Precedente :: Successivo |
Autore |
Messaggio |
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
Inviato: 07 Ott 2015 09:04 Oggetto: aiuto per HELP_DECRYPT |
|
|
Anche io sono stato infettato , ed ho i file excell criptati
c'e' una soluzione grazie
nelle cartelle ho 4
HELP_DECRYPT |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
Inviato: 07 Ott 2015 10:02 Oggetto: |
|
|
OTL.Txt |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 07 Ott 2015 17:40 Oggetto: |
|
|
Ciao e benvenuto.
Il log di OTL è vuoto.
Disinstalla SpyHunter 4 da "programmi e funzionalità". (non serve a niente)
Dopo la disinstallazione fai una pulizia con CCleaner. (registro compreso)
Poi:
Segui le indicazioni di questa guida:
http://forum.zeusnews.com/viewtopic.php?t=65236
Posta i log richiesti nelle modalità indicate a fine link.
Per ultimo esegui anche una scansione con FRST:
Scarica FRST sul desktop: (è obligatorio)
Installa la versione adatta al tuo Sistema Operativo (32 bit oppure 64 bit )
link
Avvialo e clicca Esegui.
Sulla finestra che ti compare clicca SI.
Clicca Scan.
Aspetta pazientemente la fine della scansione.
Posta i 2 log log che rilascia sul desktop (FRST.txt e Addition.txt) |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
Inviato: 08 Ott 2015 10:02 Oggetto: |
|
|
JRT.txt |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
Inviato: 08 Ott 2015 11:14 Oggetto: |
|
|
OTL.Txt |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
Inviato: 08 Ott 2015 11:28 Oggetto: |
|
|
FRST.txt |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
Inviato: 08 Ott 2015 11:29 Oggetto: |
|
|
Addition.txt
Pensi che posso decriptare i file? e se si come ? |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 08 Ott 2015 16:58 Oggetto: |
|
|
Ciao.
I log che hai postato (a parte Malwarebytes) sono vuoti.
Prova aprirli, e vedrai.
Senza vedere i log di OTL oppure FRST, non posso continuare.
Citazione: | Pensi che posso decriptare i file? e se si come ? |
Attualmente, non esiste un tool o un sistema sicuro al 100% per decriptare i file.
Inoltre mi risulta che il S.O è Windows XP Service Pack 2, e questo complica ancora di più le cose.
Detto in parole povere, amenochè non hai fatto un backup dei dati su un disco esterno, i file non li recuperi più.
Un tentativo estremo per tentare di recuperarli, è provare PhotoRec:
link
Di più non si può fare.
Citazione: | dimmi dopo aVER reinstallato win cosa devo metterci a protezione. |
Molta attenzione.
Per questo tipo di infezione, non serve nessun antivirus, perchè l'infezione l'hai scaricata tu personalmente aprendo qualche E-Mail infetta, oppure scaricando da siti poco, o per niente sicuri.
Un antivirus decente può essere Avira free:
link
Ma con un S.O che non ha nemmeno le basi di protezione (Service Pack 2) i miracoli non li fa nessuno, nemmeno Avira, o altri antivirus.
Citazione: | Tanti anti virus mi bloccano il pc |
Appunto...
Se hai reistallato XP, installa almeno il Service Pack 3 :
link
Almeno un minimo di protezione l'avrai, e inoltre molti programmi richiedono il SP3 per funzionare correttamente. |
|
Top |
|
|
ciocca956 Ban a tempo indeterminato
Registrato: 20/11/14 21:19 Messaggi: 2313 Residenza: EST VERONESE...ma Est eh!
|
Inviato: 08 Ott 2015 19:13 Oggetto: |
|
|
Ciao r16.
In questo articolo si conferma sostanzialmente che difficilmente i File sono decriptabili.
Interessante secondo me il fatto che viene spiegato come vedere quanti e quali file sono effettivamente criptati e quali eventualmente no.
http://www.micheleangeletti.it/articoli/150316-come-funziona-cryptolocker.html |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 08 Ott 2015 20:20 Oggetto: |
|
|
Citazione: | Interessante secondo me il fatto che viene spiegato come vedere quanti e quali file sono effettivamente criptati e quali eventualmente no. |
Beh, vedere quanti e quali dati ha criptato, dipende da quanti l'utente ne ha installati.
Senza contare che il ransom cripta anche quelli che si trovano nelle eventuali periferiche inserite.
Magra consolazione, visto che non potrà recuperarli.
L'unica soluzione per questo tipo di infezione,è il backup dei dati, su un supporto esterno. (se sono foto o video, meglio un DVD) |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
Inviato: 09 Ott 2015 09:49 Oggetto: |
|
|
Desktop.rar
provo a mandarteli cosi |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 09 Ott 2015 17:17 Oggetto: |
|
|
Ok, così vanno bene.
Disinstalla AVG da "Installazione Applicazioni".
Serve 1 antivirus solo, per cui puoi tenere Panda Security.
Poi:
scarica questo file sul desktop: (dove si trova FRST)
link
Avvia FRST e clicca su FIX .
Attendi la fine della scansione.
Posta il file fixlog.txt.
Rifai una nuova scansione con OTL.
Posta il log.
Log da postare:
fixlog.txt
OTL. |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
Inviato: 10 Ott 2015 08:31 Oggetto: |
|
|
frst-otl.rar
Ecco i log
grazie |
|
Top |
|
|
R16 Dio maturo
Registrato: 07/03/08 21:58 Messaggi: 10121
|
Inviato: 10 Ott 2015 11:22 Oggetto: |
|
|
Avvia OTL.
Sotto "Custom Scans\Fixes" nel box bianco, copia-incolla questo codice: (NON copiare la parola Codice )
Codice: | :OTL
O1 - Hosts: 127.0.0.1 http://www.driver-soft.com
O1 - Hosts: 127.0.0.1 www.driver-soft.com
O1 - Hosts: 127.0.0.1 http://www.driver-soft.com
O1 - Hosts: 127.0.0.1 www.driver-soft.com
O1 - Hosts: 127.0.0.1 http://www.driver-soft.com
O1 - Hosts: 127.0.0.1 www.driver-soft.com
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - AppInit_DLLs: (C:\Documents and Settings\All Users\Dati) - File not found
[2015/10/06 17.21.45 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2015/10/03 11.10.19 | 000,047,770 | ---- | M] () -- C:\Documents and Settings\stefano\Documenti\HELP_DECRYPT.PNG
[2015/10/03 10.13.35 | 000,047,770 | ---- | M] () -- C:\Documents and Settings\All Users\Documenti\HELP_DECRYPT.PNG
[2015/10/03 10.13.33 | 000,047,770 | ---- | M] () -- C:\Documents and Settings\All Users\Dati applicazioni\HELP_DECRYPT.PNG
[2015/10/03 11.10.39 | 000,047,770 | ---- | C] () -- C:\Documents and Settings\stefano\HELP_DECRYPT.PNG
[2015/10/03 11.10.19 | 000,047,770 | ---- | C] () -- C:\Documents and Settings\stefano\Documenti\HELP_DECRYPT.PNG
[2015/10/03 10.13.40 | 000,047,770 | ---- | C] () -- C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\HELP_DECRYPT.PNG
[2015/10/03 10.13.35 | 000,047,770 | ---- | C] () -- C:\Documents and Settings\All Users\Documenti\HELP_DECRYPT.PNG
[2015/10/03 10.13.33 | 000,047,770 | ---- | C] () -- C:\Documents and Settings\All Users\Dati applicazioni\HELP_DECRYPT.PNG
C:\Documents and Settings\stefano\HELP_DECRYPT.PNG
C:\Documents and Settings\All Users\Documenti\HELP_DECRYPT.PNG
C:\Documents and Settings\All Users\Dati applicazioni\HELP_DECRYPT.PNG
:Files
ipconfig /flushdns /c
:commands
[purity]
[emptytemp]
[Emptyjava]
[RESETHOSTS]
[EMPTYFLASH]
[start explorer]
[Reboot]
|
Clicca sul pulsante RUN FIX.
Lascia fare la scansione senza interferire.
Il pc si riavvierà o ti chiede di riavviarlo tu.
Posta il log che rilascia. |
|
Top |
|
|
livonet Mortale devoto
Registrato: 07/10/15 08:55 Messaggi: 17
|
Inviato: 10 Ott 2015 12:51 Oggetto: |
|
|
All processes killed
========== OTL ==========
127.0.0.1 http://www.driver-soft.com removed from HOSTS file successfully
127.0.0.1 www.driver-soft.com removed from HOSTS file successfully
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun not found.
Registry value HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\Documents and Settings\All Users\Dati deleted successfully.
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Recovery folder moved successfully.
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Logs folder moved successfully.
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Excludes folder moved successfully.
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy\Backups folder moved successfully.
C:\Documents and Settings\All Users\Dati applicazioni\Spybot - Search & Destroy folder moved successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\SET10F2.tmp deleted successfully.
C:\WINDOWS\System32\SET10F6.tmp deleted successfully.
C:\WINDOWS\System32\SET10FE.tmp deleted successfully.
C:\WINDOWS\msdownld.tmp folder deleted successfully.
C:\Documents and Settings\stefano\Documenti\HELP_DECRYPT.PNG moved successfully.
C:\Documents and Settings\All Users\Documenti\HELP_DECRYPT.PNG moved successfully.
C:\Documents and Settings\All Users\Dati applicazioni\HELP_DECRYPT.PNG moved successfully.
C:\Documents and Settings\stefano\HELP_DECRYPT.PNG moved successfully.
File C:\Documents and Settings\stefano\Documenti\HELP_DECRYPT.PNG not found.
C:\Documents and Settings\LocalService\Impostazioni locali\Dati applicazioni\HELP_DECRYPT.PNG moved successfully.
File C:\Documents and Settings\All Users\Documenti\HELP_DECRYPT.PNG not found.
File C:\Documents and Settings\All Users\Dati applicazioni\HELP_DECRYPT.PNG not found.
========== FILES ==========
< ipconfig /flushdns /c >
Configurazione IP di Windows
Svuotata la cache del resolver DNS.
C:\Documents and Settings\stefano\Desktop\cmd.bat deleted successfully.
C:\Documents and Settings\stefano\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
User: LocalService.NT AUTHORITY
->Temp folder emptied: 66097 bytes
->Temporary Internet Files folder emptied: 33170 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: NetworkService.NT AUTHORITY
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33237 bytes
User: stefano
->Temp folder emptied: 15499 bytes
->Temporary Internet Files folder emptied: 542106 bytes
->Google Chrome cache emptied: 100150729 bytes
->Flash cache emptied: 0 bytes
User: stefano.LIVONET-773F5A3
->Temp folder emptied: 322362198 bytes
->Temporary Internet Files folder emptied: 156689767 bytes
->Flash cache emptied: 1012 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 5510 bytes
RecycleBin emptied: 477196128 bytes
Total Files Cleaned = 1.008,00 mb
[EMPTYJAVA]
User: All Users
User: Default User
User: Default User.WINDOWS
User: LocalService
User: LocalService.NT AUTHORITY
User: NetworkService
User: NetworkService.NT AUTHORITY
User: stefano
User: stefano.LIVONET-773F5A3
Total Java Files Cleaned = 0,00 mb
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
[EMPTYFLASH]
User: All Users
User: Default User
User: Default User.WINDOWS
User: LocalService
User: LocalService.NT AUTHORITY
User: NetworkService
User: NetworkService.NT AUTHORITY
User: stefano
->Flash cache emptied: 0 bytes
User: stefano.LIVONET-773F5A3
->Flash cache emptied: 0 bytes
Total Flash Files Cleaned = 0,00 mb
Error: Unable to interpret <[Reboot] - See more at: http://forum.zeusnews.com/viewtopic.php?p=651691#651691> in the current context!
OTL by OldTimer - Version 3.2.69.0 log created on 10102015_134335
Files\Folders moved on Reboot...
PendingFileRenameOperations files...
Registry entries deleted on Reboot... |
|
Top |
|
|
|