 05:37 - 00001198 _____ C:\Users\Dell Latitude E6430\Documents\HOW_TO_RESTORE_FILES.txt
    2016-07-11 05:36 - 2016-07-11 05:38 - 00000000 ____D C:\ProgramData\ipudytyzezevutap
    2016-07-11 05:36 - 2016-07-11 05:36 - 00447342 _____ C:\Users\Dell Latitude E6430\AppData\Local\TempradC3BF2.tmp
    2016-07-05 12:32 - 2016-07-05 12:32 - 00053248 _____ C:\Users\Dell Latitude E6430\AppData\Roaming\DumpLog.dll
    C:\ProgramData\msaowcplo.exe
    C:\ProgramData\d0bh4462d2.exe
    C:\ProgramData\ycalitug.exe

    W FRST wybierz Napraw.

    Nastepnie uruchom normalnie system, wykonaj ponownie skanowanie przy pomocy FRST i zamiesc frst i addition w zalaczniku.

    0
  • #7 11 Lip 2016 17:35
    mlewan
    Poziom 20  

    Kolobos napisał:
    To chyba tez czesc infekcji, widzac, ze to js

    Tak, pech chciał, że akurat miała przyjść poprawiona faktura za energię, rozmawiam z babką przez telefon i mówi że właśnie wysłała: "ma Pan?" :)

    Pliki w załączniku.

    Czy jest jakaś szansa na rozszyfrowanie plików, czy raczej od razu sięgać po backup? Pliki backupu są na zewnętrznym dysku. Czy będą bezpieczne po podłączeniu go do komputera?

    0
  • #8 11 Lip 2016 17:41
    Kolobos
    Spec od komputerów

    Nie da sie odszyfrowac. Infekcji juz nie ma, wiec mozesz podlaczac co chcesz.

    Dla pewnosci mozesz wykonac skan przy pomocy mbam oraz cureit (ktore podalem wczesniej)

    Nowy Fixlist.txt dla FRST:
    Task: {2D8E68A9-055D-4395-BE22-078D129AA1C9} - System32\Tasks\{C57C88C6-5DA2-4724-AA6B-C29E19DB3B55} => pcalua.exe -a D:\HV\Windows\Windows\BONE_D64.exe -d D:\HV\Windows\Windows
    Task: {34D6E23D-F3E4-40BD-9523-1509149D643A} - System32\Tasks\{92A2674B-98E4-46DB-8888-50E7340753BF} => pcalua.exe -a "C:\Users\Dell Latitude E6430\Downloads\WinSetupFromUSB-1-4.exe" -d "C:\Users\Dell Latitude E6430\Downloads"
    Task: {38F71032-11A4-46C9-8B72-D97DDAD94BA9} - System32\Tasks\{8592C14C-5C19-4FCE-9DB2-E74910387286} => pcalua.exe -a "D:\Program Files (x86)\Bethesda Softworks\Fallout 3\GDFInstall.exe" -d "D:\Program Files (x86)\Bethesda Softworks\Fallout 3"
    Task: {8E813617-1D94-487B-A0B4-3023BFAB4BAD} - System32\Tasks\{81491E15-3F46-433C-86E0-C7F6A02D3998} => pcalua.exe -a D:\HV\Windows\Windows\BONE_DRV.exe -d D:\HV\Windows\Windows
    Task: {8FDA73BC-8ADE-4A8A-AAA1-973F29B84DA2} - System32\Tasks\{0521470B-8A8B-4668-8217-8DE289B72F5A} => pcalua.exe -a G:\G4WL\dotnetfx3_x64.exe -d G:\G4WL
    Task: {C97285A2-A38D-46B0-AF14-6D8D568BBFD6} - System32\Tasks\{61439EA4-E803-434A-95BC-E749CDEAED36} => pcalua.exe -a D:\HV\BONE_DRV.exe -d D:\HV
    Task: {D2C5E32D-A912-458D-A2D9-ED1F935BB492} - System32\Tasks\{BF26C6C2-C16C-4378-A7DD-61A5878C2D23} => pcalua.exe -a D:\HV\BONE_D64.exe -d D:\HV
    Task: {E217FC3C-CB6A-48FD-8FCC-81FDF38E6136} - System32\Tasks\{8B86DD98-4F2C-42E5-9692-83BCFF345679} => pcalua.exe -a "D:\Program Files (x86)\Secret Of Monkey Island SE\dotnet35\dotnetfx35.exe" -d "D:\Program Files (x86)\Secret Of Monkey Island SE\dotnet35"
    Task: {E2D72E18-5C8A-44B0-AAB5-A2D5FBAE3BFA} - System32\Tasks\{4B713B98-EC56-45ED-A623-12BD681B1C46} => D:\Program Files (x86)\Bethesda Softworks\Fallout 3\FalloutLauncher.exe
    HKU\S-1-5-21-3625262710-4122728253-2878783742-1000\...\MountPoints2: {1b5892a8-81c9-11e4-850b-028037ec0200} - D:\SISetup.exe
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=...d=crucialxct256mx100ssd1_14450db0d8570db0d857
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=...d=crucialxct256mx100ssd1_14450db0d8570db0d857
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&...alxct256mx100ssd1_14450db0d8570db0d857&q={searchTerms}




    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&...alxct256mx100ssd1_14450db0d8570db0d857&q={searchTerms}
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=...d=crucialxct256mx100ssd1_14450db0d8570db0d857
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=...d=crucialxct256mx100ssd1_14450db0d8570db0d857
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&...alxct256mx100ssd1_14450db0d8570db0d857&q={searchTerms}
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&...alxct256mx100ssd1_14450db0d8570db0d857&q={searchTerms}
    HKU\S-1-5-21-3625262710-4122728253-2878783742-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mystartsearch.com/?type=hp&ts=...d=crucialxct256mx100ssd1_14450db0d8570db0d857
    HKU\S-1-5-21-3625262710-4122728253-2878783742-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=...d=crucialxct256mx100ssd1_14450db0d8570db0d857
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-21-3625262710-4122728253-2878783742-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&...alxct256mx100ssd1_14450db0d8570db0d857&q={searchTerms}
    BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
    FF NewTab: chrome://quick_start/content/index.html
    FF user.js: detected! => C:\Users\Dell Latitude E6430\AppData\Roaming\Mozilla\Firefox\Profiles\bngsldd8.default\user.js [2015-06-24]
    FF SearchPlugin: C:\Users\Dell Latitude E6430\AppData\Roaming\Mozilla\Firefox\Profiles\bngsldd8.default\searchplugins\mystartsearch.xml [2015-10-19]
    FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Dell Latitude E6430\AppData\Roaming\Mozilla\Firefox\Profiles\bngsldd8.default\extensions\deskCutv2@gmail.com => nie znaleziono
    FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\all-gemius.js [2016-01-24]
    EmptyTemp:

    0
  • #9 11 Lip 2016 18:55
    mlewan
    Poziom 20  

    OK. Wygląda na to, że sprawa czysta. Backup i to co odzyskam z załączników maili załatwia sprawę. Wnioski dwa:
    - kopia zapasowa zawsze musi być
    - najmocniejszym i najsłabszym ogniwem systemu jest człowiek, wszystko zależy od sytuacji

    Bardzo dziękuję za pomoc. Zamykam.

    0