Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Препоръчан отговор


Здравейте,

Вчера направих голяма глупост - свалих файл от явно руски сайт, с крещящо ненадежден вид.

Тъй като от няколко години карам без антивирусна програма, след като свалих файла, го проверих с първата безплатна опция, която Google ми предложи онлайн (мисля, че беше някакъв безплатен вариант на Касперски), след което го стартирах. Веднага на работния ми плод се появиха иконите на две непознати за мен програми, които се стартираха, а след това започна инсталация като на тази снимка. След кратко колебание, изключих аварийно компютъра и разкачих двата външни диска, които имам. След това намерих тази статия и последвах стъпките, описани в нея, но в крайна сметка не успях да декриптирам поразените файлове.

Открих въпросното съобщение за откуп в _readme.txt файла, който се бе мултиплицирал в n на брой директории на HDD дисковете ми. Интересното е, че открих само няколко копия на същия файл на системния си диск C, който е SSD, и всичките бяха в директорията на Steam (и поддиректориите), но не намерих нито един криптиран файл с разширение .grod на C.

За сметка на това, няколко терабайта - основно филми, музика и книги, но и немалък обем лична информация - бяха криптирани. Друг интересен момент - всички филми и музикални файлове, които са вкарани в плейлистите на някой от плеърите ми, са останали незасегнати. Всъщност това е и основният ми въпрос към вас - мога ли безопасно да прехвърля всички незасегнати (некриптирани) файлове на друг носител, за да форматирам поразените си дискове, и има ли опасност те впоследствие да пренесат "заразата"?

Имам флашка с инсталационен Windows, но пък съм изключил System Restore и не мога да върна назад. Прилагам файловете FRST.txt и Addition.txt, според инструкциите.

FRST.txt Addition.txt

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Здравейте,

За съжаление това в нова версия на добре познатия STOP (Djvu) Ransomware и декриптор за нея към момента няма:

https://mobile.twitter.com/demonslay335/status/1194715740013760512

(както и сами сте разбрали това):

(Emsisoft Ltd -> Emsisoft Ltd.) C:\Users\Vasil\Desktop\decrypt_STOPDjvu.exe

Колкото до прехвърлянето на файловете...(ако пренасяте само мултимедийни файлове, а не такива с изпълнимо разширение) не би трябвало да има проблеми, но преди да вържете външния диск към заразения компютър е добре да бъде почистен, защото в логовете има индикации на активна зараза. След малко ще публикувам скрипта.

Изтеглете fixlist.txt и го запазете на в папката, където сте свалили FRST64.exe

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Благодаря за разяснението. Изпълних стъпките и прикачвам fixlog.txt.

Fixlog.txt

Имате ли някакви препоръки за по-обстойно почистване на заразения компютър освен вече направеното? Как мога да съм сигурен, че компютърът е обезопасен, преди да вържа външния диск, за да прехвърля оцелялата мултимедия? 

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ами не бързайте. Имаме още работа. Иначе по принцип криптобацилите се самоизтриват след като приключат с тяхната активност, защото авторите им не искат файловете да бъдат пратени за анализ към антивирусните лаборатории, където евентуално могат да извлекат декриптиращи ключове или да открият контролните сървъри откъдето ги получават.

Иначе най-удачно независими дали системата е чиста или не е да изключите Autorun в Windows за да се сте сигурни, че няма да се задейства заразата (ако такава все още присъства):

https://www.nucleustechnologies.com/blog/three-methods-to-disable-autorun-in-windows-10/

За останалото би трябвало да се погрижи антивирусната ви програма, защото повечето такива сканират външните устройства при свързването им. Иначе има и отделно програми като MCShield 3, която за съжаление не е обновяване от доста време, но пък работи с евристики и все още е достатъчно ефективна в повечето случаи:

https://www.mcshield.net/

А сега изтеглете  fixlist.txt и го запазете на в папката, където сте свалили FRST64.exe

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Благодаря. Изключих Autorun (с Windows 8.1 64 bit съм).

Този път не поиска рестарт. Ето файла: Fixlog.txt

Но като цяло системата започна да се държи съвсем неадекватно. Явно браузърът ми по подразбиране (Mozilla Firefox) също е компрометиран. Вече не мога да отворя този форум, нито който и да е URL адрес през запазените в отметките линкове, които обикновено ползвам (в момента използвам Brave), а само ако изпиша или копирам и поставя адрес от друг браузър. Не мога да се впиша с име и парола, за да синхронизирам отметки, пароли и т.н. Като вляза в настройките на Firefox и избера Sync -> Sign In, виждам екран с йероглифен надпис, който не мисля, че съм виждал преди. 

Също така се абонирах за пробен период на Avast Premium Security, и при опит да активирам защитна стена, която антивирусната програма ми съобщава, че не е активна, софтуерът забива, дотам, че се налага да рисетвам системата. 

Интернет връзката също не е нормална (на PC-то и на лаптопа ми). След един от рестартите на компютъра не можеше да отвори нищо за повече от 15 минути. След това започна да зарежда ужасно бавно (припомних си dial-up връзките от зората на интернет). Също, Windows Explorer започна да се бави, а на моменти не може да отвори нищо. После се оправя и си работи нормално. 

Още една подробност... тук прочетох, че мога да отворя файла hosts, за да го редактирам след инфекцията с Grod, но този файл при мен не се намираше в C:\Windows\System32\drivers\etc\hosts, както е посочено в статията, а в директория WinSxS, в която има хиляди подпапки с повече от странни етикети. Например моят hosts файл беше в папка amd64_microsoft-windows-w..ucture-other-minwin_31bf3856ad364e35_6.3.9600.16384_none_25fdfd813908f8a6Това вчера. Днес влизам в C:\Windows\System32\drivers\etc\hosts и виждам, че файлът вече го има и там, но в него има един единствен ред - 127.0.0.1 localhostАко това изобщо има някакво значение, де. Просто ми се стори странно...


Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Направете Refest на Firefox.

В адресната лента въведете about:support

Натиснете Enter и изберете Refrest Firefox... => старата папка с данните ще бъде преместена на десктопа доколкото си спомням.

Всички настройки обаче и пароли и запаметени страници сигурно ще заминат и затова си направете бекъп ако ви трябват.

Скоро не съм ползвал avast и не мога да коментирам по този въпрос, но според лог файла стената на Windows си работи коректно.

Интернет връзката може би се е забавила временно, защото в скрипта почистихме DNS кеша, прокси настройките и други неща.

Hosts файла имаше проблеми според Event Viewer-a =>

Цитат

Error: (11/15/2019 11:01:50 PM) (Source: Microsoft-Windows-DNS-Client) (EventID: 1012) (User: NT AUTHORITY)
Description: There was an error while attempting to read the local hosts file.

Затова и го поправих със скрипт:

Hosts restored successfully.

Може би това го е върнало и на мястото му, а това че съдържа един ред е нормално и дори е правилното явление при новоинсталирана Операционна Система. Вече ако се въведат допълнителни адреси ръчно е друго, но е нормално да съдържа само този ред и при Reset на Hosts винаги се връща само до този ред.

Иначе явно сте пуснали втория скрипт два пъти, а не веднъж, защото в лог файла се вижда статус RUN:3 (а не RUN:2) и затова явно в този fixlog.txt няма намерени обекти за изтриване.

Направете нова проверка с Malwarebytes Anti-Malware (като се уверите, че в Settings -> Security -> плъзгача пред Scan for rootkits е преместен надясно).

1566597623_malwarebytes_4_4.jpg

Забавянето на Windows Explorer може да се дължи на защитата в реално време на avast между другото. Вижте и настройките или временно я деинсталирайте за теста.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Направих нова проверка, но не откри нищо.

Между другото виждам, че доста от последните неща, които съм теглил са още в списъка на торент клиента ми. Чудех се дали е  безопасно да пусна Re-check на криптираните от вируса и съответно да ги изтегля отново?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Не би трябвало да е проблем, защото новите файлове ще презапишат старите.

А Firefox оправи ли се след Refresh-a? А другите проблеми останаха ли? Деинсталирахте ли avast!?

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Да, слава богу Firefox се оправи, йероглифите изчезнаха, прие данните за вписване и успях да синхронизирам. Няколко линка в отметките бяха изчезнали (вкл. този на форума), но пък паролите са налице, така че всичко е наред. Чак сега успях да рестартирам след деинсталирането на Avast, защото бях пуснал дълбоко сканиране на Recuva, но то щеше да продължи около 6 часа, и накрая не издържах и го спрях. Иначе тази програмка успя да ми възстанови няколко файла, но не си струва да я чакам за всички (по-големият ми диск е 4 терабайта). И да, след премахването на Avast машината работи осезаемо по-леко.

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Би трябвало от преместената папка на десктопа Old Firefox Data да можете да копирате и линковете като намерите папката bookmarkbackups и копирате някъде файла с разширение .jsonlz4 от последната дата и го import-нете после във Firefox през Bookmarks => Show All Bookmarks => Import and Backup => Restore => Choose File => и посочвате копирания на десктоп файл с разширение .jsonlz4.

Да направим още две проверки за всеки случай:

 Може вече да сте сканирали с тях ако сте използвали някое от онлайн ръководствата, но все пак искам да видя лог файловете от следните две програми като направите проверките със следните настройки:

 

СТЪПКА 1

 

1.Изтеглете Hitman Pro.

За 32-битова система - dEMD6.gif.
За 64-битова система - Download-button3.gif

2.Стартирайте програмата.
3.След като сте стартирали програмата като кликнете върху иконата 5vo5F.jpg и натиснете бутона „Напред“ като се съгласите с лицензионното споразумение (EULA).

4.Сложете отметка пред "Не, искам да завърша еднократно сканиране на компютъра".

5.Натиснете бутона „Напред“.

6.Програмата ще започне да сканира. Времето за сканиране е около 2 минути.

7.След завършване на сканирането от списъка с намерените неща (ако има такива) изберете Apply to all => Ignore.

8.Натиснете "Next" и след това натиснете "Изнеси резултата в XML file" и запазете лог файла на десктопа.

9.Архивирайте файла и го прикачете в следващия си коментар или копирайте съдържанието му в следващия си коментар.
 
Забележка: Ако няма падащо меню, където да изберете ignore както на снимката:
 
6-scanfin-choose.jpg
 
Тогава просто затворете програмата след края на проверката (без да премахвате нищо)...след това отворете C:\Programdata\HitmanPro\Logs, отворете и публикувайте съдържанието на лог файла в следващия си коментар. Пак повтарям, не трийте нищо с програмата, защото е доста мощна и може да бъде опасна!

Забележка: Папката C:\ProgramData е скрита и затова трябва да направите скритите файлове видими по-следния начин:

От My Computer => Tools => Folder Options => View:

Сложете отметка пред "Show hidden files, folders and drives"

и махнете отметката пред "Hide protected operating system files (recommended)".

Натиснете Apply.

Сега проверете за лог файла в папката C:\Programdata\HitmanPro\Logs и го прикачете в следващия си коментар.

Или просто поставете C:\Programdata\HitmanPro\Logs в адресния бар на Windows Explorer и пак би трябвало да се отвори.

 

СТЪПКА 2

 

emsisoft_emergency_kit.pnglogo.png

  • Моля изтеглете EmsisoftEmergencyKit, стартирайте exe файла и посочете къде да се разархивира програмата - например в (C:\EEK), натискайки бутона Extract.
  • Стартирайте иконата на файла Start Emsisoft Emergency Kit от десктопа за да стартирате приложението.
  • Натиснете бутона"Yes", когато бъдете подканени да обновите дефинициите на програмата.
  • След като процеса по обновяването на дефинициите приключи натиснете бутона "Scan".
  • Натиснете бутона "Yes", когато бъдете попитани дали да програмата да включи засичането на потенциално нежелани приложения (Potentially Unwanted Applications).
  • Сега вече изберете бутона Custom Scan. Премахнете от списъка всички дялове без C:\ (т.е. нека да остане само дял C:\ в списъка).
  • Натиснете Next за да започне проверката.
  • Когато проверката приключи натиснете бутона View Report.
  • Копирайте съдържанието на лог файла в следващия си коментар.

 

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

HitmanPro не откри нищо и съответно не видях падащо меню, но за сметка на това записа два лог файла. Архивирах ги със 7zip. 

А ето и съдържанието на лог файла на EmsisoftEmergencyKit:

Цитат

Emsisoft Emergency Kit - Version 2019.10
Last update: 16.11.2019 г. 22:04:15
User account: HEX4\Vasil
Computer name: HEX4
OS version: Windows 8.1x64

Scan settings:

Scan type: Custom Scan
Objects: Rootkits, Memory, Traces, C:\

Detect PUPs: On
Scan archives: On
Scan mail archives: Off
ADS Scan: On
File extension filter: Off
Direct disk access: Off

Scan start:    16.11.2019 г. 22:06:10
Key: HKEY_USERS\S-1-5-21-592932294-1385893783-2686404750-1001\SOFTWARE\CONDUIT     detected: Application.InstallAd (A) [270274]

Scanned    482083
Found    1

Scan end:    16.11.2019 г. 22:22:32
Scan time:    0:16:22

 

HitmanPro Logs.7z

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Да, логовете са чисти. HitmanPro е намерил основно проследяващи бисквитки и един ключ в регистрите от потенциално нежелани приложение (който е намерен и от Emsisoft и можете да го изтриете през нея).

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

image.png.9cf9e0ab76b122782aff3552f54c5829.png     =>     image.png.44f957ce25ef61c76206655a46425152.png

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

image.png.abcc20b28654d54fae08e7451bb5dc3b.png

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете  KpRm от kernel-panik и го запишете на вашия работен плот. 

  • Щракнете с десния бутон върху kprm_1.9.exe и изберете Run as administrator
  • Когато инструментът се отвори сложете всички отметки и натиснете бутона Run.

111.PNG

  • След като приключите, щракнете върху OK. 
  • В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Останалите инструменти, файлове, папки и лог файлове (ако има такива) можете да изтриете ръчно като папките C:\EEK, C:\Programdata\HitmanPro и т.н.

Можете да деинсталирате и Malwarebytes Anti-Malware.

След това е желателно да инсталирате допълнение към Windows Defender (която е вградената ви антивирусна програма) като AppCheck Anti-Ransomware или Kaspersky Anti-Ransomware for Business

(но само една от двете).

Поздрави!

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Ето съдържанието на лог файла на KpRm:

Цитат

# Run at 16.11.2019 'г.' 22:55:32
# KpRm (Kernel-panik) version 1.22
# Website https://kernel-panik.me/tool/kprm/
# Run by Vasil from C:\Users\Vasil\Desktop
# Computer Name: HEX4
# OS: Windows 8.1 X64 (9600)
# Number of passes: 1

- Checked options -

    ~ Registry Backup
    ~ Delete Tools
    ~ Restore System Settings
    ~ UAC Restore
    ~ Delete Restore Points
    ~ Create Restore Point

- Create Registry Backup -

    ~ [OK] Hive C:\Windows\System32\config\SOFTWARE backed up
    ~ [OK] Hive C:\Users\Vasil\NTUSER.dat backed up

  [OK] Registry Backup: C:\KPRM\backup\2019-11-16-22-55-12

- Remove Tools -


  ## AdwCleaner
     [OK] C:\AdwCleaner deleted (1)

  ## Emisoft Emergency Kit
     [OK] C:\Users\Vasil\Desktop\Ransomware\EmsisoftEmergencyKit.exe deleted (1)
     [OK] C:\EEK deleted (1)

  ## FRST
     [OK] C:\Users\Vasil\Desktop\Ransomware\Shortcut.txt deleted (1)

- Restore System Settings -

  [OK] Flush DNS
  [OK] Reset WinSock
  [OK] Hide Hidden file.
  [OK] Show Extensions for known file types
  [OK] Hide protected operating system files

- Restore UAC -

  [OK] Set ConsentPromptBehaviorAdmin with default (5) value
  [OK] Set ConsentPromptBehaviorUser with default (3) value
  [OK] Set EnableInstallerDetection with default (0) value
  [OK] Set EnableLUA with default (1) value
  [OK] Set EnableSecureUIAPaths with default (1) value
  [OK] Set EnableUIADesktopToggle with default (0) value
  [OK] Set EnableVirtualization with default (1) value
  [OK] Set FilterAdministratorToken with default (0) value
  [OK] Set PromptOnSecureDesktop with default (1) value
  [OK] Set ValidateAdminCodeSignatures with default (0) value

- Clear Restore Points -

    ~ [OK] RP named Scheduled Checkpoint created at 11/16/2019 19:07:37 deleted

  [OK] All system restore points have been successfully deleted

- Create Restore Point -

  [OK] System Restore Point created

- Display System Restore Point -

    ~ RP named KpRm created at 11/16/2019 20:55:45 found

-- KPRM finished in 20.85s --

Windows Defender съм го спрял преди около две години, когато човек от форума ми сглоби тази конфигурация и дори не си спомням как (вероятно пак съм следвал някакво ръководство). Ще потърся информация как да го активирам и тогава ще кача препоръчаното от Вас.

Много благодаря за съдействието и безценната помощ. С удоволствие бих си платил за услугата ако е удобно.   

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Най-вероятно са променени следните стойности в регистъра:

DisableAntiSpyware
DisableAntiVirus

Като вземете права над ключа HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender, просто им променете стойността на 0.

Друг вариант е да го активирате от Action Center-a. И двата метода са описани в линка:

https://www.repairwin.com/enable-or-disable-windows-defender-in-windows-7-8-10/

Поздрави и лека вечер! ;)

Сподели този отговор


Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Добави ново...