Problem z CryptoLockerem na laptopie Sony VAIO

[S.P.E.C.J.A.L]

Witam, Laptop mojej cioci został zawirusowany CryptoLockerem. Jest on taki sam jak w artykule niebezpiecznika (link: 

[Aby zobaczyć linki, zarejestruj się tutaj]

). Jakby tego było mało, przeprowadziła na własną rękę skanowanie z programu Spy Hunter   . Na szczęście zrezygnowała w połowie z uwagi na ciągnący się w nieskończoność proces skanowania. I tutaj mam kilka pytań:
1. Czy jest możliwość usunięcia wirusa wraz z deszyfracją zablokowanych plików? Niestety ciocia nie posiada backupa a jest na tym laptopie sporo zdjęć i dokumentów.
2. Czy jeżeli przeskanuje laptopa programem antywirusowym (Kaspersky/Avast/ADW Cleaner) to jest szansa że usunę wirusa, ale tylko częściowo robiąc sobie jeszcze więcej problemów?
3. Czy strona 

[Aby zobaczyć linki, zarejestruj się tutaj]

mogłaby odblokować zaszyfrowane pliki?
4. Czy konieczne jest wykonanie skryptu za pomocą programu FRST?

Na koniec jeszcze konfiguracja lapka:

Laptop Sony VAIO (Nie wiem jaki dokładnie model)
Karta Graficzna: AMD Radeon HD 7550M/760M
Procesor: Intel Core I3-2328M 2,20GHz (4 rdzenie)
Ram 4 GB
Dysk: 267 GB

[zbc]

1. Cryptolockera można usunąć, co do odzyskania plików zależy jakie szyfrowania.
2. Możesz przeskanować, ale najlepiej zapytaj się tachiona.
3. Nie wiem (ta strona działa[?]). Są różne narzędzia do deszyfryzacji.
4. Pewnie tak. Pomocy może udzielić ci Tachion. Może podać ci dokładne instrukcje co zrobić, najlepiej na razie nie ruszać. Czekaj cierpliwie

[morphiusz]

No, tylko ze tachion ma urlop

[zbc]

No, tylko ze tachion ma urlop

Tak tak, patrzyłem datę ostatniego logowania
To zasłużony urlop.

[Miszel03]

Czy konieczne jest wykonanie skryptu za pomocą programu FRST?

Aby usunąć infekcje - TAK. 

Nie chcę się narzucać, temat mogę poprowadzić mam odpowiednie

[Aby zobaczyć linki, zarejestruj się tutaj]

. (Jeżeli będzie trzeba, ale na to muszę mieć zgodę Administracji.)

[nikita]

Zainteresowany pewnie wcześniej, czy później uzyska pomoc. Jeśli nie uzyska jej u nas oficjalnie z powodu urlopów, to po prostu mi przykro, ale nie mam co z tym więcej zrobić.

[Mikołaj]

Witaj S.P.E.C.J.A.L,

Będę potrzebować kilku logów, ale po kolei.

Proszę pobrać i zainstalować

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz

[Aby zobaczyć linki, zarejestruj się tutaj]

.
Oba skany proszę przeprowadzić, w trybie normalnym, nie awaryjnym, oraz z zamkniętymi przeglądarkami.

Zainstaluj i uruchom

[Aby zobaczyć linki, zarejestruj się tutaj]

(EEK):
1. Kliknij dwukrotnie na EmergencyKitScanner.exe i zainstaluj EEK
2. Gdy instalacja się zakończy program się automatycznie uruchomi..
3. Kliknij "Tak", aby Emsisoft Emergency Kit się zaktualizował.
4. Umieść kursor myszy na zakładce "Menu" po lewej stronie i kliknij na "Skanowanie komputera".
5. Wybierz "Malware Scan" i kliknij na przycisk "Skanuj".
WAŻNE: Nie należy poddać kwarantannie ani nie usuwać zagrożeń. Potrzebuję jedynie raport skanowania.
6. Zapisz dziennik skanowania w łatwo dostępnym miejscu.

7. Zamknij Emsisoft Emergency Kit.

Połowa już została zrobiona.

[Aby zobaczyć linki, zarejestruj się tutaj]

(FRST):
1. Kliknij dwukrotnie, aby go uruchomić.
2. Podczas uruchomienia wyskoczy okno z powiadomieniem, kliknij "Tak".
3. Naciśnij przycisk "Skanuj".
Farbar Recovery Scan Tool stworzy następujące dzienniki:
FRST.txt
Addition.txt

[S.P.E.C.J.A.L]

Dzięki wielkie za porady i instrukcje. Logi przyśle najpóźniej w poniedziałek.

[S.P.E.C.J.A.L]

Obiecane logi.

Emsisoft Emergency Kit (EEK):

[Aby zobaczyć linki, zarejestruj się tutaj]

Farbar Recovery Scan Tool (FRST):
FRST.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addiction.txt:

[Aby zobaczyć linki, zarejestruj się tutaj]

BTW. wie ktoś miej więcej kiedy tachion wraca z wakacji? Czy jest to kwestia dni czy tygodni? Żeby nie było, mam dość czasu żeby poczekać dość długo. Sprawa z laptopem nie jest priorytetowa. Po prostu chciałbym żeby w tej sprawie wypowiedziały się wszystkie osoby z doświadczeniem. Unikniemy w ten sposób niepotrzebnych komplikacji. :-)

[tachion]

Kolega Mikołaj napisał że będzie mieć fixy do tego tematu tak więc na chwilę obecną swój wycofuje.

[Mikołaj]

Witaj S.P.E.C.J.A.L,

Niestety nie będzie możliwe odszyfrowanie,  zaszyfrowanych już plików. Oczyścimy jedynie system.

Pobierz AdwCleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

i zapisz na pulpicie.

1.Zamknij wszystkie otwarte programy oraz przeglądarki internetowe (możesz wydrukować lub zapisać tę instrukcję.).
2. Kliknij dwukrotnie na "adwcleaner.exe", aby uruchomić narzędzie.
3. Kliknij przycisk "Scan".
4. Po zakończeniu skanowania, kliknij przycisk "Clean".
5. Potwierdź za każdym razem klikając "OK".
6. Zostanie wyświetlony monit o ponowne uruchomienie komputera. Po restarcie, otworzy się plik tekstowy
w notatniku. (Jest to dziennik, który pokazuje co zostało usunięte), zapisz go na pulpicie.
7. Dołącz ten plik  w kolejnym swoim poście.
8. Jeżeli utracisz swój raport z jakiegoś powodu, zawsze można go znaleźć w
"C:\AdwCleaner" na Twoim komputerze.

Pobierz Junkware Removal Tool

[Aby zobaczyć linki, zarejestruj się tutaj]

 zapisz na pulpicie.

1.Uruchom narzędzie, klikając prawym przyciskiem myszy i wybierz opcję "Uruchom jako administrator".

2. Narzędzie się otworzy i zacznie skanować.
3. Proszę uzbroić się cierpliwość, ponieważ skan może trochę potrwać, wszystko zależy od specyfikacji komputera.
4. Po zakończeniu skanowania, dziennik automatycznie się otworzy i zapisze sie za pulpicie.
5. Dołącz "JRT"  plik  w kolejnym swoim poście.

[S.P.E.C.J.A.L]

Wielka szkoda że nie ma możliwości odszyfrowania plików.
Log z AdwCleaner:

[Aby zobaczyć linki, zarejestruj się tutaj]

Log z JRT:

[Aby zobaczyć linki, zarejestruj się tutaj]

I tutaj jest dziwna sprawa, bo skany nie dość że wykryły tyle co nic, to jeszcze trwały podejrzanie krótko. Może to wynik specyfikacji laptopa i zawartości dysku (ze 197 Gb jedynie 70 jest zajęte). Ale mimo wszystko wydaje mi się to podejrzane. Czy wirus mógłby wpłynąć na pracę antywirusa?

[tachion]

Zagrożenie nie wpływa na program antywirusowy.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [mcpltui_exe] => "C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe" /platui
HKLM-x32\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-3389668478-2291408585-3983187861-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.pl/
HKU\S-1-5-21-3389668478-2291408585-3983187861-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://sony13.msn.com
HKU\S-1-5-21-3389668478-2291408585-3983187861-1001\Software\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://vaioportal.sony.eu
SearchScopes: HKU\S-1-5-21-3389668478-2291408585-3983187861-1001 -> {78E5D9E1-F171-4EC3-A894-842E678DE748} URL = hxxp://www.search.ask.com/web?tpid=BCPA3-V7C&o=APN11416&pf=V7&p2=%5EBBO%5EYYYYYY%5EYY%5EPL&gct=&itbv=12.7.0.2210&apn_uid=3DC3A56D-6C45-47DD-8130-D254781F1832&apn_ptnrs=%5EBBO&apn_dtid=%5EYYYYYY%5EYY%5EPL&apn_dbr=iexplore.exe_6_11.0.9600.16384&doi=2014-01-06&trgb=IE&q={searchTerms}&psv=
FF Plugin HKU\S-1-5-21-3389668478-2291408585-3983187861-1001: intel.com/AppUpx64 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll No File
CHR HKLM-x32\...\Chrome\Extension: [lpoimibckejjdjcfbdnajaicnklhfplh] - https://chrome.google.com/webstore/detail/lpoimibckejjdjcfbdnajaicnklhfplh
S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X]
S3 McComponentHostServiceSony; C:\Program Files\McAfee Security Scan\3.8.130\McCHSvc.exe [288776 2013-10-16] (McAfee, Inc.)
CustomCLSID: HKU\S-1-5-21-3389668478-2291408585-3983187861-1001_Classes\CLSID\{9E506282-69D3-5ABA-9C1D-15994B37F4AC}\InprocServer32 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll No File
CustomCLSID: HKU\S-1-5-21-3389668478-2291408585-3983187861-1001_Classes\CLSID\{9E506282-69D3-5ABA-9C1D-15994B37F4AD}\InprocServer32 -> C:\Program Files (x86)\Intel\IntelAppStore\bin\npAppUp_x64.dll No File
Task: {22BF4B27-3DD3-471D-8A27-2C1FB1E3DF29} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2011-06-01] (Apple Inc.)
Task: {3129191F-B35A-48BA-9DAA-D4A4C64D1314} - System32\Tasks\Sony Corporation\Xperia Link\Xperia Link Logon Start => C:\Program Files (x86)\Sony\Xperia Link\Xperia Link.exe [2012-11-29] (Sony Corporation)
Task: {C4E81C21-1685-4388-8DB5-C58CF1A93EA3} - System32\Tasks\{D06CB9C6-4DD9-423D-A20C-FC28E29C5DAA} => pcalua.exe -a D:\Driver\setup.exe -d D:\Driver
Task: {C64F6D70-BC9A-4E60-89C2-B1BE2233DF34} - System32\Tasks\{D0DE15DC-FF4D-44C0-B604-479B6936E93B} => pcalua.exe -a "C:\Program Files (x86)\BonanzaDeals\uninst.exe" -c /uninstall
Task: {D1B94F35-B924-49BA-AB39-9E30C8885493} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-07-17] (Enigma Software Group USA, LLC.)
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:

Adobe Flash Player 18 NPAPI
Adobe Reader X (10.1.13)
AVG PC TuneUp 2014
Java 7 Update 21 (64-bit)
Mozilla Firefox 37.0.1 (zaktualizuj)
Shared C Run-time

Część z tego zestawu też bym odinstalował,odeszło by przy tym parę procesów.

Kod:

Media Go
Media Go Video Playback Engine
VAIO - Klawiatura zdalna (HKLM-x32\...\{7396FB15-9AB4-4B78-BDD8-24A9C15D2C65}) (Version: 1.2.0.09270 - Sony Corporation)
VAIO - Klawiatura zdalna dla PlayStation®3 (HKLM-x32\...\{E682702C-609C-4017-99E7-3129C163955F}) (Version: 1.2.0.09210 - Sony Corporation)
VAIO - Xperia Link (HKLM-x32\...\{D91558BF-D1F3-411F-AEFE-8774CB406512}) (Version: 1.0.2.11280 - Sony Corporation)
VAIO Care (HKLM\...\{64AEB277-30E8-4C5B-A9D5-66CD8995AF75}) (Version: 8.3.0.08220 - Sony Corporation)
VAIO Care Recovery (HKLM\...\{3A097A28-308D-4C39-809F-C72ED47636E2}) (Version: 1.0.2.08020 - Sony Corporation)
VAIO Control Center (HKLM-x32\...\{8E797841-A110-41FD-B17A-3ABC0641187A}) (Version: 6.0.0.08200 - Sony Corporation)
VAIO CPU Fan Diagnostic (HKLM-x32\...\{BCE6E3D7-B565-4E1B-AC77-F780666A35FB}) (Version: 1.1.0.09200 - Sony Corporation)
VAIO Data Restore Tool (HKLM-x32\...\{57B955CE-B5D3-495D-AF1B-FAEE0540BFEF}) (Version: 1.10.0.07270 - Sony Corporation)
VAIO Gate (HKLM-x32\...\{14AC95A2-7675-4988-A5BD-3F5B943AED08}) (Version: 3.0.1.02270 - Sony Corporation)
VAIO Gate Default (HKLM-x32\...\{B7546697-2A80-4256-A24B-1C33163F535B}) (Version: 3.0.0.08060 - Sony Corporation)
VAIO Gesture Control (HKLM-x32\...\{692955F2-DE9F-4078-8FAA-858D6F3A1776}) (Version: 2.0.0.08240 - Sony Corporation)
VAIO Image Optimizer (HKLM-x32\...\InstallShield_{5597C927-029A-46A7-A0C0-8DABD9891A50}) (Version: 3.2.00.07040 - Sony Corporation)
VAIO Improvement (HKLM-x32\...\{3A26D9BD-0F73-432D-B522-2BA18138F7EF}) (Version: 2.0.0.08090 - Sony Corporation)
VAIO Manual (HKLM-x32\...\{C6E893E7-E5EA-4CD5-917C-5443E753FCBD}) (Version: 3.0.0.08100 - Sony Corporation)
VAIO Media Server Settings (HKLM\...\{62A172B2-550E-499D-9A82-5190D18390AA}) (Version: 1.0.0.08240 - Sony Corporation)
VAIO Movie Creator (HKLM-x32\...\InstallShield_{C2CC5822-32E6-4D21-88EA-DE8CED09EE2F}) (Version: 4.3.01.11140 - Sony Corporation)
VAIO Transfer Support (HKLM-x32\...\{5DDAFB4B-C52E-468A-9E23-3B0CEEB671BF}) (Version: 1.8.0.08212 - Sony Corporation)
VAIO Update (HKLM-x32\...\{9FF95DA2-7DA1-4228-93B7-DED7EC02B6B2}) (Version: 7.0.1.02280 - Sony Corporation)

Są następujące punkty przywracania i można też z nich skorzystać w celu przywrócenia newralgicznych danych.

Restore Points
03-04-2015 16:21:10 Zaplanowany punkt kontrolny
20-04-2015 22:40:02 Zaplanowany punkt kontrolny

Ściągnij w tym celu program 

[Aby zobaczyć linki, zarejestruj się tutaj]

 wybierz odpowiednią datę i spróbuj odzyskać dane pliki z wybranej partycji.

[Mikołaj]

Witaj S.P.E.C.J.A.L,

Proszę jeszcze nie wykonuj działań według instrukcji opisanych wcześniej przez Tachiona, gdyż jeszcze nie zakończyłem operacji z mojej strony.

[tachion]

Ok wycofałem wykonanie.

[Mikołaj]

Witaj S.P.E.C.J.A.L,

Dziękuję za podesłane logi.

Będę teraz potrzebował nowe raporty z Emsisoft Emergency Kit oraz Farbar Recovery Scan Tool.


Uruchom Emsisoft Emergency Kit (EEK):
1. Umieść kursor myszy na zakładce "1. Aktualizuj teraz" po lewej stronie i pobierz najnowsze definicje wirusów.
2. Wybierz "Malware Scan" i kliknij na przycisk "Skanuj".
3. Umieść kursor myszy na zakładce "Menu" po lewej stronie i kliknij na "Skanowanie komputera".
4. Wybierz "Malware Scan" i kliknij na przycisk "Skanuj".
WAŻNE: Nie należy poddać kwarantannie ani nie usuwać zagrożeń. Potrzebuję jedynie raport skanowania.
5. Zapisz dziennik skanowania w łatwo dostępnym miejscu.
6. Zamknij Emsisoft Emergency Kit.

Farbar Recovery Scan Tool (FRST):
1. Kliknij dwukrotnie, aby go uruchomić.
2. Podczas uruchomienia wyskoczy okno z powiadomieniem, kliknij "Tak".
3. Naciśnij przycisk "Skanuj".
Farbar Recovery Scan Tool stworzy następujące dzienniki:
FRST.txt
Addition.txt

Proszę załącz wszystkie raporty w swoim kolejnym poście.

[S.P.E.C.J.A.L]

Ponownie przeskanowałem laptopa i tym razem coś wykryło.
Log z Emsisoft Emergency Kit:

[Aby zobaczyć linki, zarejestruj się tutaj]

Log z Farbar Recovery Scan Tool (kolejno Addition i FRST)

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Chyba na przyszłość pomyślę o dokształceniu się przy jakiejś lekturze poświęconej wirusom (ewentualnie stronie poświęconej logom, patrząc na ilość syfu który z roku na rok przybywa i staje się coraz groźniejszy).

[rogacz]

Albo przestań używać Kasperskiego

[Mikołaj]

Witaj S.P.E.C.J.A.L,

Dzięki za świeże logi. Jak tylko otrzymam informację zwrotną od zespołu, to niezwłocznie poinformuję Ciebie w Poniedziałek.

Pozdrawiam,

Mikołaj

[Mikołaj]

Witaj S.P.E.C.J.A.L,

W załączniku znajdziesz plik fixlist.txt. Zapisany skrypt umieść obok ściągniętego programu FRST.
Następnie w programie FRST kliknij Fix, po wykonaniu pokaż raport z tego działania (znajduje się na pulpicie Fixlog.txt).

Pozdrawiam,

Mikołaj