Jump to content
Sign in to follow this  
Terjeo

Hjelp med Malware, krypterte filer

Recommended Posts

Terjeo

Lage en statusrapport på denne, og ser ut som om det er flere enn bare meg som har vært uheldige her inne, så lager en tråd.

Lasta ned en film i dag som jeg tror er årsaken.

Det har lagt seg masse .txt filer på pcen i alt mulig av mapper hvor det står:

Attention! All your files are encrypted!

You are using unlicensed programms!

To restore your files and access them,

send code Ukash or Paysafecard nominal value of EUR 50 to the e-mail support@trustprograms.info

You must send 50 Euro voucher Ukash or Paysafecard on this email.

More information you can find on http://ukash.com/uk/en/home.aspx or http://www.paysafecard.com/choose-country/

During the day you receive the answer with the code.

You have 5 attempts to enter the code. If you exceed this

of all data irretrievably spoiled. Be

careful when you enter the code!

Etter det jeg har forstått dukket dette viruset opp i går en gang.

Programmer som kan klare å fjerne selve trojaneren skal vistnok være:

Avast

Malwarebytes Anti Malware

og disse http://www.trendmicro-download.com/no/

Da skal man få fjernet trojaneren, men alt av filer er fortsatt kryptert og de er ikke mulige å åpne.

Dette programmet skal kunne dekode eller hva f.. det heter filene dine: ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

Man må legge programmet i SYSTEM32 folderen i windows, åpne Command prompt og skrive:

te94decrypt -k 85 trykk enter, programmet åpner så trykker du continue og den begynner å jobbe.

Jeg prøvde å dekode men her får jeg alikevell ikke åpne filene. Kjører full systemscan for øyeblikket, så får jeg prøve igjen etter det.

Jeg har hørt at decodingen fungerte tidligere i dag, så er du heldig kan du kanskje få filene tilbake.

Om noen har flere forslag/løsninger taes dette godt imot!

Share this post


Link to post
Share on other sites
_Makki_

Det der har jeg vært borti tidligere.

Det ende med masse tull i safemode, manuell sletting i regedit og software for dekryptering av filene.

Kjempejobb for noen som liker det - nerd.

Må ikke laste ned så mye porno vettu Terjeo :rofl1:

Share this post


Link to post
Share on other sites
ANM

Finnes en del stoff om dette viruset på nettet og forslag til løsninger. Bare søke ukash.

Share this post


Link to post
Share on other sites
Christer

Har vært borti noe sånt jeg også på en kunde-PC. Jeg gjorde det enkelt og reinstallerte da det tok mindre tid enn å rydde opp i galskapen (skal også sies at det var mye annet rusk som gjorde opprydding vanskelig).

Share this post


Link to post
Share on other sites
Terjeo

Heller stygt mot formatering her.

Selvom du får fjerna det, må man alikevel dekode filene. Jeg kjørte program i natt, og fant noe i windows filene, klarte ikke laste windows etterpå, så får se seinere når jeg kommer hjem.

Share this post


Link to post
Share on other sites
HaakonH

Vet noen om dette viruset sprer seg til andre maskiner over nettverket?

Har et problem med at en maskin med dette viruset har infisert noen dokumenter på et server share.. Eller vil det bare være å dekode filene som er blitt kryptert?

Share this post


Link to post
Share on other sites
Bangdalen

Maskinen er nå sannsynligvis fri for virus etter scan med Malwarebytes og ComboFix som jeg linket til tidligere. Har også fjernet ting fra oppstart med msconfig.

Har nå tatt ut disken og scanner den med min maskin.

Share this post


Link to post
Share on other sites
Bangdalen

Vet noen om dette viruset sprer seg til andre maskiner over nettverket?

Har et problem med at en maskin med dette viruset har infisert noen dokumenter på et server share.. Eller vil det bare være å dekode filene som er blitt kryptert?

I og med dette mest sannsynlig er en trojaner er det ikke sikkert det sprer seg som et virus, men jeg VET ikke. Tør ikke forske på det akkurat nå heller kjenner jeg :P

Skal poste her når jeg finner ut av mer.

Share this post


Link to post
Share on other sites
Øystein

Vi har hatt samme virus på jobben her, og beskjeden fra IT-avdelingen er at de krypterte filene er vanskelige å få tilbake.

Det kom fiks fra anti-virus-selskaper i natt, men dette viruset har vissnok skapt problemer hos flere bedrifter.

Vissnok spres via facebook/twitter/sosiale medier.

Share this post


Link to post
Share on other sites
Bangdalen

Løsningen:

1: Skann hele PCen med Malwarebytes e.l. (www.malwarebytes.com)

Installer - oppdater - full scan - rens - omstart

2: Last ned og kjør denne:

http://forums.majorgeeks.com/showthread.php?t=257283

"Download this program ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe and start it with command line parameters -k 85

It will decrypt files."

And it does! :) Eneste som er av etterlatenskaper er både den krypterte og den dekrytperte fila.

Dette fungerte finfint på kundepcen jeg har jobbet med i dag.

Share this post


Link to post
Share on other sites
jensp

Dette programmet skal kunne dekode eller hva f.. det heter filene dine: ftp://ftp.drweb.com/pub/drweb/tools/te94decrypt.exe

Man må legge programmet i SYSTEM32 folderen i windows, åpne Command prompt og skrive:

te94decrypt -k 85 trykk enter, programmet åpner så trykker du continue og den begynner å jobbe.

Om noen har flere forslag/løsninger taes dette godt imot!

Hei Jeg har sittet i hele helgen og rettet på filmområder som er blitt encrypted av denne fanskapen.Og har derfor noen tips.

Hvis du har backup - resinstaller maskinen og lagg tilbake backupen, det er det enkleste.

Alternativ 2 er å få decryptet filene. Programmet som er sitert til over virker det men det finnes flere nøkler og det er ikke sikkert at "85" er riktig for din maskin. Vi sendte inn en fil til Dr.Web og fikk tilbakemelding om at 90 er riktig nøkkel(Han var utrolig rask på svar også)

Jeg anbefaler at du tar kopi av de krypterte filene FØR du forsøker å decryptere med programmet, det er vedlig kjedelig å ødelegge filene med feil parameter.

Lykke til!!

Share this post


Link to post
Share on other sites
Terjeo

Koden jeg skal bruke er -k 88

men når jeg skriver: te94decrypt -k 88 i cmd får jeg wrong key.. Noen forslag?

Share this post


Link to post
Share on other sites
Bangdalen

Hvorfor ikke da bruke k85 som er det riktige? :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

Informasjon

© Detailers Club Norway AS 2007-2018

Sosialt

Om oss

Her finner man det meste man lurer på innen bilpleie. Alt fra vask til polering på hvordan du skal få din bil til å bli så blank som mulig

×
×
  • Create New...