Virus på Kammeret.....

[Jamt]

Hvordan merker en at en har viruset på maskina? Har vært inne noen ganger i løpet av dagen. fikk en pop opp en gang, men den forsvant med engang igjen. Merker ikke noe unormalt på maskina

[Gullvingen]

Du har kanskje et virusprg som jobber litt stille og fredelig....

Norton sladrer hele tiden, verre en GPS'n i bilen...

[Smygen]

Hvordan merker en at en har viruset på maskina? Har vært inne noen ganger i løpet av dagen. fikk en pop opp en gang, men den forsvant med engang igjen. Merker ikke noe unormalt på maskina

 

Det kan ikke være at du valgte å klikke på "Ikke varsle igjen" ?

[Jamt]

Har avg gratis program så jeg regner ikke med det tar all verdens det maser ikke noe særlig heller annet enn masse oppdatering

[Varj]

Det var et angrep mot databasen?

 

når websider, trolig phpbb i dette tilfellet, ikke sjekker input i forms godt nok, før de kaller kommandoen mot basen, kan man piggy-backe ekstra kommandoer, som igjen gjør det mulig å f.eks lage en hidden frame med exploit-kode i databasefeltet som sier noe om layout av hovedsiden.

 

kan også brukes til å f.eks lese passordfeltene til alle brukerne, men forhåpentligvis er de lagret i hashet format, eller samle epostadresser til spamformål.

 

[jaktlykke]

Har ikke hatt noen problemer jeg. AVG gratisvariant.

[Nomina sunt odiosa]

Jeg har kjørt programmet i kommandolinjen, men etterpå ble det verre enn noen gang før. Den eneste forskjellen jeg kan se er at e-postadressen det ønskes penger til har blitt endret...

 

Attention! All your files are encrypted!

You are using unlicensed programms!

To restore your files and access them,

send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail support@trustprograms.info

You must send 50 Euro voucher Ukash or Paysafecard on this email.

More information you can find on http://ukash.com/uk/en/home.aspx or http://www.paysafecard.com/choose-country/

During the day you receive the answer with the code.

 

You have 5 attempts to enter the code. If you exceed this

of all data irretrievably spoiled. Be

careful when you enter the code!

 

Jeg har AVG FREE som antivirusprogram.

 

Har også prøvd å kjøre Housecall Trend Micro onlinescan, men den får jeg ikke åpnet. Det kommer opp en kryptisk feilmelding bare, så jeg kan tenke meg at dette har sammenheng.

 

AVG fant infiserte filer, men klarte ikke å fjerne dem

 

Jeg har prøvd å kjøre programmet Tika har foreslått flere ganger, men det ser ikke ut til å hjelpe stort...

 

Er trojanen borte fra Kammeret?

 

Forslag?

[Furnesz]

Her ligger det an til formatering av hele maskinen Heldigvis har jeg backup på de viktigste filene... Prøvde å kjøre dekrypteringsprogrammet som anvist lengre opp, men det ser ut til at de fleste filene er skadet

[Hassel]

Jobb PC

Office scan

Har hatt en merkelig melding de siste dagene...

Hvordan sjekker man at man har bæsj i maskineriet?

[SSamiK]

NOK EN GANG: Hold morsomheter, usakligheter og produktreklamer til en annen tråd. Har allerede oppfordret en gang om å holde tråden rein så det er lettere for oss som jobber med å rydde opp å følge med og få med oss alt, og moderator har gjentatt den oppfordringen i ettertid.

 

 

Er det noen som er infisert som bor i Østerdalen? Jeg skulle gjerne ha reparert en maskin, så jeg kan få skrevet en skikkelig guide. Men ingen av mine maskiner vil la seg infisere....

[martinJ]

Joggu hadde ikke jeg og fått virus på jobb pcen og, alle filer på pcen samt på en løs disk med gamle rapporter var kryptert.

Fixen det linkes til lenger opp ser ut til å funke, men den lager duplikat av de krypterte filene, så det ser ut som mye av morgendagen vil gå med til sletting av de krypterte filene.

[Kjell Olav]

Da er tråden ryddet for off-topic nok en gang på kort tid og enkelte har fått fjernet innlegg for andre gang i dag. Neste gang får disse utdelt advarsel om utestengelse fra forumet.

 

Hold tråden ryddig og til tema

[aesop]

Akkurat måtte reinstallere pcen for et par dager siden. Fikk ikke startet den på vanlig måte. Backup av det meste men noe er borte.

 

Vet ikke om dette har sammenheng med virus her, men mailboksen er full av spam som ikke har kommet gjennom før.

[RWA]

Ser ut til at sidene fungerer knirkefritt nå, fant dere feilen?

 

Ble dundret med ymse infiserte filer, men antivirus programmet med diverse tilbehør stoppet alt - heldigvis.... Føler med de som har måttet reinstallere...

[Gullvingen]

Ser at reklamen fortsatt er deaktivert.

[shooter 2]

Ja 'SSamiK ' men jeg er i Nord Østerdal og har to maskiner som har fått det uten at vi har greid og fått de frisk igjen etter oppskriften du hadde tidligere i kveld .

[Ranger]

Jeg har mac, hvordan påvirkes den av dette? Jeg har ikke annet enn brannmur, da mac vanligvis ikke forstår PC-virus og gir jamt faen i slikt, men er dette noe jeg bør være bekymret over? For jævlig at sånt dritt slipper inn på kammeret.no da, føler med de som må formatere og styre på...

[vømmøl]

Ikke bare kammeret som plages. Serveren her på jobben er full av krypterte filer nå. Ingen pc`er som er smittet, men vi får ikke åpnet filer på serveren.

It-folka er i full gang med.....det de gjør .

[Andreasv]

Vil anbefale alle å ha et godt oppdatert virusprogram. Det finnes mange gode gratisvarianter der ute. Jeg bruker avast, gratis versjonen. Viruset ble blokka av programmet, jeg var innom flere ganger, men er ikke infisert.

 

Dere må huske at gjennom å sikre egen maskin, er dere med å sikre andre sine også.

 

Jeg får ikke opp noe virusvarsel når jeg logger på nå. Ser ut som at dere ble kvitt skiten.

[Skaaning]

Det finnes mange gode gratisvarianter der ute. Jeg bruker avast, gratis versjonen

Æ å. Men har de hjulpet? Ikke en bit.

 

Jag vill å gi en advarsel te folk som oppdager virus nå.

 

IKKE bruk ”løsning” som ligger oven da den kun medfør nye problemer som tomme / doble filer som nevnt oven. I hvert fall er det resultatet på min PC.

 

Jag håper de som holder på å jobbe med saken legger ut en verifisert løsning da den foreligger.

 

Takk for at dere står på for oss brukere.

[smaug]

Iflg denne siden så skal kammeret.no være helt ren.

http://sitecheck.sucuri.net/scanner/

Jeg har vært maaaaange ganger inne på kammeret og har ikke oppdaget noe unormalt. Jeg kjører windows 7 og har kun MS Security Essentials. Bruker Firefox siste versjon uten script block men med adblock(mild filter).

 

Er det folk med Internet Explorer som først og fremst blir rammet?

[Hassel]

kanskje det? Jeg bruker chrome

[Kjell Olav]

Siste versjon Mozilla Firefox her også.

Har ikke hatt noen problemer, og maskinen er ren i følge MSE.

[Øyvind]

Det var altså her det kom fra ... Jeg så ikke denne tråden før nå, men fikk også viruset. Jeg ble sannsynligvis infisert via Firefox, selv om jeg har Norman kjørende i bakgrunnen. Bruker aldri Internet Explorer.

 

Jeg fant samme tråden som ble referert til ovenfor. Jeg kjørte Combofix, og lastet ned dekrypteringsverktøyet som gjenopprettet filene. Problemet var at det ble liggende igjen en kopi av alle filene med filendelsen *.EnCiPhErEd. Jeg slettet disse ved å lage en batch-fil som jeg la på roten av disken (C/:).

 

For å slette alle EnCiPhErEd-filene, gjør følgende (OBS: ikke gjør det før du har gjenopprettet filene ved hjelp av krypteringsverktøyet. Gjør du det før du har gjenopprettet dem vil du slette filene for godt!):

 

1. Åpne Notepad.

2. Skriv inn

DEL /S C:\*.EnCiPhErEd

Dette vil slette alle filer med endelsen «EnCiPhErEd» i katalogen C og alle undermapper.

3. Klikk Fil >> Lagre som.

4. I Save as Type (jeg har engelsk versjon av Windows), velg «All files».

5. Gi dokumentet navnet sletteskript.bat og lagre det i katalogen C:/

6. Dobbeltklikk på filen. Alle EnCiPhErEd-filene blir nå slettet. Igjen: IKKE gjør dette før du har gjenopprettet filene.

[Hassel]

Øivind...

Jeg skjønner mye mer av det du skriver når du skriver om svartkrutt! :crazy:

Men bra det finnes så mye kunnskap her, og takk for tipset. Kanksje jeg skjønner det en gang i fremtiden.

[Kjell Olav]

Klikkbar link: Løsepengevirus stadig mer utbredt.

[Ørret]

Jeg bruker MS Security Essentials på begge dataene mine (XP og Win 7) med Opera nettleser. Har aldri fått noen advarsel om virus på kammeret.

 

Edit: trudde at antivirusen deres maste om et ikke-eksisterende problem. Der tok jeg grovt feil.

Edited April 12, 2012 by Guest

[Polardego]

MS Security Essentials kommer vel stort sett lengst ned på lista når virusprogram testes.

[SSamiK]

Nok en gang kommer det masse her som er uvesentlig. Vær så snille, ikke skriv her om dere ikke har noe å bidra med. Bare poste for å poste kan dere gjøre et annet sted, dette er ikke en tråd om: Den virka, den virka ikke. De som er infiserte ser det med en gang, mange virusprogram er berørte og hvilket som er best i test spiller INGEN rolle. Alle kan bli infiserte av så nye virus som det var denne gangen.

 

Og en ting til; IKKE PRØV FIXEN om dere ikke har datakunnskaper nok til å skjønne hva som skjer, eller dere ikke skjønner fremgangsmåten. Og definitivt ikke slett filer om dere ikke veit 100% hva dere driver med. Strengt talt; ikke følg noen oppskrifter før de er verifisert av noen fra drift. Dette er ikke for å mistro brukere som kommer med gode tips, men ikke stol på at alle vil dataen deres sitt beste, eller at rådene er godt gjennomtenkte.

 

Hadde håpet at en eller annen litt datakyndig hadde blitt infisert og delt en fremgangsmåte for å bli kvitt dette som vi kunne ha verifisert, men enn så lenge har ikke det skjedd. vi har noen halve løsninger, som krever at dere bruker hodet selv og kanskje litt google. Inntil jeg eventuelt får tak i en infisert maskin får jeg dessverre ikke skrevet en god guide til dere andre. Men ta kontakt med problemene dere har, så skal jeg hjelpe etter beste evne. Jeg er sikker på at infeksjonen er mulig å fjerne uten reinstallasjon eller misting av filer, det krever bare at ting gjøres i riktig rekkefølge og at man ikke gjør noe dumt.

[chauge]

http://www.vg.no/nyheter/innenriks/arti ... d=10057297

 

Ser kjent ut

[vingemutteren]

Har mistet alt!

 

HD som jeg bruker til å kopiere viktige filer til sto i og alt ser kryptert ut.

 

Backup DVD var ikke laget siden jeg hadde filene på to HD (rev ut begge HD som jeg bruker til lagring av pc da jeg så skrivebordet, men er redd det var for sent da maskina har sått og duret i fred og ro i dagesvis).

 

Så for meg er det svært om og gjøre om det er håp om å få tilbake filene mine.

 

For meg er ikke det som er lagret på C så viktigt, så jeg kan gjerne eksperimentere der. Det er data som er på de to ikke tilkoblede HDene jeg desperat trenger å få gjennopprettet.

 

P.s. Kan man kjøre gjennopprettningsverktøyet flere ganger (teste først på C, og så koble til den viktige HDen og kjøre det engang til?)

[vingemutteren]

JAttention! All your files are encrypted!

You are using unlicensed programms!

To restore your files and access them,

send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail support@trustprograms.info

You must send 50 Euro voucher Ukash or Paysafecard on this email.

More information you can find on http://ukash.com/uk/en/home.aspx" target="_blank" target="_blank or http://www.paysafecard.com/choose-country/" target="_blank" target="_blank

During the day you receive the answer with the code.

 

You have 5 attempts to enter the code. If you exceed this

of all data irretrievably spoiled. Be

careful when you enter the code!

 

Ser ut til at jeg har samme dritten.

 

 

Jeg har AVG (securitysenter?) som antivirusprogram.

 

AVG fant infiserte filer, men klarte ikke å fjerne dem.

 

Da har jeg vel listet opp det jeg vet, hjelp mottas med stor takk.

[svartepetter]

Så da er det kanskje herifra jeg fikk det dritet som har kryptert(?) ALLE filene på pc-en min. Det skjedde i gårkveld. Bruker såvidt jeg vet en gratisversjon av AVG.

 

Ja, det er herfraa. Eg fekk dette paa jobb-PC-en min i gaar. I foelge loggen har eg ikkje besoekt andre nettsider enn kammeret.no og nrk.no i loepet av gaarsdagen.

 

Har ein oppdatert ESET NOD32 paa jobb-PC-en, denne fann ingenting. Heime koyrer eg kun Linux og bekymrer meg fint lite for virus.

[SSamiK]

vingemutteren: Ikke få panikk! Driver å prøver lage en god fremgangmåte nå. Fått fingrene i en laptop som er infisert.

[vingemutteren]

Da skal jeg gjøre følgende, ta på meg tur skoa, og trekke uante mengder frisk luft ned i lungene. Og så skal jeg nyte naturen, rådyra som spiser opp blomstene våre. Og forsøke å tøyle nervene så godt jeg kan.

 

Får vi orden på dette, skal dvd brenneren går for fult til alt er lagret.

[svartepetter]

P.s. Kan man kjøre gjennopprettningsverktøyet flere ganger (teste først på C, og så koble til den viktige HDen og kjøre det engang til?)

 

Det burde gaa heilt fint. Du kan ogsaa ta ein kopi av HD-en foer du testar for aa vere heilt sikker.

[SSamiK]

Man skal være forsiktig med å kjøre det dekrypteringsprogrammet flere ganger. Da kan men ende opp med med mange uleselige filer, og med rare filetternavn. F.eks:

 

test.doc.EnCiPheReD blir første gang til test.doc, så til test.doc(0), så til test.doc(1) osv osv for hver gang man kjører dekryptering.

[tigo]

Hei, jeg registrerte meg på forumet her siden dette er det eneste forumet jeg har funnet som ser ut til å ha litt info om dette viruset.

Om administator ikke vil ha meg her, så er det bare å fjerne meg

 

 

Det jeg har funnet ut til nå er:

Dr.Web har en løsning, men det er flere varianter av viruset, så de anbefaler å ta kontakt med de via:

https://vms.drweb.com/sendvirus/?lng=en

 

Send 1-2 krypterte filer, og de vil sende deg en dekrypteringsmetode tilbake.

 

Jeg har ikke selv testet det, men flere sier det virker. (Referanse)

 

 

Det jeg ikke vet så mye om er hvordan en blir infisert. Det jeg har lest fra tv2 er at det har med eldre versjoner av nettlesere og java å gjøre.

Er det noen som kan bekrefte dette?

Kunne vert fint om de som er infisert kunne sagt hvilken nettelser de har brukt og hvilken versjon av java de har.

[svartepetter]

Det jeg ikke vet så mye om er hvordan en blir infisert. Det jeg har lest fra tv2 er at det har med eldre versjoner av nettlesere og java å gjøre.

Er det noen som kan bekrefte dette?

Kunne vert fint om de som er infisert kunne sagt hvilken nettelser de har brukt og hvilken versjon av java de har.

 

Eg vart infisert gjennom siste versjon av Opera. Eg kan dessverre ikkje seie 100% sikkert kva versjon av Java som var installert daa eg har innstallert Windows paa nytt (kjappaste loysing for meg som ikkje hadde noko viktig paa maskina). Men den koyrte Sun Java og eg er temmeleg sikker paa at eg var 1 versjon etter siste.

[Ei tohi varjata]

Jeg bruker siste versjon av Opera og fikk viruset lastet ned to ganger i går. Skannet i dag uten resultater med MSE.

Ikke opplevd noen form for problemer utenom at MSE fant viruset. Kanskje det kan ha noe med at Opera bruker en egen Java?

[svartepetter]

Jeg har ikke selv testet det, men flere sier det virker. (Referanse)

 

Denne var interessant. Det kan sjaa ut til at "-k" parameteren til dekrypteringsverktoyet angir kva noekkel som skal brukast ved dekryptering, og at ikkje alle som er ramma har faatt filene kryptert med samme noekkel. Saa viss du er infisert gjennom ein annan kanal enn Kammeret vil kanskje ikkje den anbefalte noekkelen (87) fungere.

[SSamiK]

Saken sånn det står nå er IKKE BRUK te94decrypter'n uten å først ta kontakt med Dr.Web for å få analysert filene dine.

 

Det viser seg at det er brukt flere krypteringer og krypteringsnøkler, og ved bruk av feil nøkkel kan man få store problemer.

 

Bruk metoden tigo beskrev for å ta kontakt med Dr.Web.

 

 

 

Det er Java som blir angrepet, og de fleste versjoner ser ut til å være påvirket.

[SSamiK]

Det kan sjaa ut til at "-k" parameteren til dekrypteringsverktoyet angir kva noekkel som skal brukast ved dekryptering

-Stemmer

 

Men krypteringsnøklen er ikke lik hos alle som er infisert hos oss heller, så det er viktig å sende filer til Dr.Web for analyse.

[Gamle Erik]

Fikk idag tidlig beskjed om at jeg måtte instalere et tillegg for å kunne lese hele siden her på kammeret. Ga f*** i det for å si det sånn ... WinXP med Firefox 11.

 

Det er Java som blir angrepet, og de fleste versjoner ser ut til å være påvirket.

 

 

Siterer meg selv her ... Det var Java jeg fikk beskjed om at jeg måtte instalere for å kunne lese her på kammeret. Glad jeg ikke gikk i den fella. Bruker Panda antivirus på jobb pc'n. Privat kjører jeg OSX på iMac men har ikke fått denne meldingen på Mac'n hjemme.

[svartepetter]

Det som er godt nytt for alle som er ramma er at dette er fiksbart. Ransomware er ikkje noko nytt, og det har vore tilfelle av ransomware som har kryptert filene dine med RSA. I slike tilfelle er det ikkje mulig aa dekryptere dei utan noekkel! Er det brukt RSA med lang nok noekkel finns det ingen PC-ar i verden som klarer aa knekke koden. I dette tilfellet ser det ut til aa vere nytta ein mykje enklare krypteringsmetode. XOR var indikert i forumet til DrWeb, det kan stemme med noekkelen i alle fall (1 byte).

 

Skulle oenske eg hadde komt over denne informasjonen tidlegare. Daa hadde eg spart meg jobben med aa reinstallere Windows...

[saltnesnorman]

Hei. Jeg har hatt samme problem. Drweb la ut en fiks idag (12.04.2012) kl 12 som låser opp filene til de som har fått beskjed om å sende mail til support@trustprograms.info. Last ned denne:

 

ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

 

Programmet ble som sagt oppdatert idag, så hvis man prøvde igår, virket det ikke. Kjør programmet med -k 88 som parameter.

 

te94decrypt -k 88

 

Til info, skal programmet kjøres med -k 85 hvis e-post-adressen var koeserg@gmail.com

 

Anders

[SSamiK]

Les posten over! Dr.Web sier at INGEN SKAL KJØRE dekryptering uten å ha fått analysert filene først. Det kan gjøre vondt verre! Om du sitter med annen informasjon, send link.

[Jamt]

Noen som kan gi litt info hvordan dette ser ut på maskina? Var mye inne på kammeret i går kveld og i dag, har også brukt nettbank med java i dag. Ser ingen problemer til nå. Kan viruset ligge der allikevel. Bruker google chrom som nettleser. Kjørte også avg full scan i dag. finner ingenting. Kan jeg ha vært så heldig at jeg har skjært klar

[SSamiK]

Du får beskjed om at du må betale løsepenger om du er infisert, så det er lett å merke.

[Ranger]

Privat kjører jeg OSX på iMac men har ikke fått denne meldingen på Mac'n hjemme.

Så vi kan regne med at vi med Mac er trygge mot dette? Håper det iallfall… Ikke dukket opp noen meldinger her på min iMac heller.