Witam,
Komputer został zainfekowany.
System:
Windows XP Media Center Edition
Wersja 2002
SP 2
Objawy i leczenie jak na filmiku znalezionym w sieci:
[Aby zobaczyć linki, zarejestruj się tutaj]
Nie można było nic robić. Brak dostępu do tryby awaryjnego. Po użyciu Kaspersky Rescue Disc 10 system postawiony na nogi (krok po kroku jak na filmiku + pełny skan).
Znalezione i usunięte zagrożenia:
- Trojan-Ransom.Win32.Gimemo.uko
- Exploit.Java.CVE-2011-3544.lk
Potem skan następujacymi programami:
- Eset Nod32
- MalwareBytes Anti-Malware
- HitmanPro
Wszystkie z aktualnymi bazami. MalwareBytes i HitmanPro znalazły i usunęły jakieś dodatkowe rzeczy.
System wydaje się być już czysty. Jednakże wszystkie pliki z rozszerzeniami .doc .pdf .mp3 .jpg .jpeg oraz niektóre pliki .exe zmieniły nazwę i stały się "nieznane" dla systemu. Z tego co wyczytałem zostały zaszyfrowane rzez wirusa.
Czy istnieje możliwość odszyfrowania danych?
Jeśli ta odmiana wirusa zaszyfrowała pliki to niestety, z tego co wiem, już ich nie odzyskasz.
Przeskanuj jeszcze raz dla pewności system dwoma skanerami, których wcześniej użyłeś.
Możesz po tym pokazać logi OTL, aby ktoś je sprawdził i wyczyścił system z ewentualnych śmieci i pozostalości po wirusie.
forum.safegroup.pl/otl-wykonanie-logow-obowiazkowych-t3110.html
BTW
Zaktualizuj system do SP3
Tak jak powiedział, system musi być na bieżąco aktualizowany, oraz programy w nim.
Więc dobrym wyjściem jest zainstalowanie Secunia PSI, ten program zadba o aktualne wersje programów w naszym systemie. Podejrzewam jednak, że prawdopodobnie sam zainfekowałeś system i teraz leczysz skutki, bo ostatnio na forum częstymi gośćmi są te dwa zagrożenia, które podałeś. Radzę także zainstalować Sandboxie, gdzie można uruchamiać nieznane aplikacje, bez szkody dla systemu. I co najważniejsze odinstalować Javę, jeśli jej nie używasz. Bo to program dziurawy jak sito, a Oracle nie śpieszy się z łataniem wszystkich luk.
Hmm Gimemo to Ransom GVU Germany a tym co się zainfekowałeś to pewnie to jest ten
[Aby zobaczyć linki, zarejestruj się tutaj]
podobny ale to nie to samo,jest to nowsza odmiana która przy okazji szyfruje właśnie pliki możesz spróbować narzędzia xoristdecryptor
[Aby zobaczyć linki, zarejestruj się tutaj]
Jest to narzędzie na rozszyfrowanie ransoma innego troche które kodują 512 bitowym kluczem,może pomoże,chociaż wątpię ale spróbować nie zaszkodzi
Sprawdź jeszcze rejestr czy nie ma takich wpisów i je usuń
Niestety mam to tylko z logu działania gadziny i to na windows 7 32bitowym
Disable regedit: machine\software\microsoft\windows\currentversion\policies\system\disableregedit = 00000001
Disable regedit: user\current\software\microsoft\windows\currentversion\policies\system\disableregedit = 00000001
Disable registry tools: user\current\software\microsoft\windows\currentversion\policies\system\disableregistrytools = 00000001
Disable Task Manager: machine\software\microsoft\windows\currentversion\policies\system\disabletaskmgr = 00000001
Disable Task Manager: user\current\software\microsoft\windows\currentversion\policies\system\disabletaskmgr = 00000001
+ewentualnie przywróć tą gałąź,to już z winxp wypakuj uruchom i zresetuj system
[Aby zobaczyć linki, zarejestruj się tutaj]
Dziękuje za zainteresowanie moim problem.
Niestety xoristdecrypter nie pomógł. Próbowałem już wcześniej z niego skorzystać.
Komputer został zainfekowany z winy użytkownika poprzez wejście w link z maila.
Co do zmiany logów i pokazania logów z OTL wykonam to jak najszybciej. Chwilowo nie mam dostępu do tego komputera.
Jeszcze raz dziękuję za zainteresowanie i mam nadzieję, że wspólnie znajdziemy rozwiązanie tego problemu.
Jak byś miał ten plik to podrzuć go.
Witam,
Oto logi z otl.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
oraz z extras.exe
[Aby zobaczyć linki, zarejestruj się tutaj]
Mam nadzieje, że to coś pomoże i uda się odszyfrować pliki
logów podanych przez tachiona nie miałem. przywrócenie gałęzi nic nie dało
Do OTL (bez kod) :
Kod:
:OTL
O4 - HKU\S-1-5-21-329068152-1592454029-839522115-1004..\Run: [24B94684] C:\WINDOWS\system32\4E778D5824B946846033.exe File not found
O33 - MountPoints2\{712d6d70-fd57-11de-af5e-0013d3c80c16}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
O33 - MountPoints2\{712d6d70-fd57-11de-af5e-0013d3c80c16}\Shell\Open(&0)\command - "" = I:\Recycled\ctfmon.exe
:Commands
[emptytemp]
[emptyflash]
Kliknij wykonaj skrypt i daj nowy log.
To są Twoje DNSy?
217.172.224.160 89.231.1.206
Zaktualizuj:
Windows do SP3 (wraz z poprawkami)
Java
Flash Player
Adobe Reader (masz wersję 7!)
Real Player
Firefoksa też by się przydało (masz 3.5.9)
OTL został uruchomiony wcześniej - daj poprzedni log.
Niestety, poprzez logi plików się nie odszyfruje.
Witam.
3 dni temu zgłosił się do mnie kolega, któremu pojawiał się taki komunikat jak na screenie wklejonym przez Tachiona.
Trojana dosyć szybko usunąłem - system przez chwilę chodził normalnie i to wystarczyło na instalacjęPandy Cloud i uruchomienie skanowania.
Problem w tym, że wszystkie pliki użytkownika zostały zaszyfrowane. Zaszyfrowane zostały też nazwy plików, które są teraz losowymi ciągami znaków, bez rozszerzenia.
Dysponuję parą identycznych plików: jeden oryginalny, a drugi zaszyfrowany. Mam nadzieję, że istnieje jakieś narzędzie umożliwiające uzyskanie na tej podstawie klucza i rozszyfrowanie pozostałych plików. Gdyby ktoś dysponował takim programem, byłbym wdzięczny za pomoc.
Podrawiam
PS. Próbowałem bez skutku narzędzia
[Aby zobaczyć linki, zarejestruj się tutaj]
oraz innych wyżej wymienionych.
Może to pomoże?
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]