Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus szyfrujący, czy można odzyskać część plików

Pawel1924 11 Wrz 2017 18:27 486 8
  • #1 11 Wrz 2017 18:27
    Pawel1924
    Poziom 20  

    Witam, kilka dni temu komputer zaczął pracować bardzo głośno. Po sprawdzeniu procesów, okazało się że całe dostępne zasoby procesora zabiera proces systemsvr.exe znajdujący się w folderze appdata\acrobat.

    Po wyłączeniu procesu, zorientowałem się że cześć plików została zaszyfrowana. Nie są one jednak potrzebne. Natomiast część plików które nie zostały zaszyfrowane (2 foldery, około 200GB danych) chciałbym odratować.

    Czy możliwe aby wirus szyfrujący przeniósł się na inne komputery w sieci? Chwilowo został odcięty od sieci.

    Czy z logów można wywnioskować kiedy został zarażony?

    0 8
  • Pomocny post
    #3 11 Wrz 2017 18:53
    Kolobos
    Spec od komputerów

    Pliki mozesz zgrac.

    Mogl zainfekowac inne komputery, dlatego warto sprawdzic czy masz na nich pliki wchodzace w sklad tej infekcji (to co widac w podanym Fixlist).

    Do infekcji doszlo 2017-07-25 lub nawet wczesniej 2017-07-06, sporo zwlekales z usunieciem.

    Fixlist.txt dla FRST:
    Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk [2017-07-06]
    ShortcutTarget: Start.lnk -> C:\Users\Administrator\AppData\Roaming\Adobe\Acrobat\starthide.bat (No File)
    Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.js [2017-07-25] ()
    Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.lnk [2017-07-25]
    ShortcutTarget: wowreg32.lnk -> C:\Users\Administrator\AppData\Roaming\wowreg32.exe (No File)
    InternetURL: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.URL -> URL: file:///C:/Users/Dominika/AppData/Roaming/wowreg32.exe
    Startup: C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.vbs [2017-07-25] ()
    GroupPolicy: Restriction <==== ATTENTION
    URLSearchHook: [S-1-5-80-2368582775-3848203672-2163326660-1381475671-1015874065] ATTENTION => Default URLSearchHook is missing
    URLSearchHook: [S-1-5-80-3055187852-429609946-3210507087-369892648-1972579169] ATTENTION => Default URLSearchHook is missing
    URLSearchHook: [S-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] ATTENTION => Default URLSearchHook is missing
    URLSearchHook: [S-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003] ATTENTION => Default URLSearchHook is missing
    URLSearchHook: [S-1-5-80-4209613659-3512949056-1580241581-2912227478-697565757] ATTENTION => Default URLSearchHook is missing
    C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.js
    C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.lnk
    C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.URL
    C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wowreg32.vbs
    C:\Users\Dominika\AppData\Roaming\wowreg32.exe
    2017-07-17 15:08 - 2017-07-17 15:08 - 000004126 _____ C:\Users\Public\Documents\!#_READ_ME_#!.hta
    2017-07-17 15:08 - 2017-07-17 15:08 - 000004126 _____ C:\ProgramData\!#_READ_ME_#!.hta
    2017-07-17 15:08 - 2017-07-17 15:08 - 000004126 _____ () C:\ProgramData\!#_READ_ME_#!.hta
    2017-06-27 00:33 - 2017-07-17 15:08 - 000001376 _____ () C:\ProgramData\!#_RESTORE_FILES_#!.inf.[darkwaiderr@cock.li].aleta

    Do tego zapewne to:
    2017-07-25 03:53 - 2017-09-11 13:54 - 000000000 ____D C:\Users\Dominika\AppData\Roaming\Random
    2017-07-25 03:53 - 2017-07-25 03:55 - 000000000 ___HD C:\Users\Dominika\AppData\Roaming\Micro

    Sprawdz co tam masz.

    0
  • #4 11 Wrz 2017 23:25
    Pawel1924
    Poziom 20  

    Do infekcji doszlo 2017-07-25 lub nawet wczesniej 2017-07-06, sporo zwlekales z usunieciem.

    Wcześniej nie wiedziałem o zarażeniu (nie korzystam z niego). Dopiero jak zaczął się grzać to sprawdziłem, i powodował to proces systemsvr...

    Czy dobrze rozumiem że użytkownik Dominika przyczynił się do infekcji?

    Komputer i tak idzie na format, tylko skopiuję pliki.

    0
  • Pomocny post
    #5 12 Wrz 2017 07:40
    Kolobos
    Spec od komputerów

    > Czy dobrze rozumiem że użytkownik Dominika przyczynił się do infekcji?

    Na to wyglada.

    0
  • #7 12 Wrz 2017 15:51
    Kolobos
    Spec od komputerów

    FRST.txt jest pusty, zamiesc nowy.

    0
  • Pomocny post
    #9 12 Wrz 2017 16:07
    Kolobos
    Spec od komputerów

    Wyglada ok.

    0