Olimpo Informatico

[lele76]

Buona sera
un paio di giorni fa a mia moglie è arrivata una mail, di un corriere famoso (bartolini).con la quale le dicevano che c'era un pacco per lei in attesa e di usare il programma in allegato per tracciarlo.
Il file in allegato era .rar lei lo ha aperto e ha installato il file al suo interno(Songr_2_1_Setup.exe) oa il computer si composrta in modo strano, non fa piu visualizzare le foto , si spegne eè lento.
antivirus installato McAfee, sistema operativo windows 7 ultimate con service pack 1

[menatwork]

ciao lele76 fai questa scansione


scarica farbar-recovery e mettilo sul desktop


Devi scaricare la versione(32 o 64 bit) compatibile con il tuo sistema)

Avvialo e clicca su yes quando ti chiede di accettare le condizioni

Clicca su SCAN

Una volta terminata la scansione il tool creerà nella stessa directory di dove è posizionato FRST due log FRST.txt e Addition.txt

Allegali nella tua prossima risposta

[lele76]

ciao menatwork
questi sono i logs creati da farbar-recovery
link
link

[menatwork]

non voglio creare allarmismi ma penso che ti sei infettato aprendo quella mail ..... l'allegato Songr_2_1_Setup.exe probabilmente ha una doppia estensione e se e' come penso ti ha scatenato tutto quel caos, l'infezione ( per me) e' da CryptoLocker



questi dovrebbero essere dei video che hai archiviato sul pc, hanno una doppia estensione ( ne ho messi due a caso)

C:\Users\fausto\Desktop\allinternal.com.-.Angel.wmv.encrypted

C:\Users\fausto\Desktop\921927_tila_tequila_rides_the_sybian.flv.encrypted

aspetta r16 che e' piu' preparato su questo tipo di infezione, per ora cerca di salvare i documenti piu' importanti su una pennetta

[lele76]

Grazie menatwork
Spero che ti sbagli, ma ne dubito..
Ora aspetto r16 e sentiamo se ha qualche idea in merito.
Ti ringrazio, sei stato gentilissimo

[menatwork]

credimi spero davvero di essermi sbagliato, non c'e' infamia piu' grande come quella dei creatori di questa infezione

per ora prova a rimuovere McAfee che e' un po' ''debole'' come antivirus e installa avira free dal sito ufficiale, prova a fare una scansione ed elimina tutto quello che trova

[lele76]

Lo farò subito.
Basta di che non sono altri...

[menatwork]

per ora ti ha criptato solo i video, salva tutti i documenti su una pennetta o masterizzali

[lele76]

mi ha criptato video e alcuni file in jpg. ho gia salvato il salvabile ma ora spero che qualcuno mi aiuti a toglierlo dal pc..

[menatwork]

salva il salvabile poi attendi l'intervento di r16

una cosa molto importante: se dovessi ricevere richieste di riscatto che ti invita a pagare in cambio di chiavi o programmi per il recupero dei file, NON FARLO ASSOLUTAMENTE perche' comunque non ti verrebbe inviato niente....fai subito una denuncia alla Polizia postale spiegando l'accaduto

[R16]

Ciao lele76.
Segui questo percorso e elimina questa cartella :
C:\ProgramData\elidotexeqynyquk
Poi segui questa guida:
http://forum.zeusnews.com/viewtopic.php?t=65236.
Per i file criptati, al momento non esiste una soluzione.
Se per te sono importanti, salvali in una periferica esterna, e aspetta che venga trovato un tool, oppure una procedura per decriptarli.

[lele76]

credo a questo punto non ci sia modo di risolvere il mio problema

[R16]

Ciao.
Hai eseguito le indicazioni della guida che ho consigliato?
Se sì, vorrei vedere i log.
A parte i file criptati, come funziona il pc?

Dimenticavo:
Se vuoi, puoi mandarmi qui oppure in privato un file criptato (zippato) magari sei fortunato e si può decriptare.

[lele76]

ti invio i log dei tools
http://wikisend.com/download/111796/AdwCleaner[C1].txt
link
http://wikisend.com/download/899644/JRT.txt
http://wikisend.com/download/480910/log.txt

e qui uno dei file criptati

http://wikisend.com/download/211986/20140817_173656.jpg.rar

grazie

[R16]

Ciao.
Ti ha criptatato mezzo pc.....
Per caso fra i file criptati, hai una copia originale (non criptata) salvata da qualche parte?
Ti sei dimenticato di dirmi come funziona il pc.

[lele76]

Ciao
Ho spulciato tutto sul PC è praticamente tutto criptato. Ma il file che devo mandarti è una copia, magari salvata su un hard disk esterno, di un file criptato?
Poi volevo farti una domanda, posso salvare i file criptati su un hard disk, come mi hai consigliato tu in attesa che magari si trovi il modo per decriptarli, La domanda è, corro qualche rischio magari mi tocca buttare anche hard disk sul quale li copio.? .

[R16]

Ciao.

[lele76]

Ciao r16
Allora il file lo sto cercando, ma è successa una cosa strana, per ordinare i file sul desktop mi sono scomparse delle cartelle con le foto dentro criptate che non riesco più a trovare e sono apparse sul desktop un sacco di video.

[R16]

Ciao.
Il virus è ancora attivo.
Segui queste indicazioni:

scarica questo file sul desktop: (dove si trova FRST)

link

Avvia FRST e clicca su FIX.

Attendi la fine della scansione.
Posta il file fixlog.txt.

Poi:
Disinstalla completamente Firefox:
link
Devi eliminare manualmente anche la cartella "Profilo". (è importante)
Come fare, è scritto nel link.

Disinstalla Chrome:
link
Ricorda di selezionare la casella "Eliminare anche i tuoi dati di navigazione?", per una completa disinstallazione.
Se vuoi prima della disinstallazione di Chrome e Firefox, puoi salvare i Preferiti o Segnalibri.

Fai una pulizia con CCleaner. (compreso il registro)

Riavvia il pc, e rifai la pulizia con CCleaner. (sopratutto sul registro.)

Prima di reistallare i browser, controlla nel Task Manager se ci sono processi relativi a Firefox oppure Chrome.
Se li vedi li selezioni e clicca su "Termina processo".

Una breve spiegazione su questa variante di ransomware:
Il virus, si mimetizza sui browser, li fa partire all'avvio. (Esecuzione automatica)
Ogni volta che tu accendi il pc, il virus ti cancella una parte dei file criptati.
In pratica ti vuole obbligare a pagare il riscatto, pena la cancellazione di tutti i file criptati.

[lele76]

Ma che virus bastardo hanno creato.
Ma i file apparentemente cancellati sono recuperabili secondo te?