| Precedente :: Successivo |
| Autore |
Messaggio |
l3g10n3r
Mortale pio
Registrato: 04/04/09 13:25
Messaggi: 19
|
 Inviato: 04 Apr 2009 13:33 Oggetto: Di colpo ho tutti i file dell'hard disk criptati. |
 |
|
| Dunque premetto subito il mio problema.Avevo installato windows xp sp2,avast antivirus,quando l'altra sera,il 30 marzo,verso mezzanotte vado ad aprire la cartella documenti e vedo che accanto al nome di ogni file c'è scritto ENCRYPT.Questo per ogni file con pochissime eccezioni.Lancio avast ma non trova nulla.Escludo il famigerato gpcode causa mancanza file di testo con richiesta di denaro e finestra quando clicco sui file.Semplicemente è tutto criptato.Ho provato ad utilizzare photorec,ma i pochi file recuperati sono rovinati come gli mp3,oppure rimpicciliti come le foto.Stppgpcode come altri programmi non si avvia e spesso e volentieri non mi si aprono pagine internet specie di forum.Vi ringrazio in anticipo per l'aiuto visto che in quei 160 giga c'erano cose a cui tenevo davvero molto. |
|
| Top |
|
 |
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Apr 2009 14:09 Oggetto: |
|
|
Ciao l3g10n3r e benvenuto, 
i file criptati sono sul disco interno al pc o su un disco esterno?
Fai questa scansione con SystemScan, carica il log su WikiSend e posta il Forum Link che ti viene assegnato. |
|
| Top |
|
|
l3g10n3r
Mortale pio
Registrato: 04/04/09 13:25
Messaggi: 19
|
| Inviato: 04 Apr 2009 14:25 Oggetto: |
|
|
| L'hard disk è quello interno al pc.Il programma non riesco a scaricarlo come clicco sul tuo link mi si chiude la pagina.Me lo fa anche se digito il nome del programma su google,è pazzesco.Stamattina ho fatto una scansione con malwarebites se ti interessa posso postare quella. Ti ringrazio per il benvenuto in ogni caso e scusami se non posso seguire passo passo le tue istruzioni. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 04 Apr 2009 14:40 Oggetto: |
|
|
| l3g10n3r ha scritto: | | Stamattina ho fatto una scansione con malwarebites se ti interessa posso postare quella. |
Allega il log di Malwarebytes, intanto.
Poi vedremo come procedere. |
|
| Top |
|
|
l3g10n3r
Mortale pio
Registrato: 04/04/09 13:25
Messaggi: 19
|
| Inviato: 04 Apr 2009 16:41 Oggetto: |
|
|
questo è il file della scansione di malwarebites
Malwarebytes' Anti-Malware 1.35
Versione del database: 1939
Windows 5.1.2600 Service Pack 2
04/04/2009 16.35.31
mbam-log-2009-04-04 (16-33-02).txt
Tipo di scansione: Scansione completa (C:\|)
Elementi scansionati: 139153
Tempo trascorso: 1 hour(s), 18 minute(s), 4 second(s)
Processi delle memoria infetti: 0
Moduli della memoria infetti: 0
Chiavi di registro infette: 3
Valori di registro infetti: 2
Elementi dato del registro infetti: 5
Cartelle infette: 9
File infetti: 11
Processi delle memoria infetti:
(Nessun elemento malevolo rilevato)
Moduli della memoria infetti:
(Nessun elemento malevolo rilevato)
Chiavi di registro infette:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{db893839-10f0-4af9-92fa-b23528f530af} (Dialer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\CrucialSoft Ltd (Rogue.MSantispyware2009) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ms antispyware 2009 5.7 (Rogue.MSAntiSpyware) -> No action taken.
Valori di registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ms antispyware 2009 (Rogue.MSantispyware2009) -> No action taken.
Elementi dato del registro infetti:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\twext.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: system32\twext.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\twex.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: system32\twex.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,C:\WINDOWS\system32\twext.exe,) Good: (userinit.exe) -> No action taken.
Cartelle infette:
C:\WINDOWS\system32\twain_32 (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\CrucialSoft Ltd (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\CrucialSoft Ltd\MS AntiSpyware 2009 (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\CrucialSoft Ltd\MS AntiSpyware 2009\BASE (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\CrucialSoft Ltd\MS AntiSpyware 2009\DELETED (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\CrucialSoft Ltd\MS AntiSpyware 2009\LOG (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\CrucialSoft Ltd\MS AntiSpyware 2009\SAVED (Rogue.Multiple) -> No action taken.
C:\Programmi\Microsoft Common (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.
File infetti:
C:\Documents and Settings\legio\Dati applicazioni\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\twain_32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain_32\user.ds (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20090126183300875.log (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20090127164456484.log (Rogue.Multiple) -> No action taken.
C:\Documents and Settings\All Users\Dati applicazioni\CrucialSoft Ltd\MS AntiSpyware 2009\LOG\20090127164851453.log (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain32\user.ds.lll (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twext.exe (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twex.exe (Backdoor.Bot) -> No action taken. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Apr 2009 16:55 Oggetto: |
|
|
Ok, procedi con la rimozione delle "bestioline" tramite MalwareBytes.
Al termine, ritenta la scansione con SystemScan. |
|
| Top |
|
|
l3g10n3r
Mortale pio
Registrato: 04/04/09 13:25
Messaggi: 19
|
| Inviato: 04 Apr 2009 17:20 Oggetto: |
|
|
| Sembra impossibile ma ogni link che lo contiene mi risulta irraggiungibile.La pagina si apre e si chiude immediatamente.Esattamente come succede anche con il programma per il decrittaggio dei file della kaspersky stopgpcode.Sembra ancora più assurdo ma mi capita lo stesso con pagine internet o di forum dove si discute di problemi simili al mio.Nel frattempo ho scaricato kaspersky antivirus dite che è il caso di tentare una scansione?Davvero grazie a tutti per l'aiuto. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 04 Apr 2009 17:31 Oggetto: |
|
|
Il problema è rappresentato dall'infezione rilevata da malwarebytes e che, sembra, tu non abbia fatto ripulire.
Ricordati che MBAM, solitamente, richiede il riavvio del pc dopo la pulizia.
Comunque, ti posto la procedura standard completa:
- Pulisci i files temporanei con CCleaner
- Segui le istruzioni di questo messaggio per rimuovere gli ADS con HiJackThis.
- Segui le istruzioni di questo topic per usare MBAM.
- scarica e installa la versione Free di SuperAntispyware:
la configuri come da immagini:
esegui una scansione completa del sistema
- Fai questa scansione con SystemScan.
- Riferisci con un nuovo messaggio in questa discussione dell'esito: se ci sono stati problemi particolari, ecc. ecc. E riporta:
In caso di problemi, vai al passo successivo. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 04 Apr 2009 17:34 Oggetto: |
|
|
| l3g10n3r ha scritto: | | Nel frattempo ho scaricato kaspersky antivirus dite che è il caso di tentare una scansione?. |
No. Oltre a ciò che è stato suggerito da BDoriano, esegui anche una scansione online da Bitdefender: clicca qui per Bitdefender
Clicca su Iagree e ti verrà richiesto di installare un activex; installalo e poi procedi con la scansione.
Al termine della scansione verrà rilasciato un report (non ricordo bene se è una pagina html o un log: in ogni caso pubblica il relativo link). |
|
| Top |
|
|
l3g10n3r
Mortale pio
Registrato: 04/04/09 13:25
Messaggi: 19
|
| Inviato: 05 Apr 2009 05:28 Oggetto: |
|
|
Causa poco tempo a mia disposizione sono riuscito solo a fare una scansione con bit defender.Questo è il risultato:
BitDefender Online Scanner - Real Time Virus Report
Generated at: Sat, Apr 04, 2009 - 20:19:21
--------------------------------------------------------------------------------
Scan Info
Scanned Files
279462
Infected Files
1
Virus Detected
Gen:Trojan.Heur.10946B7A7A
1
Ho provveduto a riavviare il pc dopo aver fatto la scansione con malwarebites che infatti appena fatta una nuova scansione mi da zero infezioni.CCcleaner non mi si apre dandomi lo stesso problema delle pagine internet e di stop gpcode.Si apre un attimo la finestra e poi scompare.Mi sembra davvero assurdo tutto questo sono sincero.Domani provvederò a seguire anche la procedura suggerita da bdoriano.Grazie ancora a tutti per l'aiuto e soprattutto la pazienza. |
|
| Top |
|
|
l3g10n3r
Mortale pio
Registrato: 04/04/09 13:25
Messaggi: 19
|
| Inviato: 05 Apr 2009 15:26 Oggetto: |
|
|
Finalmente dopo la scansione con super antispyware riesco ad utilizzare cccleaner come system scan.
Questo è il link http://wikisend.com/download/552120/report.txt.
Ho scovato anche un file di testo nella cartella programmi dove mi si dice che i miei file sono stati criptati e che per risolvere il problema dovrei mandare 900 euro agli autori del criptaggio.Girellando in rete ho visto anche altre persone con il mio stesso problema eche oltretutto hanno subito l'attacco del virus lo stesso giorno,il 30 marzo verso mezzanotte.Una probabile evoluzione del famigerato gpcode con cui neanche photorec riesce a recuperare i file senza rovinarli.Allego anche la scansione fatta con hijack this se può essere utile.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14.16.41, on 05/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\CPUCooL\CooLSrv.exe
C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\WINDOWS\CameraFixer.exe
C:\WINDOWS\tsnpstd3.exe
C:\WINDOWS\vsnpstd3.exe
C:\Programmi\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Yahoo!\Companion\Installs\cpn\ytbb.exe
C:\Programmi\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Guida per l'accesso a Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmi\File comuni\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programmi\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programmi\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programmi\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programmi\MSN Apps\MSN Toolbar\01.02.5000.1021\it\msntb.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programmi\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programmi\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmi\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Programmi\Conexant\AccessRunner ADSL\CnxDslTb.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programmi\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmi\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Statistiche sulla protezione del traffico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Inserisci blog - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: Inserisci &blog in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programmi\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148554086500
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF059C33-3503-41BD-87EA-8A40637E05B7}: NameServer = 85.37.17.55 85.38.28.93
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmi\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programmi\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programmi\CPUCooL\CooLSrv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programmi\File comuni\EPSON\EBAPI\SAgent2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 7454 bytes
Spero di non aver sbagliato nulla nel postere queste scansioni.Se così fosse mi scuso visto che è la prima volta che uso questi programmi.Un grazie anticipato a chi si prenderà la briga di spulciare questi dati. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Apr 2009 21:40 Oggetto: |
|
|
Se si tratta dell'ultima variante di gpcode, non c'è possibilità di ritornare in possesso dei tuoi files. 
Puoi postare il testo del messaggio con la richiesta di riscatto che hai trovato sul tuo pc? |
|
| Top |
|
|
l3g10n3r
Mortale pio
Registrato: 04/04/09 13:25
Messaggi: 19
|
| Inviato: 05 Apr 2009 22:15 Oggetto: |
|
|
Tutti gli vostri archivi sono cifrati.
Se desiderate decodificare gli archivi, compri il decodificatore.
Il costo del decodificatore e di 900 euro.
Come comprare?
Potete inviare soltanto i soldi via: Western Union o trasferimento bancario.
Selezioni il metodo che pagate e scriva noi. Vi invieremo i particolari di pagamento.
Dopo il pagamento invii prego a ***@gmail.com i particolari del vostro pagamento e file crypt.txt.
Il giorno della ricevuta del vostro pagamento, vi invieremo un decodificatore.
Non provi a minacciare o offenderci, non prendiamo i vostri soldi, smettiamo di rispondere alla vostra lettera e per sempre perderete i vostri archivi e documenti importanti.
Altro contatta:
***@timor.cc
Solo dopo il ***@gmail.com pagamento.
Non cancelli o non cambi questo archivio!!!
Questo è il messaggio che ho unicamente nella cartella programmi.Niente pop up o altri file di testo.OLtre ovviamente al suffisso ENCRYPT accanto ai file. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 05 Apr 2009 22:35 Oggetto: |
|
|
Ho rimosso gli indirizzi email.
Carica il file su FreeFileHosting o WikiSend come indicato qui e mandami un  con i links che ti vengono assegnati. |
|
| Top |
|
|
l3g10n3r
Mortale pio
Registrato: 04/04/09 13:25
Messaggi: 19
|
| Inviato: 06 Apr 2009 01:27 Oggetto: |
|
|
| mp inviato. |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 06 Apr 2009 09:07 Oggetto: |
|
|
Deve essere una nuova variante del famigerato gpcode.
La chiave inserita nel file che mi hai mandato è di 163 bytes:
| Codice: | 4C 00 00 00 01 02 00 00-02 66 00 00 00 A4 00 00
3A EB B8 10 A4 E1 2C 7B-06 4A A9 51 14 15 D2 9E
FC 26 CF 15 F0 FF 9F C4-F6 1D 4D BC C9 5B F8 29
11 03 F0 E8 03 C4 5E 54-55 16 0E 1A 8D 22 9B D5
B6 91 1F A0 B5 50 6D B2-FC D6 B4 4C AF D1 2B BE
0B 00 00 00 9D 7D 06 F9-88 47 8B 60 9F 1E 3D 08
00 00 00 31 C8 78 3F 22-D4 E2 BD E1 25 10 5C 07
E8 74 35 29 29 5D 35 C0-A7 46 D6 EA 0E E1 CC 68
A3 D7 9D F7 3D FB D3 E1-F0 D1 3E 3F DE 59 DE 10
61 DA CD 5D 63 9A 9C 5E-4D 5C 7A A0 81 FF 36 69
D7 0F AF |
C'è da capire qual'è l'algoritmo utilizzato.
Ci vorrebbe un cripto-analista. 
Hai provato a seguire le istruzioni di questa pagina?
| Citazione: | At the moment, it's not possible to decrypt files encrypted by Gpcode. However, you can use PhotoRec to recover your original files which were deleted by Gpcode after the virus created an encrypted version of the files.
The utility can be used to recover Microsoft Office documents, executable files, PDF and TXT documents, and also certain file archives. Here is a full list of supported file formats. |
Il mio consiglio è di copiare i files con estensione ENCRYPT su un disco esterno e provare a contattare i Kaspersky Labs.
Potresti provare anche una denuncia alla polizia postale... che, al limite, possono avviare delle indagini per cercare di risalire ai colpevoli. |
|
| Top |
|
|
Riverside
Ban a tempo indeterminato
Registrato: 29/02/08 22:32
Messaggi: 4396
Residenza: Riverside House
|
| Inviato: 06 Apr 2009 10:59 Oggetto: |
|
|
Provate con questa soluzione:
| Citazione: | La nuova variante del virus Gpcode cripta i file dell'utente e chiede un riscatto per restituirli sani e salvi.
In queste ultime settimane, è stata sviluppata una nuova variante del virus Gpcode, un vecchio virus comparso in rete circa 3 anni fa, il cui compito, fin dalle sue più antiche varianti, è quello di criptare i file e i documenti della vittima.
La sua prima versione utilizzava una chiave di criptazione a 660 bit e, per decriptarla, sarebbero stati necessari ben 30 anni.
Fortunatamente, vi furono degli errori nella programmazione e la chiave di decriptazione fu scoperta in breve tempo.
La nuova variante utilizza una chiave di criptazione RSA a 1024 bit molto più difficile da decriptare. |
Fonte: Megalab
Link alla soluzione: clicca qui |
|
| Top |
|
|
Yoda_in_botta73
Comune mortale
Registrato: 12/04/09 08:31
Messaggi: 1
|
| Inviato: 12 Apr 2009 09:25 Oggetto: Files criptati |
|
|
Ciao a tutti, mi sono appena iscritto perché anch'io sono stato simpaticamente "visitato" dal virus che cripta i file e ho trovato in C:\ il crypt.txt con lo stesso testo già postato da l3g10n3r in data 5 aprile e un twacker.log che non so se è normale che ci sia (scusate l'ignoranza, ma non sono esperto di PC...).
Come antivirus ho F-SECURE, a cui ho fatto fare una scansione rapida
antimalware (negativa) e una antirootkit (3 elementi sospetti: c:\WINDOWS\system32\ntos.exe; c:\WINDOWS\system32\wsnpoem\audio.dll; c:\WINDOWS\system32\wsnpoem\video.dll).
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9.22.24, on 12/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ps2.exe
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\ALCMTR.EXE
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\Philips\SPC230NC\Monitor.exe
C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\documents and settings\compaq_proprietario\impostazioni locali\dati applicazioni\aiqwo.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programmi\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programmi\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
c:\Programmi\File comuni\LightScribe\LSSrvc.exe
C:\Programmi\F-Secure Internet Security\Common\FSMB32.EXE
C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmi\Telecom Italia\WanMiniport1st\WanMiniport1st_srv.exe
C:\Programmi\F-Secure Internet Security\Common\FCH32.EXE
C:\Programmi\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programmi\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programmi\F-Secure Internet Security\FSAUA\program\fsaua.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programmi\F-Secure Internet Security\ORSP Client\fsorsp.exe
C:\Programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\Programmi\F-Secure Internet Security\FSAUA\program\fsus.exe
C:\Programmi\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programmi\MSN Messenger\usnsvc.exe
C:\Programmi\Internet Explorer\IEXPLORE.EXE
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=presario&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=presario&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.libero.it/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=IT_IT&c=Q105&bd=presario&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=IT_IT&c=Q105&bd=presario&pf=desktop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
R3 - URLSearchHook: Yahoo! Toolbar con blocco Pop-Up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programmi\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - (no file)
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programmi\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FILECO~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmi\File comuni\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\Run: [SPC230NC_Monitor] C:\WINDOWS\Philips\SPC230NC\Monitor.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programmi\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programmi\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programmi\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [aiqwo] "c:\documents and settings\compaq_proprietario\impostazioni locali\dati applicazioni\aiqwo.exe" aiqwo
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Point&&Go - C:\Programmi\File comuni\Expert System\PGPlatform\PGPlatform.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programmi\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programmi\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programmi\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programmi\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programmi\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {C1B7E532-3ECB-4E9E-BB3A-2951FFE67C61} (DownloaderActiveX Control) - http://c6.community.alice.it/download/DownloaderActiveX.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programmi\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - c:\Programmi\File comuni\LightScribe\LSSrvc.exe
O23 - Service: Network WanMiniport First Position - Unknown owner - C:\Programmi\Telecom Italia\WanMiniport1st\srvany.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/COMPAQ~1/IMPOST~1/Temp/msoclip1/01/clip_image001.jpg
--
End of file - 9775 bytes
Come devo comportarmi ?
Alessandro |
|
| Top |
|
|
bdoriano
Amministratore
Registrato: 02/04/07 12:05
Messaggi: 14391
Residenza: 3° pianeta del sistema solare...
|
| Inviato: 12 Apr 2009 09:38 Oggetto: |
 |
|
Ciao Yoda_in_botta73,
Purtroppo, i tuoi files criptati non li potrai facilmente recuperare.
Quello che, al momento, possiamo fare è rimuovere i vari virus che "infestano" il tuo pc.
Disabilita temporaneamente il tuo antivirus.
Segui le istruzioni di questo topic per postare il log di combofix.
Al termine della scansione, troverai una cartella C:\QooBox.
Per cortesia, zippala (con tutti i files in essa contenuti), carica il file così ottenuto su WikiSend come indicato qui. Inviami via i links che ti vengono assegnati.
Così potrò studiarmi come agisce quel bastardello.
Per la procedura di recupero dei files, puoi tentare quanto descritto in questa pagina dei KasperskyLabs. |
|
| Top |
|
|
|
FAQ
Cerca
Lista utenti
Gruppi
Registrati
Profilo
Messaggi privati
Log in
