Zasifrovane soubory

[zash]

Dobrý den,
známá si otevřela nějakou přílohu z mailu a všechny (většina) souboru se ji přejmenovala a nejdou otevřít ani po přejmenování na původní název. Dle googlu dnes již známá věc - nějaký CTB locker nebo co, Dá se s tím ještě něco udělat? Myslím zachránit soubory.

Přikládám log z combofixu:

ComboFix 15-01-28.01 - Administrator 28.01.2015 16:02:23.1.2 - x86 NETWORK
Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3317.2878 [GMT 1:00]
Spuštěný z: c:\documents and settings\Administrator\Plocha\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *Enabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.
.
((((((((((((((((((((((((((((((((((((((( Ostatní výmazy )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Google\Desktop\Install
c:\program files\Google\Desktop\Install\{56b68e2c-1d5b-9852-556d-4dac027babcc}\0103~1\0103~1\CFFE~1\{56b68e2c-1d5b-9852-556d-4dac027babcc}\@
c:\temp\ubmtfdm.exe
c:\windows\EventSystem.log
c:\windows\iun6002.exe
c:\windows\pkunzip.pif
c:\windows\pkzip.pif
.
.
((((((((((((((((((((((((( Soubory vytvořené od 2014-12-28 do 2015-01-28 )))))))))))))))))))))))))))))))
.
.
2015-01-28 14:54 . 2015-01-28 14:54 -------- d-----w- c:\documents and settings\Administrator\Data aplikací\Malwarebytes
2015-01-28 14:21 . 2015-01-28 14:21 -------- d-----r- c:\documents and settings\NetworkService\Oblíbené položky
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M výpis ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2014-11-18 13:56 . 2014-11-18 13:56 1202848 ----a-w- c:\windows\system32\FM20.DLL
.
.
(((((((((((((((((((((((((((((((((( Spouštěcí body v registru )))))))))))))))))))))))))))))))))))))))))))))
.
.
*Poznámka* prázdné záznamy a legitimní výchozí údaje nejsou zobrazeny.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 152872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-03-03 135168]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-03-03 159744]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-03-03 131072]
"RTHDCPL"="RTHDCPL.EXE" [2008-03-03 16859648]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"WinVNC"="c:\program files\TightVNC\WinVNC.exe" [2007-05-07 589824]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]
"VideoDownloadConverter Search Scope Monitor"="c:\progra~1\VIDEOD~2\bar\1.bin\4zsrchmn.exe" [2013-06-18 44784]
"VideoDownloadConverter_4z Browser Plugin Loader"="c:\progra~1\VIDEOD~2\bar\1.bin\4zbrmon.exe" [2013-06-18 30096]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Nabídka Start\Programy\Po spuštění\
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe /startup [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [24.10.2008 19:53 96408]
S1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16.11.2009 8:03 108792]
S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [16.11.2009 8:04 735960]
S2 Skype C2C Service;Skype C2C Service;c:\documents and settings\All Users\Data aplikací\Skype\Toolbars\Skype C2C Service\c2c_service.exe [9.10.2013 9:58 3275136]
S2 VideoDownloadConverter_4zService;VideoDownloadConverterService;c:\progra~1\VIDEOD~2\bar\1.bin\4zbarsvc.exe [18.6.2013 15:06 42504]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [28.1.2015 15:55 40776]
.
--- Ostatní služby/ovladače v paměti ---
.
*NewlyCreated* - MBAMSWISSARMY
.
Obsah adresáře 'Naplánované úlohy'
.
2015-01-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-01-29 16:15]
.
2015-01-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2014-01-29 16:15]
.
2015-01-08 c:\windows\Tasks\Měsíční oznamování konce poskytování služeb pro Microsoft Windows XP.job
- c:\windows\system32\xp_eos.exe [2014-03-17 23:28]
.
2015-01-28 c:\windows\Tasks\Přihlášení k oznamování konce poskytování služeb pro Microsoft Windows XP.job
- c:\windows\system32\xp_eos.exe [2014-03-17 23:28]
.
2015-01-28 c:\windows\Tasks\User_Feed_Synchronization-{BF83B766-32E7-4D80-A8A9-59B69C4594FC}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]
.
.
------- Doplňkový sken -------
.
TCP: Interfaces\{82D77909-DD24-40FC-9838-C14A903520E8}: NameServer = 192.168.199.1
.
- - - - NEPLATNÉ POLOŽKY ODSTRANĚNÉ Z REGISTRU - - - -
.
AddRemove-Cool's_Codec_pack_4.12 - c:\windows\iun6002.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2015-01-28 16:05
Windows 5.1.2600 Service Pack 3 NTFS
.
skenování skrytých procesů ...
.
skenování skrytých položek 'Po spuštění' ...
.
skenování skrytých souborů ...
.
sken byl úspešně dokončen
skryté soubory: 0
.
**************************************************************************
.
--------------------- ZAMKNUTÉ KLÍČE V REGISTRU ---------------------
.
[HKEY_USERS\S-1-5-21-796845957-1979792683-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e2,e4,25,6c,9f,3f,6e,4c,a7,1b,95,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,e2,e4,25,6c,9f,3f,6e,4c,a7,1b,95,\
.
Celkový čas: 2015-01-28 16:06:10
ComboFix-quarantined-files.txt 2015-01-28 15:06
.
Před spuštěním: Volných bajtů: 78 498 115 584
Po spuštění: Volných bajtů: 87 473 979 392
.
WindowsXP-KB310994-SP2-Pro-BootDisk-CSY.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 6B68A1044778CE487E882CAEF1B01F2A
413FC2A0C716421B3158746D63736515


Děkuji.

[cernohous13]

Zdravím,

ten ComboFix nebyl zrovna šťastný nápad

zkuste se obrátit na naše odborníky na http://www.neslape.cz/?utm_campaign=nes ... edium=link

[zash]

No, nekde tady v historii jsem nasel, ze jste to resili combofixem potreboval bych to ted hlavne odvirovat, obnova muze pockat, cim bych to mel projet?

Dekuji za odpoved.

[cernohous13]

Čim víc zásahů po zašifrování, tím menší šance na obnovení - CF tomu moc nepomohl - obrať se na Vzdálenou pomoc http://www.neslape.cz/?utm_campaign=nes ... edium=link

[zash]

Vyzkousim, dekuji.

[cernohous13]

Bohužel nemáš zač

[stell]

Zdravim

Systém Microsoft Windows XP Professional 5.1.2600.3.1250.420.1029.18.3317.2878 [GMT 1:00]

V pripade Windows xp-nema to vyznam, nic sa neda robit, xp-totiz nema tienovu kopiu, a tieto subory zasifrovane CTB-locker sa nedaju nijakym sposobom desifrovat.
Tot vsjo, inak plati to,co som napisal tu v mojom blogu a tiez co napisal kolega Cernohous.
http://www.viruskasino.com/2015/01/ctb-locker.html

Ps:
Zasifrovane subory za-zalohovat, mozno niekedy v buducnosti to budeme vediet desifrovat.