Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Odzyskiwanie zdjęć z SD - wirus

25 Mar 2017 10:40 1389 19
  • Poziom 9  
    Cześć. Dzisiaj trafił mi się dziwny problem z kartą SD. Po włożeniu jej do kompa chciałem skopiować zdjęcia. Jednak zamiast zdjęć na karcie pojawiły się jakieś pliki skryptowe z wirusem. W każdym razie avast zaczął mi ciągle wysyłać komunikaty o rootkicie.
    Próbowałem odzyskać dane za pomocą Undelete 360. U prawie wszystkich zdjęć pisze, że stan jest bardzo dobry. Jednak po przywróceniu nie da się ich w żaden sposób otworzyć. Co mogę zrobić? Jest jakiś inny sposób/program czy już nie mam szans?
  • Spec od komputerów
    Wlacz pokazywanie plikow urkytych oraz wylacz ukrywanie chronionych i sprawdz czy widac pliki na karcie. Jezeli nie to zapewne zostaly zaszyfrowane, czy mozesz podac nazwy tych plikow?

    Ewentualnie zalaczyc log z USBFix.
  • Poziom 9  
    Plików tj. zdjęć nadal nie widać. Powstałe pliki mają takie same nazwy jak miały zdjęcia czyli np. DSC_0001.jse tylko, że rozszerzenie inne. Jakiś skrypt w jacascripcie czy coś?

    Dodam, że windows mi pokazuje, że karta jest pusta. Tak jakby tych zdjęć w ogóle tam nie było.
    Jeśli potrzeba mogę zaraz wkleić te logi.
  • Spec od komputerów
    To infekcja szyfrujaca.

    Rozumiem, ze komputer tez masz zainfekowany i to od niego zainfekowala sie karta?
  • Poziom 9  
    Tak, komputer też jest zainfekowany. Nie wiem też dokładnie jak do tego doszło, bo akurat przez kilka dni nie było mnie w domu. Rodzina mówi, że nic nie robiła. :) Ale musiało się przecież jakoś to stać.
    Możliwe też, że najpierw karta została została zainfekowana, a później kiedy kartę włożyłem do kompa to komp się zaraził.
    Czy da się jakoś bezpiecznie usunąć infekcję i odzyskac zdjecia?
  • Pomocny post
    Spec od komputerów
    Co do komputera to wykonaj:
    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Zamiesc w zalaczniku logi z FRST (Frst.txt oraz Addition.txt):
    http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/
    oraz http://ftp.drweb.com/pub/drweb/cureit/launch.exe

    Ta infekcja szyfruje pliki (zdjecia, dokumenty itd) bez mozliwosci odzyskania. Do tego dane na ogol sa nadpisywane.
  • Pomocny post
    Spec od komputerów
    Jak widac komputer tez jest zainfekowany:
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MSQRY32.JSE [2017-03-25] ()

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    HKLM-x32\...\RunOnce: [] => [X]
    HKU\S-1-5-21-3305781857-2387384072-2967853154-1002\...\Policies\Explorer: []
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MSQRY32.JSE [2017-03-25] ()
    C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MSQRY32.JSE
    CHR HKU\S-1-5-21-3305781857-2387384072-2967853154-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    2017-03-24 13:37 - 2017-03-25 11:20 - 00000000 ____D C:\AdwCleaner

    W FRST wybierz Napraw.
  • Poziom 9  
    Wykonałem. Już wszystko powinno być w porządku.

    Muszę jeszcze uruchomić FRST na innym kompie. Tam też była wkładana karta.
    Chyba wiem co mogło być przyczyną moich problemów. Otworzony przez osobę z rodziny mail, gdzie w załączniku jest faktura.jse. To pewnie od tego. Karta wtedy też była włożona do kompa.
  • Spec od komputerów
    Tak, system i karta zostaly zainfekowane po uruchomieniu zalaczanika.

    Zamiesc logi z drugiego komputera.
  • Poziom 9  
    Za chwilkę uruchomię program na drugim kompie.

    Przeskanowałem jeszcze raz tego samego kompa i znowu mam:
    Startup: C:\Users\Bartosz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MSQRY32.JSE [2017-03-25] ()
  • Spec od komputerów
    Wykonales skany przy pomocy mbam oraz cureit?
  • Poziom 9  
    mbam tak, tym drugim kończy się skanować i jak na razie nie ma żadnych zagożeń. W drugim też nic
    przeskanowałem jeszcze raz pierwszego kompa i nie ma już pliku .jse. Czyli wszystko powinno być ok.

    Dodano po 42 [minuty]:
    Tutaj są logi z drugiego kompa.
  • Pomocny post
    Spec od komputerów
    Nie widac tutaj tej infekcji.

    Odinstaluj: Browser-Security

    Wykonaj Fixlist.txt dla FRST:
    CHR HKU\S-1-5-21-4064630123-4054524626-4020085103-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    2017-03-25 06:37 - 2017-03-25 06:37 - 0776704 _____ () C:\Users\Bartosz Niciak\AppData\Local\Temp\39.exe

    Usun katalog C:\FRST po wykonaniu.
  • Poziom 9  
    uff, całe szczęście. Dzięki za pomoc.

    Czyli teraz moją kartę czeka format i powinno być wszystko ok?
  • Spec od komputerów
    Tak, najlepiej wszystko usunac z karty.
  • Poziom 2  
    Czyli rozumiem że wszystkie zdjęcia zostały uszkodzone na dobre ?
  • Spec od komputerów
    Tak, pliki zostaly zaszyfrowane.
  • Spec od pamięci masowych
    velaxin napisał:
    Czyli rozumiem że wszystkie zdjęcia zostały uszkodzone na dobre ?

    Użyj jeszcze dla pewności jakis Live CD Linux i poszukaj tych zdjęć przy użyciu PhotoRec-a.
  • Poziom 2  
    Zastanawiam się jak ten photorec poradzi sobie w przypadku gdy te pliki zostały nadpisane