Witam!
Jestem tu nowa i do tego mało wprawna w działaniu dotyczącym wnętrza pc.
Otóż, mam obraz ekranu z CTB-LOCKER -ipodłączam do Waszej wiadomości.
[attachment=0]<!-- ia0 -->WIRz90h-5-2-2015.doc<!-- ia0 -->[/attachment]
* Objawem zainfekowania, oprócz jakichś żądań na ekranie w różnych kolorach i w j.ang., są prawie wszystkie pliki z przemianowanymi nazwami (do każdego dodana po . nazwa "xbiysla" ), których nie można otworzyć.
W większości są to pliki worda, ale też całe katalogi.
* PC był skanowany McAfee Security i nic nie znalazł.Mam ściągnięty AVG 2015(free), ale nic nim nie robiłam.
Mam System Win7- 64b.
FRST nie robiłam, bo trochę nie wiem czy go wykonywać na otwartych innych str internet.?
Bardzo proszę o podpowiedź!
Pzdr,
Logi:
Tutaj umieść linki do logów z FRST
Niestety, nic się nie da zrobić.
Jeżeli doszło do zaszyfrowania danych, to antywirus usuwając szkodnika nie przywróci ich do stanu oryginalnego.
Dzięki za szybkie info - ale dość pesymistyczne!
Tzn., że nie mam żadnych szans na odzyskanie danych ? żadnym narzędziem?
lukasamd napisał(a):Niestety, nic się nie da zrobić.
Jeżeli doszło do zaszyfrowania danych, to antywirus usuwając szkodnika nie przywróci ich do stanu oryginalnego.
Proszę o jakieś sugestie co mam dalej robić, żebypozbyć się tego CTB z ekranu i w jakim zakresie mogę korzystać z pc?
Do tej pory nawet nie próbowałam zamknąć systemu, bo nie wiem czy wystartuje!
Pzdr.
Witaj Jorpa
Emsisoft przygotował specjalny plik do pozbycia się tego zagrożenia.
Przed przystąpieniem do usuwania zagrożenia, proszę wykonać kopię zapasowych ważnych plików.
[Aby zobaczyć linki, zarejestruj się tutaj]
Pozdrawiam,
Mikołaj
Mikołaj napisał(a):Emsisoft przygotował specjalny plik do pozbycia się tego zagrożenia.
Przed przystąpieniem do usuwania zagrożenia, proszę wykonać kopię zapasowych ważnych plików.
[Aby zobaczyć linki, zarejestruj się tutaj]
Pozdrawiam,
Mikołaj
Witam! Serdecznie dziękuję!
Czy mogę kopię zrobić jako osobny katalog na dysku zewnętrznym, na którym niestety też są zainfekowane pliki?
Czy powinno to być inne fizycznie urządzenie? Jak inne, to muszę dopiero coś wykombinować.
Poza tym, ważnych plików jest sporo i wśród tych kopiowanych znajdą się również te o zmienionych nazwach, czyli pewnie zainfekowanych.
To jak to będzie - dobrze czy źle?
A właściwie, na czym będzie polegać pozbycie się tego zagrożenia?
Dziękuję za odp. i pozdrawiam. jorpa
Przede wszystkim wykonaj logi przy użyciu FRST.
Program podany przez Mikołaja niestety w tym przypadku nic nie pomoże, bo jest przeznaczony do innego rodzaju CryptoLockera.
Dane, które już zostały zaszyfrowane w obecnej chwili nie są do odzyskania.
Możesz też wyłączyć komputer, w przypadku gdy infekcja nadal jest czynna to nawet jest zalecane, "wszystkie" nowe pliki mogą również zostać zaszyfrowane.
Jak Tachion będzie miał chwilę czasu to powie co dalej robić.
F4z napisał(a):Przede wszystkim wykonaj logi przy użyciu FRST.
Program podany przez Mikołaja niestety w tym przypadku nic nie pomoże, bo jest przeznaczony do innego rodzaju CryptoLockera.
Dane, które już zostały zaszyfrowane w obecnej chwili nie są do odzyskania.
Możesz też wyłączyć komputer, w przypadku gdy infekcja nadal jest czynna to nawet jest zalecane, "wszystkie" nowe pliki mogą również zostać zaszyfrowane.
Jak Tachion będzie miał chwilę czasu to powie co dalej robić.
Witam!
Dziękuję za info! Spróbuję wykonać log.
Kiedy po pojawieniu się 2-go ekranu CTB, zapisałam print ekranu, to ten plik worda już nie miał przylepionej dodatkowej nazwy po ".doc" i się otwierał normalnie.
Czy to może świadczyć, że wirus już nie jest aktywny?
Pzdr.
To, że nowo utworzony dokument worda nie został zaszyfrowany nie świadczy o tym, że infekcja jest nieaktywna.
Napisałem, że mogą zostać zaszyfrowane, ale wcale tak się nie musi wydarzyć.
Chodziło mi o to, że w obecnej chwili nie należy wgrywać ważnych danych na zainfekowany komputer.
Tak naprawdę to czy infekcja jest nadal aktywna będzie widoczne w logach.
Witam ponownie!
Uruchomiłam #FRST-64b i otrzymałam pliki:po zapisie:
[Aby zobaczyć linki, zarejestruj się tutaj]
lub
[Aby zobaczyć linki, zarejestruj się tutaj]
,
ale nie wiem czy dobrze zapisałam do przesłania ( to jest treść FRST - Notatnik).
Jeśli źle, to bardzo proszę o podpowiedź jaki format na wklej użyć i którym przyciskiem akceptować?
Jeśli jest dobrze, to uzupełnię o drugi.
Dziękuję i pozdrawiam, jorpa
Witam
No i powinny jeszcze być 2 logi Addition.txt i zaznaczony dodatkowo Shortcut.txt,proszę o wrzucenie je do serwisu wklej.org
Witam!
Przepraszam za zwłokę, ale musiałam powtórzyć #FRST i to jest komplet.
Zbiór Addition.txtjesttu==>
[Aby zobaczyć linki, zarejestruj się tutaj]
ZbiórShortcut.txt jest tu==>
[Aby zobaczyć linki, zarejestruj się tutaj]
Zbiór FRST-2.txt jest tu==>
[Aby zobaczyć linki, zarejestruj się tutaj]
Dziękuję za podpowiedzi i czekam na jakieś wieści.
Pzdr.
Przywrócenie plików będzie bardzo trudne, wręcz niemożliwe.
Tu możesz trochę poczytać:
[Aby zobaczyć linki, zarejestruj się tutaj]
Jak odszyfrować pliki ( nie mówię że wszystkie) :
[Aby zobaczyć linki, zarejestruj się tutaj]
- prosty sposób
zbc
Nie ma narzędzia dekodującego CTB Locker
Geniusz napisał(a):ak odszyfrować pliki ( nie mówię że wszystkie) : [Aby zobaczyć linki, zarejestruj się tutaj]
- prosty sposób
Geniusz proszę cię,nie wiesz to nie wprowadzaj w błąd.
jorpna
Do notatnika wklej i zapisz jako
fixlist.txt
Kod:
CloseProcesses:
HKLM\...\Run: [] => [X]
ProxyEnable: [S-1-5-21-3439041708-1448804143-2794293774-1001] => Internet Explorer proxy is enabled.
HKU\S-1-5-21-3439041708-1448804143-2794293774-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ig/redirectdomain?brand=TEUA&bmod=TEUA
HKU\S-1-5-21-3439041708-1448804143-2794293774-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ig/redirectdomain?brand=TEUA&bmod=TEUA
SearchScopes: HKLM -> DefaultScope {B5C0F9F8-C38B-4F86-9C58-4831984A19D5} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7TEUA;
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {B5C0F9F8-C38B-4F86-9C58-4831984A19D5} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7TEUA;
SearchScopes: HKLM-x32 -> DefaultScope {B5C0F9F8-C38B-4F86-9C58-4831984A19D5} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7TEUA;
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {B5C0F9F8-C38B-4F86-9C58-4831984A19D5} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7TEUA;
SearchScopes: HKU\S-1-5-21-3439041708-1448804143-2794293774-1001 -> {B5C0F9F8-C38B-4F86-9C58-4831984A19D5} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe=
CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path
C:\Users\j.olszewska\AppData\Roaming\TuneUp Software
C:\ProgramData\ofdmiwi.html
C:\Users\j.olszewska\Documents\~WRL2387.tmp
Task: {B4BD80CF-E3C4-44D6-A6EF-6DD54851EBAF} - System32\Tasks\avwvnln => C:\Users\J237B~1.OLS\AppData\Local\Temp\opekqzl.exe <==== ATTENTION
CMD: del /q /s C:\*xbiysla*
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu
FRST
Następnie w programie kliknij
Fix,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
McAfee Security Scan Plus
PITy 2011 dla Windows kompilacja:1.3.3.2
Witaj Tachion!
Wreszcie uporałam się z#FRSTi tu jestfixlog ===>
[Aby zobaczyć linki, zarejestruj się tutaj]
Jeszcze zostało mi odinstalowanie tych 2 pozycji, ale poczekam z tym na jakieś info o efekcie #FRST z fixlist.
Pzdr.
Z partycji podstawowej pozbyliśmy się już zaszyfrowanych plików,jeśli na innych partycjach są ważne dane zaszyfrowane to możesz je przenieść do innego folderu,może kiedyś będzie dekoder.
Jeśli nie to możemy je wywalić.
Tak jak pisałem odinstaluj to co podałem.
tachion napisał(a):Z partycji podstawowej pozbyliśmy się już zaszyfrowanych plików,jeśli na innych partycjach są ważne dane zaszyfrowane to możesz je przenieść do innego folderu,może kiedyś będzie dekoder.
Jeśli nie to możemy je wywalić.
Tak jak pisałem odinstaluj to co podałem.
To znaczy, żete wszystkie zaszyfrowane pliki z tego dysku przepadły na stałe?
Ogólnie tak,bo nie ma dekodera. Może w przyszłości będzie.