Ransomware GandCrab v5.0.4 Vyřešeno

Místo pro vaše HiJackThis logy a logy z dalších programů…

Moderátoři: Mods_senior, Security team

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 06 lis 2018 21:55

No jo určitě někde je, ale chceš mi říct že poté lhůtě se ty soubory zase nějak upraví a pak nepůjdou dešifrovat ? (Tak to zní co jsi napsal)
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Reklama
Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 06 lis 2018 22:43

Myslím že je to tak , aspon dřív to i tak bylo , smazaly se ty pomocné soubory na dešifrování. Nevím jak je to ted , často se mění , ale dřív bylo možno stáhnout program (z bleepingcomputer) , který ty soubory sám našel a pak odeslal do centra , kde došlo k vytvoření dešifrovacího klíče. Ono tenkrát měl ten klíč podstatně méně míst než je to teď.Takže opravdu nevím , nemám čas už se o to zajímat , dávno jsem z toho vypadnul. Takže Ti nemohu odpovědět , vypadnul jsem i z té jejich sekce z důvodu neaktivity. Mohu se podívat , případně někoho kontaktuje , ale jsem skoro jistý , že to nebude mít smysl. Až to budou mít otestované , tak to vydají.
Různých variant ransomware jsou tisíce a tisíce.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 07 lis 2018 18:39

Aha. Je možné že ty soubory o kterých teď mluvíš je ten jeden který mám v koši.
No jinak najedeme na rutinu, takže nějaké další programy jako u preventivní prohlídky ?
Jinak mám ještě jeden problém, ale ten mám delší dobu. Jedná se o to že někdy sám od sebe se NTB vypne do takového režimu spánku. Přitom nebliká dioda jako u normálního režimu spánku a vypadá to že NTB je normálně vypnutý, ale jakmile NTB zapnu což trvá delší chvíli a přihlásím se, tak tam mám práci přesně tam kde jsem skončil než se to random vypnulo. Nejedná se o okamžité vypnutí, ale časově odpovídá délce kdybych měl normálně ty programy otevřené a klikl na vypnout. Během tohoto vypnutí hned na začátku se vypne obrazovka a NTB se nadále vypíná, dokud se nevypne.
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 07 lis 2018 21:12

Takže dojde k úplnému vypnutí? Není to spánek , hibernace?

Tak nejprve to vyčistíme a pak se tomu můžeme věnovat.

Sophos Virus Removal Tool je praktický softwarový nástroj, který by mohl odstranit infekce, které antivirový program nedetekuje .
Stáhněte si ho zde z některého odkazu:
http://www.majorgeeks.com/files/details ... _tool.html
http://www.majorgeeks.com/mg/get/sophos ... ool,1.html
http://www.majorgeeks.com/mg/getmirror/ ... ool,1.html
http://www.majorgeeks.com/mg/getmirror/ ... ool,2.html

Viry mohou zpomalit počítač, nebo se snaží ukrást vaše data, a ani nevíte , že je máte. Co potřebujete, je rychlý a snadný způsob, jak je najít a zbavit se jich, pokud již máte antivirový program v počítači nainstalován , můžete nainstalovat i nástroj Sophos Virus Removal , který identifikuje a vyčistí zbylé infekce, které mohl Váš antivirový program přehlédnout.
K použití Sophos Virus Removal Tool na něj poklepejte a stiskněte tlačítko „Start scanning“ . Pak bude Sophos Virus Removal Tool vyhledávat a odstraňovat viry, které najde. Může být vyžadován restart.
Pokud byly nalezeny viry , tak po skenu klikni na „Details…“ a potom na „View log file“. Zkopíruj celý log a vlož ho sem. Potom zavři „threat detail“ a klikni na „Start cleanup“.
Jinak se log nachází zde:
C:\ProgramData\Sophos\Sophos Virus Removal Tool\Logs

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected. Poté klikni na Main (hlavní stránku ) a klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.
- Pokud používáš jen Google Chrome , tak ATF nemusíš použít.


Stáhni si TFC
http://www.geekstogo.com/forum/files/fi ... -oldtimer/
Otevři soubor a zavři všechny ostatní okna, Klikni na Start k zahájení procesu. Program by neměl trvat dlouho.
Poté by se měl PC restartovat, pokud ne , proveď sám.

Stáhni AdwCleaner (by Xplode
http://www.bleepingcomputer.com/download/adwcleaner/
http://www.adlice.com/downloadprogress/

Ulož si ho na svojí plochu . Klikni na „Souhlasím“ k povrzení podmínek.
Ukonči všechny programy , okna a prohlížeče
Spusť program poklepáním a klikni na „Skenování“
Po skenu se objeví log , který se otevře. ( jinak je uložen systémovem disku jako C:\AdwCleaner [C?].txt ), jeho obsah sem celý vlož.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 08 lis 2018 20:10

jaro3 píše:Takže dojde k úplnému vypnutí? Není to spánek , hibernace?

Těžko říci. NTB nelze probudit klávesou ani myší. Jedině přes klasické tlačítko zapnutí, ale po zapnutí a přihlášení jsou načtená všechna data které jsem měl před tímto vypnutím -> Otevřený chrome se 4 záložkami, audacity, rozepsaný txt soubor, který nebyl zatím uložený nikde na disku.
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 08 lis 2018 21:30

Jo to se stalo i mě a nejen při výpadku proudu. Možná je v tom HW problém..Třeba jen povytažená šnůra do zdroje , konektory ap.
Po "probuzení" se žádná zpráva neobjeví?
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 09 lis 2018 14:19

No možná máš pravdu. Protože mám NTB, ale mám naprosto zničenou baterku (mám ho 6 let) a v té době jsem nevěděl o termínu přebíjení baterie. Takže je teď aktuálně na 8% své původní kapacity. A proč ji používám ? Protože když náhodou vypadne elektřina tak abych stihl uložit svoji rozdělanou práci a NTB vypnul.
Jinak ne žádná zpráva se neobjeví.
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 09 lis 2018 20:09

Jo to bude asi baterkou.

Tak co , chceš pokračovat v čištění nebo čekat na master key?
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 10 lis 2018 21:52

Obojí, chci zjistit jestli náhodou nemám ještě nějaký jiný vir v PC a zároveň čekat na master key.
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Uživatelský avatar
jaro3
člen Security týmu
Guru Level 15
Guru Level 15
Příspěvky: 43054
Registrován: červen 07
Bydliště: Jižní Čechy
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod jaro3 » 12 lis 2018 18:29

Tak udělej co jsem psal.
Při práci s programy HJT, ComboFix,MbAM, SDFix aj. zavřete všechny ostatní aplikace a prohlížeče!
Neposílejte logy do soukromých zpráv.Po dobu mé nepřítomnosti mě zastupuje memphisto , Žbeky a Orcus.
Pokud budete spokojeni , můžete podpořit naše forum:Podpora fóra

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 18 lis 2018 17:56

Sophos Virus Removal Tool nic nenašel.
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S

Uživatelský avatar
KedarCZE
Level 3
Level 3
Příspěvky: 411
Registrován: říjen 14
Bydliště: Severní Morava
Pohlaví: Muž
Stav:
Offline

Re: Ransomware GandCrab v5.0.4

Příspěvekod KedarCZE » 18 lis 2018 18:24

EHM, EHM...........................
KedarCZE píše:a zároveň čekat na master key.


Getting user folders.

Stopping running processes.

Emptying Temp folders.


User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Kedar
->Temp folder emptied: 182887967 bytes
->Temporary Internet Files folder emptied: 57478 bytes
->Java cache emptied: 464 bytes
->Google Chrome cache emptied: 198170488 bytes
->Flash cache emptied: 120953 bytes

User: Pepa
->Temp folder emptied: 4937509 bytes
->Temporary Internet Files folder emptied: 19777870 bytes
->Google Chrome cache emptied: 279422233 bytes
->Flash cache emptied: 2134 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 64351167 bytes

Emptying RecycleBin. Do not interrupt.

RecycleBin emptied: 3311562966544237119 bytes
Process complete!

Total Files Cleaned = 3 158 152 549 070,00 mb
OS: Windows 10 64 bit
MB: ASUS PRIME X570-P
Procesor: AMD Ryzen 7 3700X
Grafika: MSI GeForce RTX 3060 Ti Gaming Z TRIO
RAM: Kingston HyperX Fury 16 GB (2 x 8 GB) DDR4-3200 CL16
Zdroj: MSI MPG A750GF
SSD: Kingston SSD A2000 500 GB
HDD: Seagate IronWolf 4 TB
Monitor: Dell S2721D
Case: Fractal Design Define S


Zpět na “HiJackThis”

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů