Trojan-Ransom.Win32.Gimemo

[Ransom]

Witam,

Komputer został zainfekowany.

System:
Windows XP Media Center Edition
Wersja 2002
SP 2

Objawy i leczenie jak na filmiku znalezionym w sieci:

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie można było nic robić. Brak dostępu do tryby awaryjnego. Po użyciu Kaspersky Rescue Disc 10 system postawiony na nogi (krok po kroku jak na filmiku + pełny skan).
Znalezione i usunięte zagrożenia:
- Trojan-Ransom.Win32.Gimemo.uko
- Exploit.Java.CVE-2011-3544.lk

Potem skan następujacymi programami:
- Eset Nod32
- MalwareBytes Anti-Malware
- HitmanPro

Wszystkie z aktualnymi bazami. MalwareBytes i HitmanPro znalazły i usunęły jakieś dodatkowe rzeczy.

System wydaje się być już czysty. Jednakże wszystkie pliki z rozszerzeniami .doc .pdf .mp3 .jpg .jpeg oraz niektóre pliki .exe zmieniły nazwę i stały się "nieznane" dla systemu. Z tego co wyczytałem zostały zaszyfrowane rzez wirusa.

Czy istnieje możliwość odszyfrowania danych?

[KaMiL]

Jeśli ta odmiana wirusa zaszyfrowała pliki to niestety, z tego co wiem, już ich nie odzyskasz.
Przeskanuj jeszcze raz dla pewności system dwoma skanerami, których wcześniej użyłeś.

Możesz po tym pokazać logi OTL, aby ktoś je sprawdził i wyczyścił system z ewentualnych śmieci i pozostalości po wirusie.
forum.safegroup.pl/otl-wykonanie-logow-obowiazkowych-t3110.html

BTW
Zaktualizuj system do SP3

[rafikrafiki]

Tak jak @kamil10506powiedział, system musi być na bieżąco aktualizowany, oraz programy w nim.

Więc dobrym wyjściem jest zainstalowanie Secunia PSI, ten program zadba o aktualne wersje programów w naszym systemie. Podejrzewam jednak, że prawdopodobnie sam zainfekowałeś system i teraz leczysz skutki, bo ostatnio na forum częstymi gośćmi są te dwa zagrożenia, które podałeś. Radzę także zainstalować Sandboxie, gdzie można uruchamiać nieznane aplikacje, bez szkody dla systemu. I co najważniejsze odinstalować Javę, jeśli jej nie używasz. Bo to program dziurawy jak sito, a Oracle nie śpieszy się z łataniem wszystkich luk.

[tachion]

Hmm Gimemo to Ransom GVU Germany a tym co się zainfekowałeś to pewnie to jest ten

[Aby zobaczyć linki, zarejestruj się tutaj]

podobny ale to nie to samo,jest to nowsza odmiana która przy okazji szyfruje właśnie pliki możesz spróbować narzędzia xoristdecryptor

[Aby zobaczyć linki, zarejestruj się tutaj]

Jest to narzędzie na rozszyfrowanie ransoma innego troche które kodują 512 bitowym kluczem,może pomoże,chociaż wątpię ale spróbować nie zaszkodzi
Sprawdź jeszcze rejestr czy nie ma takich wpisów i je usuń
Niestety mam to tylko z logu działania gadziny i to na windows 7 32bitowym


Disable regedit: machine\software\microsoft\windows\currentversion\policies\system\disableregedit = 00000001
Disable regedit: user\current\software\microsoft\windows\currentversion\policies\system\disableregedit = 00000001
Disable registry tools: user\current\software\microsoft\windows\currentversion\policies\system\disableregistrytools = 00000001
Disable Task Manager: machine\software\microsoft\windows\currentversion\policies\system\disabletaskmgr = 00000001
Disable Task Manager: user\current\software\microsoft\windows\currentversion\policies\system\disabletaskmgr = 00000001

+ewentualnie przywróć tą gałąź,to już z winxp wypakuj uruchom i zresetuj system

[Aby zobaczyć linki, zarejestruj się tutaj]

[Ransom]

Dziękuje za zainteresowanie moim problem.

Niestety xoristdecrypter nie pomógł. Próbowałem już wcześniej z niego skorzystać.
Komputer został zainfekowany z winy użytkownika poprzez wejście w link z maila.
Co do zmiany logów i pokazania logów z OTL wykonam to jak najszybciej. Chwilowo nie mam dostępu do tego komputera.

Jeszcze raz dziękuję za zainteresowanie i mam nadzieję, że wspólnie znajdziemy rozwiązanie tego problemu.

[rafikrafiki]

Jak byś miał ten plik to podrzuć go.

[Ransom]

Witam,

Oto logi z otl.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz z extras.exe

[Aby zobaczyć linki, zarejestruj się tutaj]

Mam nadzieje, że to coś pomoże i uda się odszyfrować pliki


logów podanych przez tachiona nie miałem. przywrócenie gałęzi nic nie dało

[Flash999]

Do OTL (bez kod) :

Kod:

:OTL
O4 - HKU\S-1-5-21-329068152-1592454029-839522115-1004..\Run: [24B94684] C:\WINDOWS\system32\4E778D5824B946846033.exe File not found
O33 - MountPoints2\{712d6d70-fd57-11de-af5e-0013d3c80c16}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
O33 - MountPoints2\{712d6d70-fd57-11de-af5e-0013d3c80c16}\Shell\Open(&0)\command - "" = I:\Recycled\ctfmon.exe

:Commands
[emptytemp]
[emptyflash]

Kliknij wykonaj skrypt i daj nowy log.

To są Twoje DNSy?
217.172.224.160 89.231.1.206

Zaktualizuj:
Windows do SP3 (wraz z poprawkami)
Java
Flash Player
Adobe Reader (masz wersję 7!)
Real Player
Firefoksa też by się przydało (masz 3.5.9)

OTL został uruchomiony wcześniej - daj poprzedni log.

Niestety, poprzez logi plików się nie odszyfruje.

[zaq26]

Witam.

3 dni temu zgłosił się do mnie kolega, któremu pojawiał się taki komunikat jak na screenie wklejonym przez Tachiona.
Trojana dosyć szybko usunąłem - system przez chwilę chodził normalnie i to wystarczyło na instalacjęPandy Cloud i uruchomienie skanowania.
Problem w tym, że wszystkie pliki użytkownika zostały zaszyfrowane. Zaszyfrowane zostały też nazwy plików, które są teraz losowymi ciągami znaków, bez rozszerzenia.
Dysponuję parą identycznych plików: jeden oryginalny, a drugi zaszyfrowany. Mam nadzieję, że istnieje jakieś narzędzie umożliwiające uzyskanie na tej podstawie klucza i rozszyfrowanie pozostałych plików. Gdyby ktoś dysponował takim programem, byłbym wdzięczny za pomoc.

Podrawiam

PS. Próbowałem bez skutku narzędzia

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz innych wyżej wymienionych.

[Rqw]

Może to pomoże?

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]