Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Skróty folderów i problemy z odczytem plików

HotShotCharlie 27 Lut 2017 18:46 534 10
  • #1 27 Lut 2017 18:46
    HotShotCharlie
    Poziom 6  

    Witam.

    Robiłem prezentację do szkoły i potrzebowałem wejść na stronę Artura Gotza, jednak były problemy z jej odczytem, wyskoczył komunikat, że pobranie "Chrome font v6.82.exe" powinno pomóc, a ja zmęczony nie przejrzałem co to i pobrałem, następnie pojawiał mi się komunikat w stylu "potrzeby zaktualizowania komputera"... Po jakimś czasie chciałem coś pobrać, lecz zapisując, nie pokazało mi folderów na pulpicie, zminimalizowałem programy, a tam zamiast folderów są skróty do nich. I tak na każdym z dysku oprócz systemowego "C". Dodatkowo nie mogę otworzyć plików worda, jpg, oraz niektórych filmów (komunikat z Nero (nero?) o braku jednego z plików dll) (na razie nie znalazłem nic innego).

    Macie pomysł jak sobie z tym poradzić? Dodam, że jest tam wiele ważnych dla mnie plików i danych (zdjęcia rodzinne, prace graficzne, ważne teksty).

    Jeśli w złym temacie, proszę o przeniesienie.

    0 10
  • #4 27 Lut 2017 19:14
    Kolobos
    Spec od komputerów

    Ze skladnikow infekcji widac tylko:
    2017-02-26 19:06 - 2017-02-26 19:06 - 00016715 _____ C:\Users\Karol\AppData\Roaming\PO86E-F6XHX-TKOTO-XRTEO-ETORR-XTRXH-EYYYY.html
    2017-02-26 19:06 - 2017-02-26 19:06 - 00001088 _____ C:\Users\Karol\AppData\Roaming\PO86E-F6XHX-TKOTO-XRTEO-ETORR-XTRXH-EYYYY
    2017-02-26 19:05 - 2017-02-26 19:13 - 01059512 _____ C:\Users\Karol\AppData\Roaming\1045895378

    Ale nie jest uruchomiona.

    Odinstaluj: McAfee WebAdvisor

    Obok frst.exe utworz pliK Fixlis.ttxt z zawartoscia:
    HKU\S-1-5-21-109926868-3639505168-2956625476-1001\...\ChromeHTML: -> <==== UWAGA
    Task: {1FE11EE6-263F-47B1-99BC-C3058632DAD8} - System32\Tasks\{BDBDCED0-B226-4E84-868E-6EFCEE59FCE6} => pcalua.exe -a H:\Patch\heroes_might_magic_5_1.06_cz_pl_collectors.exe -d H:\Patch
    Task: {2C0AA1F5-E380-4B67-871C-7E0847E1D0DB} - System32\Tasks\{AAC537D1-E79B-4595-B562-FE8AD376DB3F} => pcalua.exe -a "c:\Program Files\Corel\CorelDRAW Graphics Suite X7\Setup\SetupARP.exe" -c /arp
    (McAfee, Inc.) C:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-109926868-3639505168-2956625476-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-109926868-3639505168-2956625476-1001\...\MountPoints2: {ebfbb509-8d4e-11e5-826e-fcaa1406151a} - "I:\LG_PC_Programs.exe"
    BHO-x32: McAfee WebAdvisor BHO -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> c:\program files (x86)\McAfee\SiteAdvisor\McIEPlg.dll [2017-02-06] (McAfee, Inc.)
    BHO-x32: Bing Bar Helper -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BingExt.dll [2012-01-25] (Microsoft Corporation.)
    Toolbar: HKLM-x32 - Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\Microsoft\BingBar\7.1.355.0\BingExt.dll [2012-01-25] (Microsoft Corporation.)
    FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi
    FF Extension: (McAfee WebAdvisor) - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi [2017-02-26]
    FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\saffplg.xpi
    FF Plugin HKU\S-1-5-21-109926868-3639505168-2956625476-1001: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [Brak pliku]
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    2017-02-26 19:06 - 2017-02-26 19:06 - 00016715 _____ C:\Users\Karol\AppData\Roaming\PO86E-F6XHX-TKOTO-XRTEO-ETORR-XTRXH-EYYYY.html
    2017-02-26 19:06 - 2017-02-26 19:06 - 00001088 _____ C:\Users\Karol\AppData\Roaming\PO86E-F6XHX-TKOTO-XRTEO-ETORR-XTRXH-EYYYY
    2017-02-26 19:05 - 2017-02-26 19:13 - 01059512 _____ C:\Users\Karol\AppData\Roaming\1045895378
    2015-08-22 18:01 - 2003-04-09 04:28 - 0233472 ____R () C:\Users\Karol\AppData\Roaming\MafiaSetup.exe
    EmptyTemp:

    W FRST wybierz Napraw.


    Ps. Do poczytania: https://zaufanatrzeciastrona.pl/post/uwaga-na...ertext-font-wasnt-found-na-polskich-stronach/

    0
  • #5 27 Lut 2017 19:34
    HotShotCharlie
    Poziom 6  

    Zrobiłem, tak jak poleciłeś.
    Czyli wszystkie zdjęcia, prace, itp. przepadły? A jeśli chodzi o te skróty to usunąć je i odznaczyć ukrycie folderów?

    0
  • Pomocny post
    #6 27 Lut 2017 19:43
    Kolobos
    Spec od komputerów

    > Czyli wszystkie zdjęcia, prace, itp. przepadły?

    Na chwile obecna tak, moze kiedys w przyszlosci ktos bedzie potrafil to odszyfrowac. W tej chwili nie jest to mozliwe.

    > A jeśli chodzi o te skróty to usunąć je i odznaczyć ukrycie folderów?

    Skroty usun.

    0
  • #7 27 Lut 2017 21:27
    HotShotCharlie
    Poziom 6  

    Ok. Dzięki wielkie za pomoc, wypale sb może na jakąś płytkę te pliki i uzbroję się w cierpliwość.

    Dodano po 1 [godziny] 36 [minuty]:

    A co sądzisz / sądzicie o spróbowaniu przywróceniu systemu do pewnej daty. Nie wiem dokładnie jak to działa (znajomy mi zaproponował) no ale może warto?

    0
  • #8 27 Lut 2017 22:01
    Kolobos
    Spec od komputerów

    Mozesz probowac, ale przywracanie raczej nie przywraca plikow uzytkownika tylko system.

    0
  • #9 27 Lut 2017 23:06
    HotShotCharlie
    Poziom 6  

    Rozumiem. Wstrzymam się w takim razie, żebym nie skasował czasami pików konkursowych, które musiałem robić 2 raz :D i może spróbuję.

    0
  • #10 07 Mar 2017 02:53
    ProszeopomocWroclaw
    Poziom 2  

    1. Mam ten sam problem. Oryginalna nazwa pobranego przeze mnie pliku exe z wirusem to "Chrome font.exe".
    2. Według ESSET wirus nazywa się Win32/Filecoder.spora. Przybliżmy co to:

    zaufanatrzeciastrona.pl/post/uwaga-na-nowa-kampanie-the-hoeflertext-font-wasnt-found-na-polskich-stronach/
    instalki.pl/aktualnosci/bezpieczenstwo/25475-chrome-czcionka-wirus.html
    bleepingcomputer.com/news/security/spora-ransomware-works-offline-has-the-most-sophisticated-payment-site-as-of-yet/

    z kolei te linki odnoszą się do wirusów z tej samej / podobnej grupy:

    symantec.com/security_response/writeup.jsp?docid=2017-011107-2825-99
    microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Ransom:Win32/Spora.A&ThreatID=-2147247848
    dobreprogramy.pl/Robak-zaszyfrowal-Twoje-pliki-Kaspersky-Lab-niesie-darmowa-pomoc,News,62338.html

    3. Tu dwa, ewentualnie pomocne tropy (do sprawdzenia):

    malwaretips.com/blogs/remove-spora-ransomware/#recovery
    blog.malwarebytes.com/cybercrime/2017/02/decrypting-after-a-findzip-ransomware-infection/

    Pierwszy link - skorzystałem z rekomendacji zastosowania ShadowExplorer (nie trzeba zastosowywać punktów przywracania systemu a można osiągnąć podobny skutek, w zależności od ilości punktów i liczby woluminów, których te punkty dotyczą) oraz Recuva. Efekt co prawda mizerny, ale u innych może być lepiej. (U mnie SE widzi tylko dysk C, na którym właściwie nie mam plików, z kolei Recuva odzyskał z dysku D niewiele plików, no i przede wszystkim w trochę starszych wersjach, niż ostatnie). Ale u Ciebie HotShotCharlie być może SE przyniesie pożądany rezultat i wcale nie musisz się wstrzymywać do czasu odszyfrowania (a tak w ogóle, nawiązywałeś jakiś kontakt z tymi przestępcami?)
    Drugi link - rozwiązanie prawdopodobnie nie dotyczy Win32/Filecoder.spora (aktualnie staram się to sprawdzić, choć przeszkodą jest brak dostępu do komputera Apple.

    4. Pytania:

    a) Czy ktoś płacił przestępcom i czy dotrzymali słowa umożliwiając odszyfrowanie?
    b) Czy narobili przy tym innych szkód?
    c) Zastanawiam się też, czy usuwanie jakichkolwiek składników wirusa jest bezpieczne z punktu widzenia ewentualnej, przyszłej decyzji aby zapłacić przestępcom.

    ___________________________

    Na zakończenie: jestem humanistą, z komputerami mam do czynienia prawie tylko tyle, co z Wordem. Proszę to wziąć pod uwagę przy lekturze powyższej treści. Po prostu przez ostatnie kilkanaście godzin, tj. od czasu infekcji, mało spałem, dużo czytałem i łączyłem różne wątki.

    Pomoc w rozwiązaniu problemu mile widziana! Może ktoś pracuje w jakimś centrum sieciowo-superkomputerowym z dużą mocą obliczeniową?

    Dodano po 1 [minuty]:

    HotShotCharlie napisał:
    Rozumiem. Wstrzymam się w takim razie, żebym nie skasował czasami pików konkursowych, które musiałem robić 2 raz :D i może spróbuję.


    Zerknij na mój post, może okaże się jakoś pomocny albo inspirujący.

    0
  • #11 07 Mar 2017 07:36
    Kolobos
    Spec od komputerów

    @ProszeopomocWroclaw Na stronie, ktora sam podales jest napisane:
    > No, at this time it’s not possible to recover the files encrypted by the Spora ransomware.

    > a) Czy ktoś płacił przestępcom i czy dotrzymali słowa umożliwiając odszyfrowanie?

    Dowiesz sie po zaplaceniu. Przyklad podales sam:
    > For those who get infected with Findzip (aka Filecoder), it’s still true that the hackers behind it can’t give you a key to decrypt it. There’s no honor among these particular thieves, as they’re lying about their ability to help if you pay the ransom.

    > b) Czy narobili przy tym innych szkód?

    Jakich innych szkod moga dokonac?

    > c) Zastanawiam się też, czy usuwanie jakichkolwiek składników wirusa jest bezpieczne z > punktu widzenia ewentualnej, przyszłej decyzji aby zapłacić przestępcom.

    Po czasie moze sie okazac, ze podany kontakt od dawna nie dziala i nie bedziesz mogl zaplacic.

    0