Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus szyfrujący, czy można odzyskać część plików

11 Wrz 2017 18:27 798 8
  • Poziom 20  
    Witam, kilka dni temu komputer zaczął pracować bardzo głośno. Po sprawdzeniu procesów, okazało się że całe dostępne zasoby procesora zabiera proces systemsvr.exe znajdujący się w folderze appdata\acrobat.

    Po wyłączeniu procesu, zorientowałem się że cześć plików została zaszyfrowana. Nie są one jednak potrzebne. Natomiast część plików które nie zostały zaszyfrowane (2 foldery, około 200GB danych) chciałbym odratować.

    Czy możliwe aby wirus szyfrujący przeniósł się na inne komputery w sieci? Chwilowo został odcięty od sieci.

    Czy z logów można wywnioskować kiedy został zarażony?
  • Pomocny post
    Spec od komputerów
    Pliki mozesz zgrac.

    Mogl zainfekowac inne komputery, dlatego warto sprawdzic czy masz na nich pliki wchodzace w sklad tej infekcji (to co widac w podanym Fixlist).

    Do infekcji doszlo 2017-07-25 lub nawet wczesniej 2017-07-06, sporo zwlekales z usunieciem.

    Fixlist.txt dla FRST:
    Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk [2017-07-06]
    ShortcutTarget: Start.lnk -> C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\starthide.bat (No File)
    Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.js [2017-07-25] ()
    Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.lnk [2017-07-25]
    ShortcutTarget: wowreg32.lnk -> C:\Users\Administrator\AppData\Roaming\wowreg32.exe (No File)
    InternetURL: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.URL -> URL: file:///C:/Users/Dominika/AppData/Roaming/wowreg32.exe
    Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.vbs [2017-07-25] ()
    GroupPolicy: Restriction <==== ATTENTION
    URLSearchHook: [S-1-5-80-2368582775-3848203672-2163326660-1381475671-1015874065] ATTENTION => Default URLSearchHook is missing
    URLSearchHook: [S-1-5-80-3055187852-429609946-3210507087-369892648-1972579169] ATTENTION => Default URLSearchHook is missing
    URLSearchHook: [S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] ATTENTION => Default URLSearchHook is missing
    URLSearchHook: [S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003] ATTENTION => Default URLSearchHook is missing
    URLSearchHook: [S-1-5-80-4209613659-3512949056-1580241581-2912227478-697565757] ATTENTION => Default URLSearchHook is missing
    C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.js
    C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.lnk
    C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.URL
    C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.vbs
    C:\Users\Dominika\AppData\Roaming\wowreg32.exe
    2017-07-17 15:08 - 2017-07-17 15:08 - 000004126 _____ C:\Users\Public\Documents\!#_READ_ME_#!.hta
    2017-07-17 15:08 - 2017-07-17 15:08 - 000004126 _____ C:\ProgramData\!#_READ_ME_#!.hta
    2017-07-17 15:08 - 2017-07-17 15:08 - 000004126 _____ () C:\ProgramData\!#_READ_ME_#!.hta
    2017-06-27 00:33 - 2017-07-17 15:08 - 000001376 _____ () C:\ProgramData\!#_RESTORE_FILES_#!.inf.[darkwaiderr@cock.li].aleta

    Do tego zapewne to:
    2017-07-25 03:53 - 2017-09-11 13:54 - 000000000 ____D C:\Users\Dominika\AppData\Roaming\Random
    2017-07-25 03:53 - 2017-07-25 03:55 - 000000000 ___HD C:\Users\Dominika\AppData\Roaming\Micro

    Sprawdz co tam masz.
  • Poziom 20  
    Do infekcji doszlo 2017-07-25 lub nawet wczesniej 2017-07-06, sporo zwlekales z usunieciem.

    Wcześniej nie wiedziałem o zarażeniu (nie korzystam z niego). Dopiero jak zaczął się grzać to sprawdziłem, i powodował to proces systemsvr...

    Czy dobrze rozumiem że użytkownik Dominika przyczynił się do infekcji?

    Komputer i tak idzie na format, tylko skopiuję pliki.
  • Pomocny post
    Spec od komputerów
    > Czy dobrze rozumiem że użytkownik Dominika przyczynił się do infekcji?

    Na to wyglada.
  • Spec od komputerów
    FRST.txt jest pusty, zamiesc nowy.
  • Pomocny post
    Spec od komputerów
    Wyglada ok.