Virus på Kammeret.....

[AcidRain]

Håper oppskriften funker, for nå ligger alt nede på jobben og it folkene får ikke ta helg tilfeldig vis viste en uskyldig skjel om en løsning......

[Skaaning]

filen du kopierte så mellomrom og -k 88

Ikke for å slå kallt vann over hode ditt men etter å ha fått svar fra Dr.Web om å bruke den (-k 88) har jag nå fyllt på HD med nokk en kryptert fil.

 

Så må vel prøve å kontakte Dr.Web ennu en gang.

 

Håper du er heldigere Vingemutteren.

[SSamiK]

Skaaning: Du lastet ned korrekt versjon av te94decrypter? Regner nesten med det, for du lastet sikkert ned fra linken du fikk fra Dr.Web...

 

Om man er usikker, og vil slippe å få dobbelt og trippelt av alle filer kan man bruke en USB-pinne og kopiere ut noen filer fra en infisert maskin, flytte de til en frisk maskin, legge de i c:\ og kjøre en dekryptering på den maskinen. Da har man få filer å forholde seg til, og det blir mye lettere å rydde opp om det er noe som ikke funker. Når man så er sikker på at det funker som det skal kan man dekryptere alle filene på den infiserte maskinen.

[nof]

Kan noen bekrefte at det er en java-svakhet som er utnyttet hær?

[SSamiK]

Ja, det er en java sårbarhet som er utnyttet. Det er flere versjoner av java som er sårbare.

[nof]

Takker, og du skal mange pluss i margen for din innsats hær på kammeret!

 

Det var vel ikke uten grunn at Firefox plutselig slo av all gammel java (utenom den siste ver)

..og akkurat dette har skapt en del timer ekstra for IT-folk (enten pga. sykdommen eller kuren).

 

Edit: Jeg vil oppfordre alle til å oppgradere java umiddelbart!

(uansett operativsystem, det er absolutt en mulighet for at neste gang er det nettbanken din som fyker)

[giremann]

 

Slett duplikater ved å skrive

Del *.enciphered /s

Slett alle tekstfiler ved å skrive

Del how?to*files.txt /s

 

er du usikker på slettinga, ikke gjør det

 

//jaffa

 

Er ikke akkurat stabil i dette heller, men har fått i gang programmet fra dr web, samt har kjørt både panda antivirus og AVG antivirus hver sin gang. Hvor skriver vi ned disse slette kommandoene? I det hvite feltet under windowsknappen eller i det sorte cmd feltet? :

Edited April 13, 2012 by Guest

[vådeskudd]

Oppi det hele, vil jeg anbefale alt og alle (brukere av Windows) å installere Secunia PSI (link nederst i innlegget).

 

Programmet scanner innledningsvis, og "overvåker" så alle programmene installert på maskinen din og matcher versjonsnummeret mot Secunia sin egen database. Er det en svakhet med et program får du vite det, og er det dessuten en oppdatering fra leverandøren av programvaren kan du med et par små tastetrykk enkelt oppdatere dette. Du kan også sette opp 100% automatisk oppdatering.

 

Programmet krever IKKE at du er ekspert eller kan spesielt mye om datamaskiner.

 

 

Beklager om dette er OT, men i lys av dette lille "angrepet" her er det kanskje greit om folk får et tips som holder programvaren sin oppdatert og dermed er mindre utsatt for virus (som jo misbruker svakheter i programvaren - svakheter du her får RASKESTE mulige patch for!).

 

For ordens skyld; Jeg er ikke på noen måte affilert med Secunia, og programmet er *GRATIS* for privat bruk!

 

Mod: Håper dere godtar dette innlegget selv om det er litt OT, om ikke får dere bare slette/flytte det.

 

http://secunia.com/vulnerability_scanning/personal/

[SSamiK]

Er ikke akkurat stabil i dette heller, men har fått i gang programmet fra dr web, samt har kjørt både panda antivirus og AVG antivirus hver sin gang. Hvor skriver vi ned disse slette kommandoene? I det hvite feltet under windowsknappen eller i det sorte smc feltet?

 

De slettekommandoen skal også kjøres i CMD vinduet (det sorte vinduet).

 

Men, må bare gi et lite tips her til deg og alle andre: ALDRI og da mener jeg ALDRI ha mer en ETT virusprogram installert om gangen. Har man flere kan de jobbe i mot hverandre, beskytte de samme filene og reagere på at det andre programet også beskytter, de kan sloss om å sette ting i karantene, de kan tolke hverandre som virus osv osv. Finn ett antivursuprogram du stoler på, som ikke bruker for mye systemressurser og som ikke koster skjorta (selv bruker jeg bare gratisprogrammer) og hold deg til det ene. Skal du prøve et annet, så avinstallerer du det du allerede har FØR du installerer det neste.

[SSamiK]

@vådeskudd: Hva gjør det programmet der bra? Prøvde det nå, men avinstallerte med en gang da jeg ikke fikk en god feeling av det. Kan se behovet om man ikke skjønner hvordan man oppgraderer selv, men utover det er det da intet mindre en en minnetjuv som bruker systemressurser?

[giremann]

Takk for tipset.. Lastet ned AVG tidligere i kveld, siden jeg ikke var sikker på om panda fant viruset.. Skal avinstallere panda umiddelbart. Ser nå at AVG fant en del filer linket til panda, når det ble gjort et skann.

 

Jeg forsøkte i CMD vinduet å komme ned til c:\ med å trykke cd cd, men hos meg blir det stående c:\users\bruker> uansett.. Vil tro det har med at jeg har flere brukere lagt inn og er da pålogget med min egen. Har dette noe å si?

 

Skal slette kommandoen da se slik ut i CMD vinduet?

 

c:\users\bruker>Del how?to*files.txt /s

 

og

 

c:\users\bruker>Del *.enciphered /s

 

Takker for all hjelp jeg får her inne.

[gunner]

Skriv cd \

da havner du på toppnivet på harddisken. Det er viktig for å få slettet de infiserte filene på hele disken, og ikke bare under din bruker

[SSamiK]

skriv

cd \

trykk enter. Da er du på c:\

Når Jaffa skrev cd.. cd.. så mente han egentlig cd .. ENTER cd .. ENTER cd .. går ned et hakk, cd \ går til bunn med en gang.

 

Den slettekommandoen er ikke noe jeg anbefaler å bruke, da konsekvenser av en tastefeil kan være omfattende og permanente. Føler du deg derimot trygg på at du taster korrekt og at Jaffa har tastet korrekt så ser det korrekt ut, men kom deg til c: før du gjør det.

[giremann]

Takker..

 

Det fungerte nå.. Prøvde meg med å slette txt fila først og den ble borte.

[snustest]

Advarsel - jeg har mistet 50% av mine dokumenter/bilder

 

Brukte følgende måte:

 

1. Sende request og få kode på mail

2. Kjøre program via Dos

3. Slettet txt filer x 2

 

Siden alle alle mine opplåste filer ble dublisert, fikk jeg for lite plass på harddisken til å låse opp alle .... Merket det ikke før jeg hadde kjørt sletting. Nå er det meste borte.

 

Er det mulig å få tilbake disse filene ?

[vingemutteren]

Viss man etter opplåsing går inn på "Min datamaskin" og ser under egenskaper for hver harddisk/partisjon. Og der er ledig plass (Holder kansje med mere ledig plass en den største filen på harddisken/partisjonen?), så kan man regne med at alt er opplåst?

 

Eller?

[Snus]

Ingen dum ide`.

[RoarN]

Hei.

 

Har Windows Endpoint Protection, og fikk viruset.

Sikkert dårlig med oppdatert Java og nettleser.

 

Lastet ned ett program her: http://www.norsis.no/nyheter/2012-04-11-Losepengevirus.html

 

Heter te94decrypt ser at flere har brukt dette.

Ser ut til at det har virket fint hos meg.

Prøvde 85 først det virket ikke.

Brukte 88

 

C:\>c:/te94decrypt.exe -k 88

 

PCen er litt rar så det blir vel å innstallere på nytt, men fikk i alle fall tak i dokumenter.

 

Er selve dukomentfilene innfisert, slik at jeg kan få det tilbake gjenom de

 

Roar

[Schultz and Larsen]

Så da er det kanskje herifra jeg fikk det dritet som har kryptert(?) ALLE filene på pc-en min. Det skjedde i gårkveld. Bruker såvidt jeg vet en gratisversjon av AVG.

 

Fikk samme trojaner på min pc i går.

Mulig det stammer herfra?

 

Krypterer alle delte filer ser det ut

Påvirker bla office dokumenter og pdf.

 

Edit: ser ut til at det ligger en fix ute nå.

Som dekrypterer filene igjen.

 

 

Vær på vakt!!

 

Trojaner...ja....fekk tel. frå banken at nokon har prøvd å komme seg inn ulovleg på nettbanken min 2 gonger i går....Banken såg at det ikkje var min datamaskin og plassen eg vanligvis logger meg inn på...Skurkane reiste ikkje med noko, svindelen ble avverget...

 

Skummle greier...må gjennopprette harddisken for å bli kvitt driten ....Bruker no anna datamaskin og den infiserte er koblet frå nettet...

[tigo]

Er selve dukomentfilene innfisert, slik at jeg kan få det tilbake gjenom de

 

Nei, det er ingenting som tyder på at dette infiserer dokumenter/bilder. Bare krypterer de.

[SSamiK]

Så da er det kanskje herifra jeg fikk det dritet som har kryptert(?) ALLE filene på pc-en min. Det skjedde i gårkveld. Bruker såvidt jeg vet en gratisversjon av AVG.

 

Fikk samme trojaner på min pc i går.

Mulig det stammer herfra?

 

Krypterer alle delte filer ser det ut

Påvirker bla office dokumenter og pdf.

 

Edit: ser ut til at det ligger en fix ute nå.

Som dekrypterer filene igjen.

 

 

Vær på vakt!!

 

Trojaner...ja....fekk tel. frå banken at nokon har prøvd å komme seg inn ulovleg på nettbanken min 2 gonger i går....Banken såg at det ikkje var min datamaskin og plassen eg vanligvis logger meg inn på...Skurkane reiste ikkje med noko, svindelen ble avverget...

 

Skummle greier...må gjennopprette harddisken for å bli kvitt driten ....Bruker no anna datamaskin og den infiserte er koblet frå nettet...

Nei, Trenger IKKE gjenopprette, og det er ikke rette måten å angripe virus på. Det er flere måter å bli kvitt dette på uten å slette eller gjenopprette noe som helst. Les, spør, ikke stress og viktigst av alt: IKKE GJØR NOE FØR DU ER SIKKER! De som mister data bommer på et av de stegene. Jeg er borte nå, men om det er noen som fortsatt sliter så er det bare å ta kontakt. Vi har fixet mange maskiner helt uten å miste data, så ikke gjør noe dumt.

 

Sent from my Desire HD using Tapatalk

[vingemutteren]

Har kjørt opplåsing iht. drweb.

Det jeg så langt har sett litt på, virker dekryptert (har ikke sjekket alt).

Har mange GB ledig plass på HDene (Den med minst ledig plass har 70GB ledig).

 

Har kjørt AVG i sikker modus , den fant lite (og hopper over alle låste filer).

 

Har ikke kjørt noen sletting/fjerning av dubletter/eller how to filer enda.

 

Spørsmål:

 

Ved oppstart av windows, kommer how to decrypt opp over hele skjermen som før. Er dette noe jeg manuelt må slette i startmappa? (gå inn under kjør etc. som jeg ikke husker helt)?

 

Kan jeg anta at jeg er kvitt trojaneren siden AVG ikke kommer opp med noe?

[Jaffa]

Etter du har sletta.txt filene slipper du å få den opp når du starter

[SSamiK]

eller du kan starte MSConfig og fjerne den fra oppstarten... Liker ikke å anbefale folk å slette, spesielt ikke med kommandoer.

[vådeskudd]

Advarsel - jeg har mistet 50% av mine dokumenter/bilder

 

 

Er det mulig å få tilbake disse filene ?

 

 

Ja det kan være mulig. Det første du kan prøve er å høyreklikke på mappen det gjelder og velge Properties. Se om du har valget "Previous version" og velg en dato/tid som er fra FØR du kjørte slettekommandoen. Du velger ved å dobbeltklikke, og da får du opp et vindu som ser helt normalt ut utenom at det står datoen og tidspunktet kopien er fra på toppen i vinduet. Kopier så filene du vil ha til f.eks en mappe på skrivebordet ditt.

 

Alternativ 2 er å bruke et slags "undelete" program. Her har jeg ikke personlig noen stor erfaring med forskjellige løsninger, men alfa omega for å gjenopprette slettede filer er å IKKE skrive mer data til disken det gjelder. For hver byte du skriver til disken, risikerer du å skrive over de gamle (slettede) filene.

 

Et mulig valg, som er gratis, heter FreeUndelete. Jeg testet programmet raskt her nå, og den ser ut til å fungere slik den skal - men om den finner og kan gjenopprette filene dine vet man rett og slett ikke før du har prøvd.

 

http://www.officerecovery.com/freeundelete/

 

NB: Finner programmet filer du vil gjenopprette så husk å skrive de til en ANNEN disk enn den du gjenoppretter fra - ellers overskriver du fort data du ønsker å gjenopprette

[SSamiK]

Flott post, vådeskudd.

[vingemutteren]

Gikk inn på oppstarts mappa, og valgte deaktiver på de to how to entryene der.

 

Våger ikke kjøre slette komandoer før jeg har fått tatt en backup over på en ekstern HD.

 

Da skal jeg forsøke å rense ut dubletter etc med rådene som ligger her, slik at backup til DVD kan gjennomføres.

 

Takk for all hjelp så langt.

[bimmer83]

Heisann!

 

Jeg sliter med samme virus men lurer på om det er en litt annen kode som må brukes på det jeg har fått på maskinen.

Hos meg starter meldingen likt men litt annerledes innhold:

 

Attention! All your files are encrypted!

You are currently browsing the content of pornograpic nature (osv)

 

Men så står det og at e-mailadressen jeg kan betale €50 til er support@trustprograms.info

I tilegg så er alle iconbildene borte og erstattet med blankt bilde og det er lagt seg til et nytt icon på skrivebordet mitt som

heter: how to decrypt files

 

Det var samboeren min som satt med pcen da det skjedde og hun har tatt screenshot av dette å mailt meg pga jeg er

bortreist på jobb. Har mailet til webdr men enda ikke fått svar!

 

Noen som kan vær så snill å hjelpe for har en del bilder osv på maskinen som jeg ønsker å ha, så vil jeg være sikker på hva kode osv jeg skal bruke!

 

Takker for svar!

[SSamiK]

sier det samme til deg som til alle andre; send inn filer til analyse hos Dr.Web.

[bimmer83]

har sendt mail til drweb uten å fått svar!

derfor jeg poster her i håp om noen andre har fått varianten jeg har fått!

[vingemutteren]

Skal ikke sende mail til drweb, kun via drweb sitt raporteringsskjema (link på side 2 eller 3 her i tråden). Under submit eller noe slikt, skal det skal du velge rescue (les hele tråden her så får du alle svar. da jeg har stilt de fleste "dumme" spørsmålene ).

[Guest loudenboomer]

Tips: Best practice er alltid å reinstallere* PC'er som er blitt "compromised" på en eller annen måte. En vet aldri om en er kvitt alt.

 

For dem uten spesielle (windows) behov kan det lønne seg å kjøre inn den her....: http://www.ubuntu.com/download

 

* Etter at en har fått tilbake filene sine sef.

[SSamiK]

Nesten enig med loudenboomer... Men jeg ville styrt unna Ubuntu, da de går mer og mer mot å bli et OS for Mobiltelefoner. Linux Mint er en mer enn fullgod erstatning for Ubuntu på desktop PC.

 

 

Men om dere vurderer reinstallasjon, som jeg personlig ville gjort minst en gang i året bare for å opprettholde max ytelse på maskinen, så husk nå for all del å kopiere ut ALT dere vil ta vare på av tekstfiler, bildefiler og diverse annet. Skriv ned navnene på programmene dere bruker, og sjekk at dere har produktnøkler til programvare dere har kjøpt på et fysisk ark eller lagret på en epost som ligger på nett. Husk også at eventuelle eposter som ligger lagret på maskinen også må sikkerhetskopieres før man gjør noe sånt.

 

Når det er sagt så har vi ikke fått en eneste indikasjon på at denne infeksjonen er vanskelig å fjerne, så det er ikke noe som tyder på at det er noe behov for å reinstallere utover det å være super-sikker eller bare ønske å få max ytelse ut av maskinen sin igjen.

[geewee]

Enig med begge de foregående postene

 

Er dette forresten e infeksjon som kunne ha vært unngått om brukerne ikke hadde vært pålogget maskinen med adminrettigheter?

[vingemutteren]

Hvordan oppdaterer man Java?

/

Hvordan finner man ut om Java er oppdatert?

[vømmøl]

Du finner Java under kontrollpanel.

Åpne og velg fliken Update. Resten sier seg selv tror jeg

[Ilatad]

Her kan du sjekke om du har oppdatert java

http://java.com/en/download/installed.jsp

[ktm250sx]

Jeg får bare "Wrong key" når jeg trykker continue på det programmet fra DrWeb! Arg...

Hele bacheloroppgaven min er kryptert!! Har jo backup, men det er jo noen dager gammelt!

Står at jeg skal starte det med kommandolinje parameter -k 90! Må jeg laste ned DOS da eller?

Hjelp mottas med takk!

[SSamiK]

Har du lest hele tråden her? Står hvordan programmet skal startes. Etter så mange dager begynner man så smått å bli lei av å gjenta seg, så veldig fint om du gidder ta deg bryderiet med å lese litt før du spør.

[ktm250sx]

Har lest gjennom hele, men hadde visst oversett trinnet med cmd! Da skal jeg prøve!

[SSamiK]

Gode greier. Håper du får det til uten problemer.

[Hellreject]

Etter å ha kjempet med dette møkkaviruset på mange forskjellige maskiner under mange forskjellige omstendigheter, har jeg fått litt erfaring med svineriet.

 

På Windows 7, så har viruset tendenser til å legge seg i C:\Users\Username\Appdata\Roaming\XXX. Som regel har mappen et navn som Ylw, Ics eller tilsvarende. Derfra ligger det og sprer elendighet ut over hele maskinen, og alle eksterne hard-disker og shares som er tilgjengelig. Symantec Endpoint Protection har ikke lykkes med å stoppe det, ei heller Microsoft Forefront Security eller Trend Micro Internet Security Pro, i allefall ikke som jeg har opplevd. Jeg har scannet maskinene med free versjonen av AVG, og det har overaskende nok fungert hver gang. ComboFix kan også være et alternativ.

 

Jeg har ikke møtt på et tilfelle der jeg ikke har fått gjenopprettet data som har blitt kryptert av viruset. Verktøyet jeg har brukt er Te94Decrypt , som har blitt nevnt flere ganger i denne posten. Opsjonen jeg har brukt er -k 88 ( c:\te94decrypt.exe -k 88 ), det kan variere fra bruker til bruker, da det eksisterer et par varianter av viruset til nå (-k 85 og -k 87 kan også fungere).

 

Det anbefales å teste hvilken opsjon som fungerer for deg, før du slipper løs verktøyet fullstendig på maskinen din. Du kan f.eks lage en mappe på C:\ som heter "1aaaaa", og legge verktøyet pluss en 2-3 krypterte filer i den mappen, og deretter kjøre verktøyet med opsjonen -88. Dersom filene ikke blir dekryptert rett, slett de og prøv med en annen opsjon til du finner en som fungerer.

 

Verktøyet vil scanne gjennom alle stasjoner på maskinen, og dekryptere alle filer det møter på. Dette kan og vil ta tid, så ha gjerne litt tålmodighet.

Te94decrypt leser ikke eller har problemer med å lese fra minnepenner og enkelte raid-oppsett. Det anbefales at man kjører verktøyet på en vanlig HDD med FAT eller NTFS. Det aller beste hadde jo vært å fått filene kopiert over på en ekstern disk, og deretter inn på en frisk maskin.

 

Uansett hva resultatet blir for deg, er det anbefalt å få ut en backup, og å få reinstallert maskinen. Ene maskinen jeg trodde var friskmeldt var like herja igjen dagen etterpå, til tross for at den så helt fin ut da jeg forlot den dagen før. Så obs obs, her lønner det seg å bruke tid og være grundig.

 

EDIT: Som SSamiK nevner, så er det nok lurest å sende inn filen til analyse, slik at du garantert får den rette opsjonen.

Edited April 16, 2012 by Guest

[SSamiK]

Det lønner seg IKKE å teste på egenhånd, men å sende inn filer til analyse, som nevnt flere ganger i tråden her. Vi veit om minst fem nøkler som har blitt brukt, og om man bruker alle de uten å treffe riktig har man faktisk ødelagt filene, da de har en begrensning på antall opplåsningsforsøk. Derfor, bruk de metodene som er beskrevet tidligere, så er man sikker på å ikke ødelegge noe.

 

Av antivuruser du nevner kjenner jeg bare et av navnene som seriøse, så at de andre ikke tar det overrasker i alle fall ikke meg. Veit at AVG, Avast, Norton, Eset og Microsoft Security Essentials alle finner og fjerner viruset, så sant de er fullt oppdaterte.

[SSamiK]

Ved hjelp av metoden beskrivet på ca side 3 i denne tråden har vi fått fjernet viruset på svært mange maskiner nå, helt uten datatap og reinstallasjoner. Så vi veit metoden funker som den skal.

[ktm250sx]

Har et par spørsmål;

 

Jeg har gjennomført dekrypteringen av de rundt 32000 infiserte filene nå. Ettersom jeg har lest tidligere i tråden er disse mulige å slette, men er det en stor risiko for å slette annet også?

 

Jeg blir heller ikke kvitt viruset, det dukker opp et lass med over 50 trojanere når jeg skanner med AVG gratisutgaven.

 

 

Hvordan blir jeg kvitt disse? Virker ikke som AVG klarer å gjøre noe med de..

[Marcel]

Nettet og Virus kommer sikkert ikke til å bli noe tryggere med tiden.

Så det beste er å ALLTID lagre bilder, dokumenter og annet viktig info på en Extern harddisk som man bare setter på ved lagring/kopiering.

 

Å lag en systemavbildning/gjennopprettings fil/mappe eller hva det heter.

Får man slik virus, så er det bare å formatere dritten..

Start reint å friskt..

 

Da er man iallefall sikker på at det er borte, til neste gang iallefall.

Hadde noe slikt for 3,5 år siden.

Fikk det aldri helt bort. Fikk problemer ved restart. Så Datan fikk stå på i 3,5 år, konstant..

Kunn stopp ved strømbrudd.

[shooter 2]

Har et par spørsmål;

 

Jeg har gjennomført dekrypteringen av de rundt 32000 infiserte filene nå. Ettersom jeg har lest tidligere i tråden er disse mulige å slette, men er det en stor risiko for å slette annet også?

 

Jeg blir heller ikke kvitt viruset, det dukker opp et lass med over 50 trojanere når jeg skanner med AVG gratisutgaven.

 

 

Hvordan blir jeg kvitt disse? Virker ikke som AVG klarer å gjøre noe med de..

 

+1

[amatør]

prøv gratisversjonen av Malwarebytes:

 

http://www.malwarebytes.org/

[SSamiK]

Om ikke AVG klarer det, prøv et annet antivirus program. Kjører dere antiviruset i sikkermodus?

 

Tipset til amatør er også verdt å prøve. Samt CureIt fra Dr. Web : https://www.freedrweb.com/download+cureit+free/?lng=en

[jerognal]

Nå ble ikke jeg rammet da Avast tok dritten før skader, men til dere som ikke får slettet viruset ved scanning, kjør virussøk i oppstartmodus da pleier virusprogrammet å klare det om det finner det.