Problema VIRUS - UVBOOBK

[BestMimo]

Se for W7, tenta o Combofix.

 

[Blue Zee]

E isso?

O relatório do Hitman PRO está limpo.

Infeção parece não haver mas solução para os ficheiros encriptados/corrompidos também não haverá.

 

[xp54]

nem sei que dizer, pelos vistos pelo que li nao ha registo de algo parecido na net

 

[Blue Zee]

Se houvesse algum detalhe mais do que aconteceu exatamente haveria uma réstia de esperança se não fosse malware.
Um erro de execução de algum programa? Uma encriptação azarada?

Mas se foi mesmo malware do género cryptolocker em qualquer variante recente não há mesmo solução.

Uma boa sugestão nuns posts atrás: guarda as cópias de segurança em lugar seguro. Aparecendo solução para o problema consegues recuperar tudo.
Lamento não ser mais positivo.

 

[Blue Zee]

@xp54
Envia um dos ficheiros para desencriptação aqui e depois partilha os resultados:
https://www.decryptcryptolocker.com/

Como diz no site, escolhe um ficheiro que não contenha dados pessoais identificáveis.

 

[claudiopardal]

Já há solução para isto?

 

[Blue Zee]

Também foste caçado?

Se sim, quando e como?

 

[Pimpa43]

Pois a mim também me aconteceu, já descobri e removi alguns mas entrou em todos os programas incluindo os de facturação. não entendo muito disto mas consegui por um programa de facturação a trabalhar. agora descobrir em todos os ficheiros esta treta esta dificil.

 

[Blue Zee]

O problema vai ser recuperar os ficheiros encriptados.

Tenta isto.

Suspeito que não foi vírus mas pouco importa neste momento.

Nas pastas que contêm ficheiros corrompidos faz clique direito > Propriedades e tenta restaurar versões anteriores:

Eventualmente talvez valha a pena Abrir antes de restaurar para confirmar que o conteúdo está intacto e é recuperável.

Boa sorte!

 

[Pimpa43]

Obrigada resultou para este programa de facturação.
já está a funcionar!! IUPIIIII
agora como descobrir se ainda existem restou do virus no pc?? o anti virus nada detecta

 

[Blue Zee]

Corre o Hitman PRO e coloca aqui o relatório final.

Usa 32 ou 64 bits de acordo com a tua versão do Windows.

 

[Pimpa43]

"our documents, photos, databases and other important files have been encrypted
with strongest encryption and unique key, generated for this computer."
é algo do tipo " Robert bosch"

será que procurar ponto a ponto este ficheiro e triturar com o IObit vai resolver na totalidade??
Atenção que eu quase não entendo nada disto

 

[Pimpa43]

já corri mas continuam a aparecer estes ficheiros em alguns programas

 

[Blue Zee]

Pela descrição o sistema foi feito refém de algo do género cryptolocker.
Deve ter aparecido alguma mensagem a pedir um resgate/pagamento para enviarem a chave de desencriptação.

Os ficheiros encriptados não vão ser recuperados pelos programas anti-malware.

Vais ter que tentar um a um a sugestão que fiz acima para recuperar versões anteriores.

Já correste o HitmanPRO?
O relatório?

 

[Pimpa43]

Pois.... sou "maçarica" sei lá onde está o relatório
vou correr outra vez.
Sim pediram-me um resgate
Mas eu não pago!!!
prefiro passar horas a resolver!!
Já me bastam as finanças

 

[Blue Zee]

Não há cópias de segurança?

 

[Pimpa43]

Há mas a ultima é de novembro de 2014.
Posso usar essa??
Só mais uma pergunta:
Como sei se ele já desapareceu totalmente??

 

[Blue Zee]

Novembro de 2014 parece-me demasiado antigo para um programa de faturação.
Terias que refazer tudo desde essa data até hoje.
A melhor opção é tentar restaurar versões anteriores das pastas ou ficheiros.
Tendo já resultado, parece-me que estás com alguma sorte e o malware não terá sido tão destrutivo como é habitual.

Vai ser trabalhoso? Vai, mas com alguma sorte e muito trabalho pões isso tudo como deve ser.

Se o Hitman PRO sair limpo, o sistema também deve estar.

Boa sorte.

 

[Pimpa43]

HitmanPro 3.7.9.234
www.hitmanpro.com

   Computer name . . . . : WORKLAXIA-FACT
   Windows . . . . . . . : 6.1.1.7601.X64/2
   User name . . . . . . : WORKLAXIA-FACT\WORKLAXIA
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Trial (30 days left)

   Scan date . . . . . . : 2015-02-05 12:20:07
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 17m 2s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 10

   Objects scanned . . . : 2.127.841
   Files scanned . . . . : 49.980
   Remnants scanned  . . : 631.657 files / 1.446.204 keys

Suspicious files ____________________________________________________________

   C:\Users\WORKLAXIA\AppData\Local\PunkBuster\BF4\pb\pbcl.dll
      Size . . . . . . . : 963.808 bytes
      Age  . . . . . . . : 491.2 days (2013-10-02 07:07:54)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 606BF35587821588DF7788E9265CEA593E832F8F048BDAD480E8BFF45E52A60D
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : 22.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.
         Program is code signed with a valid Authenticode certificate.

   C:\Users\WORKLAXIA\AppData\Local\PunkBuster\BF4\pb\pbcls.dll
      Size . . . . . . . : 963.808 bytes
      Age  . . . . . . . : 491.2 days (2013-10-02 07:07:54)
      Entropy  . . . . . : 7.6
      SHA-256  . . . . . : 606BF35587821588DF7788E9265CEA593E832F8F048BDAD480E8BFF45E52A60D
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : 22.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.
         Program is code signed with a valid Authenticode certificate.

   C:\Users\WORKLAXIA\AppData\Local\PunkBuster\BF4\pb\pbsv.dll
      Size . . . . . . . : 472.492 bytes
      Age  . . . . . . . : 491.2 days (2013-10-02 07:08:28)
      Entropy  . . . . . : 7.0
      SHA-256  . . . . . : C59BDB02CFA466C8A77FC3ADB3DEC1359388B4F0F53826C84A7C676235D31539
      Fuzzy  . . . . . . : 25.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.

   C:\Users\WORKLAXIA\AppData\Local\PunkBuster\BF4\pb\PnkBstrK.sys
      Size . . . . . . . : 139.552 bytes
      Age  . . . . . . . : 491.2 days (2013-10-02 07:09:36)
      Entropy  . . . . . : 7.7
      SHA-256  . . . . . : 7A47CB7814643DAFDF81D3E2E03C60A162A49525962ECE651187371853E507E5
      RSA Key Size . . . : 2048
      Authenticode . . . : Valid
      Fuzzy  . . . . . . : 22.0
         The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
         Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
         Authors name is missing in version info. This is not common to most programs.
         Version control is missing. This file is probably created by an individual. This is not typical for most programs.
         Program contains PE structure anomalies. This is not typical for most programs.
         The file is a device driver. Device drivers run as trusted (highly privileged) code.
         Program is code signed with a valid Authenticode certificate.

   C:\Windows\SysWOW64\SPLITTER.OCX
      Size . . . . . . . : 163.096 bytes
      Age  . . . . . . . : 1583.8 days (2010-10-05 17:43:15)
      Entropy  . . . . . : 6.4
      SHA-256  . . . . . : 9BFBDE0218F42DBAF221F2DA064C4A80C1420781EE5D3DDB52CE498410C591EC
      Product  . . . . . : ActiveThreed
      Publisher  . . . . : Sheridan Software Systems, Inc.
      Description  . . . : SSSplitter ActiveX Control
      Version  . . . . . : 2.01.0012
      Copyright  . . . . : Copyright(c) 1991-1997 Sheridan Software Systems, Inc.
      RSA Key Size . . . : 512
      LanguageID . . . . : 1033
      Authenticode . . . : Self-signed
      Fuzzy  . . . . . . : 26.0
         Program is code signed with a weak certificate. This is common to malware.
         Program is code self-signed.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.

   C:\Windows\SysWOW64\SSLstBar.ocx
      Size . . . . . . . : 233.760 bytes
      Age  . . . . . . . : 1583.8 days (2010-10-05 17:43:22)
      Entropy  . . . . . : 6.4
      SHA-256  . . . . . : 4585F4156D180C67B553DCCC55C0EE71FDB8BDE1DF4D99D67A6FDD7142FFD302
      Product  . . . . . : ActiveListBar
      Publisher  . . . . : Sheridan Software Systems, Inc.
      Description  . . . : ActiveListbar Control
      Version  . . . . . : 1.0.0024
      Copyright  . . . . : Copyright(c) 1997 Sheridan Software Systems, Inc.
      RSA Key Size . . . : 512
      LanguageID . . . . : 1033
      Authenticode . . . : Self-signed
      Fuzzy  . . . . . . : 26.0
         Program is code signed with a weak certificate. This is common to malware.
         Program is code self-signed.
         The file is located in a folder that contains core operating system files from Windows. This is not typical for most programs and is only common to system tools, drivers and hacking utilities.


Potential Unwanted Programs _________________________________________________

   C:\Users\WORKLAXIA\AppData\Roaming\Mobogenie\ (Rocketfuel) -> Deleted
   HKU\S-1-5-21-1215671620-2672508756-1422277463-1000\Software\Microsoft\Internet Explorer\Approved Extensions\{54739D49-AC03-4C57-9264-C5195596B3A1} (Linkey) -> Deleted

Cookies _____________________________________________________________________

   C:\Users\WORKLAXIA\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net
   C:\Users\WORKLAXIA\AppData\Local\Google\Chrome\User Data\Default\Cookies:googleadservices.com

 

[Pimpa43]

ora acho que é isto
só não entendo se está resolvido ou não.
os programas de facturação com restauro para o dia 3 resolveu.
penso que também deve resolver com os restantes.
Agradecida pela ajuda