Condividi:        

help recover instruction

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

help recover instruction

Postdi alessia.pa » 06/02/16 17:07

Buonasera,
ho appena acceso uno dei due pc che ho all'interno del mio studio fotografico e mi sono accorta che il pc è stato infettato dal virus in oggetto...
Potete aiutarmi a rimuoverlo?
Tutti i file sono stati criptati e temo di aver perso tutto..
alessia.pa
Newbie
 
Post: 2
Iscritto il: 06/02/16 17:01

Sponsor
 

Re: help recover instruction

Postdi Luke57 » 06/02/16 17:24

Ciao, com'è l'estensione dei files crittografati?
Scarica questo programma in base alla versione del tuo sistema operativo (32 o 64 bit)
http://www.bleepingcomputer.com/downloa ... scan-tool/
Seleziona il programma, tasto destro del mouse e selezioni l'opzione "esegui come amministratore", seleziona tutte le opzioni
Clicca su "Scan" , al termine troverai 2 files FRST.txt e Addition.txt
Inseriscili su wikisend per poterli vedere
http://wikisend.com/
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: help recover instruction

Postdi alessia.pa » 06/02/16 18:26

grazie per la risposta celere; i file criptati hanno estensione .micro.
di seguito i link restituiti da wikisend:
Addition.txt

FRST.txt
alessia.pa
Newbie
 
Post: 2
Iscritto il: 06/02/16 17:01

Re: help recover instruction

Postdi Luke57 » 06/02/16 19:14

Ciao, apri un file di testo, al suo interno cOpia e incolla il seguente script:

Startup: C:\Users\Filippo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+kav.html [2016-02-03] ()
Startup: C:\Users\Filippo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+kav.png [2016-02-03] ()
Startup: C:\Users\Filippo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+kav.txt [2016-02-03] ()
2016-02-03 10:31 - 2016-02-03 10:31 - 00007856 _____ C:\Users\Public\help_recover_instructions+kav.html
2016-02-03 10:31 - 2016-02-03 10:31 - 00007856 _____ C:\Users\Public\Downloads\help_recover_instructions+kav.html
2016-02-03 10:31 - 2016-02-03 10:31 - 00007856 _____ C:\Users\Filippo\Downloads\help_recover_instructions+kav.html
2016-02-03 10:31 - 2016-02-03 10:31 - 00002097 _____ C:\Users\Public\help_recover_instructions+kav.txt
2016-02-03 10:31 - 2016-02-03 10:31 - 00002097 _____ C:\Users\Public\Downloads\help_recover_instructions+kav.txt
2016-02-03 10:31 - 2016-02-03 10:31 - 00002097 _____ C:\Users\Filippo\Downloads\help_recover_instructions+kav.txt
2016-02-03 10:28 - 2016-02-03 10:31 - 00007856 _____ C:\Users\Filippo\AppData\Roaming\Microsoft\Windows\Start Menu\help_recover_instructions+kav.html
2016-02-03 10:28 - 2016-02-03 10:31 - 00002097 _____ C:\Users\Filippo\AppData\Roaming\Microsoft\Windows\Start Menu\help_recover_instructions+kav.txt
2016-02-03 10:28 - 2016-02-03 10:28 - 00007856 _____ C:\Users\Filippo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\help_recover_instructions+kav.html
2016-02-03 10:28 - 2016-02-03 10:28 - 00007856 _____ C:\Users\Filippo\AppData\Roaming\help_recover_instructions+kav.html
2016-02-03 10:28 - 2016-02-03 10:28 - 00007856 _____ C:\Users\Filippo\AppData\LocalLow\help_recover_instructions+kav.html
2016-02-03 10:28 - 2016-02-03 10:28 - 00007856 _____ C:\Users\Filippo\AppData\help_recover_instructions+kav.html
2016-02-03 10:28 - 2016-02-03 10:28 - 00002097 _____ C:\Users\Filippo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\help_recover_instructions+kav.txt
2016-02-03 10:28 - 2016-02-03 10:28 - 00002097 _____ C:\Users\Filippo\AppData\Roaming\help_recover_instructions+kav.txt
2016-02-03 10:28 - 2016-02-03 10:28 - 00002097 _____ C:\Users\Filippo\AppData\LocalLow\help_recover_instructions+kav.txt
2016-02-03 10:28 - 2016-02-03 10:28 - 00002097 _____ C:\Users\Filippo\AppData\help_recover_instructions+kav.txt
2016-02-03 10:27 - 2016-02-03 10:31 - 00007856 _____ C:\Users\Filippo\AppData\Local\help_recover_instructions+kav.html
2016-02-03 10:27 - 2016-02-03 10:31 - 00002097 _____ C:\Users\Filippo\AppData\Local\help_recover_instructions+kav.txt
2016-02-03 10:26 - 2016-02-03 10:31 - 00007856 _____ C:\Users\Public\Documents\help_recover_instructions+kav.html
2016-02-03 10:26 - 2016-02-03 10:31 - 00002097 _____ C:\Users\Public\Documents\help_recover_instructions+kav.txt
2016-02-03 10:26 - 2016-02-03 10:27 - 00007856 _____ C:\ProgramData\help_recover_instructions+kav.html
2016-02-03 10:26 - 2016-02-03 10:27 - 00002097 _____ C:\ProgramData\help_recover_instructions+kav.txt
2016-02-03 10:28 - 2016-02-03 10:28 - 0007856 _____ () C:\Users\Filippo\AppData\Roaming\help_recover_instructions+kav.html
2016-02-03 10:28 - 2016-02-03 10:28 - 0067607 _____ () C:\Users\Filippo\AppData\Roaming\help_recover_instructions+kav.png
2016-02-03 10:28 - 2016-02-03 10:28 - 0002097 _____ () C:\Users\Filippo\AppData\Roaming\help_recover_instructions+kav.txt
2016-02-03 10:28 - 2016-02-03 10:28 - 0007856 _____ () C:\Users\Filippo\AppData\Roaming\Microsoft\help_recover_instructions+kav.html
2016-02-03 10:28 - 2016-02-03 10:28 - 0067607 _____ () C:\Users\Filippo\AppData\Roaming\Microsoft\help_recover_instructions+kav.png
2016-02-03 10:28 - 2016-02-03 10:28 - 0002097 _____ () C:\Users\Filippo\AppData\Roaming\Microsoft\help_recover_instructions+kav.txt
2016-02-03 10:27 - 2016-02-03 10:31 - 0007856 _____ () C:\Users\Filippo\AppData\Local\help_recover_instructions+kav.html
2016-02-03 10:27 - 2016-02-03 10:31 - 0067607 _____ () C:\Users\Filippo\AppData\Local\help_recover_instructions+kav.png
2016-02-03 10:27 - 2016-02-03 10:31 - 0002097 _____ () C:\Users\Filippo\AppData\Local\help_recover_instructions+kav.txt
2016-02-03 10:26 - 2016-02-03 10:27 - 0007856 _____ () C:\ProgramData\help_recover_instructions+kav.html
2016-02-03 10:26 - 2016-02-03 10:27 - 0067607 _____ () C:\ProgramData\help_recover_instructions+kav.png
2016-02-03 10:26 - 2016-02-03 10:27 - 0002097 _____ () C:\ProgramData\help_recover_instructions+kav.txt
EmptyTemp:



salva il file di testo nella stessa cartella dove hai messo FRST, nominandolo fixlist.txt, Esegui il programma frst64.exe come amministratore e clicca sull'opzione "Fix", terminata la scansione riavvia il pc.
All'interno della cartella dovresti trovare il file Fixlog.txt , postalo per vedere le eliminazioni.
Per quanto riguarda il recupero dei files è un bel problema, di seguito alcuni link utili:
http://aiuto-pc.forumfree.it/?t=70654641
http://www.ransomware.it/ransomware-teslacrypt-3-0/
https://turbolab.it/windows-10/come-rip ... locker-833
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: help recover instruction

Postdi laurelin » 08/02/16 18:05

Stesso identico problema del post... per fortuna per i dati ho una copia completa..
già scaricato il programma indicato...

FRST_08-02-2016_17-42-35.txt

Addition_08-02-2016_17-42-35.txt

grazie mille se vorrà rispondere gentilmente a questa richiesta di aiuto

Laurelin
laurelin
Newbie
 
Post: 1
Iscritto il: 08/02/16 18:02

Re: help recover instruction

Postdi Luke57 » 08/02/16 18:47

Ciao, apri un file di testo, al suo interno copia e incolla il seguente script posto all'interno del codice:

Codice: Seleziona tutto
HKU\S-1-5-21-3657191429-1067759152-1095767364-1001\...\Run: [srv-2016] => C:\Users\Enrico\AppData\Roaming\jiblhtc.exe
Startup: C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+bwe.html [2016-02-02] ()
Startup: C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+bwe.png [2016-02-02] ()
Startup: C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\help_recover_instructions+bwe.txt [2016-02-02] ()
2016-02-02 16:00 - 2016-02-02 16:00 - 00007479 _____ C:\WINDOWS\Tasks\help_recover_instructions+bwe.html
2016-02-02 16:00 - 2016-02-02 16:00 - 00002072 _____ C:\WINDOWS\Tasks\help_recover_instructions+bwe.txt
2016-02-02 15:57 - 2016-02-02 15:57 - 00007479 _____ C:\Users\Public\help_recover_instructions+bwe.html
2016-02-02 15:57 - 2016-02-02 15:57 - 00007479 _____ C:\Users\Public\Downloads\help_recover_instructions+bwe.html
2016-02-02 15:57 - 2016-02-02 15:57 - 00007479 _____ C:\Users\Enrico\help_recover_instructions+bwe.html
2016-02-02 15:57 - 2016-02-02 15:57 - 00002072 _____ C:\Users\Public\help_recover_instructions+bwe.txt
2016-02-02 15:57 - 2016-02-02 15:57 - 00002072 _____ C:\Users\Public\Downloads\help_recover_instructions+bwe.txt
2016-02-02 15:57 - 2016-02-02 15:57 - 00002072 _____ C:\Users\Enrico\help_recover_instructions+bwe.txt
2016-02-02 15:56 - 2016-02-02 15:56 - 00007479 _____ C:\Users\Enrico\Downloads\help_recover_instructions+bwe.html
2016-02-02 15:56 - 2016-02-02 15:56 - 00007479 _____ C:\Users\Enrico\Documents\help_recover_instructions+bwe.html
2016-02-02 15:56 - 2016-02-02 15:56 - 00007479 _____ C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\help_recover_instructions+bwe.html
2016-02-02 15:56 - 2016-02-02 15:56 - 00007479 _____ C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Start Menu\help_recover_instructions+bwe.html
2016-02-02 15:56 - 2016-02-02 15:56 - 00007479 _____ C:\Users\Enrico\AppData\Roaming\help_recover_instructions+bwe.html
2016-02-02 15:56 - 2016-02-02 15:56 - 00007479 _____ C:\Users\Enrico\AppData\help_recover_instructions+bwe.html
2016-02-02 15:56 - 2016-02-02 15:56 - 00002072 _____ C:\Users\Enrico\Downloads\help_recover_instructions+bwe.txt
2016-02-02 15:56 - 2016-02-02 15:56 - 00002072 _____ C:\Users\Enrico\Documents\help_recover_instructions+bwe.txt
2016-02-02 15:56 - 2016-02-02 15:56 - 00002072 _____ C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\help_recover_instructions+bwe.txt
2016-02-02 15:56 - 2016-02-02 15:56 - 00002072 _____ C:\Users\Enrico\AppData\Roaming\Microsoft\Windows\Start Menu\help_recover_instructions+bwe.txt
2016-02-02 15:56 - 2016-02-02 15:56 - 00002072 _____ C:\Users\Enrico\AppData\Roaming\help_recover_instructions+bwe.txt
2016-02-02 15:56 - 2016-02-02 15:56 - 00002072 _____ C:\Users\Enrico\AppData\help_recover_instructions+bwe.txt
2016-02-02 15:55 - 2016-02-02 15:55 - 00007479 _____ C:\Users\Enrico\AppData\LocalLow\help_recover_instructions+bwe.html
2016-02-02 15:55 - 2016-02-02 15:55 - 00002072 _____ C:\Users\Enrico\AppData\LocalLow\help_recover_instructions+bwe.txt
2016-02-02 15:50 - 2016-02-02 15:57 - 00007479 _____ C:\Users\Public\Documents\help_recover_instructions+bwe.html
2016-02-02 15:50 - 2016-02-02 15:57 - 00002072 _____ C:\Users\Public\Documents\help_recover_instructions+bwe.txt
2016-02-02 15:50 - 2016-02-02 15:56 - 00007479 _____ C:\Users\Enrico\AppData\Local\help_recover_instructions+bwe.html
2016-02-02 15:50 - 2016-02-02 15:56 - 00002072 _____ C:\Users\Enrico\AppData\Local\help_recover_instructions+bwe.txt
2016-02-02 15:50 - 2016-02-02 15:50 - 00007479 _____ C:\Users\Enrico\AppData\Local\Apps\help_recover_instructions+bwe.html
2016-02-02 15:50 - 2016-02-02 15:50 - 00007479 _____ C:\ProgramData\help_recover_instructions+bwe.html
2016-02-02 15:50 - 2016-02-02 15:50 - 00002072 _____ C:\Users\Enrico\AppData\Local\Apps\help_recover_instructions+bwe.txt
2016-02-02 15:50 - 2016-02-02 15:50 - 00002072 _____ C:\ProgramData\help_recover_instructions+bwe.txt
2016-02-02 15:44 - 2016-02-02 15:44 - 00000253 _____ C:\Users\Enrico\Documents\recover_file_baybhcmdt.txt
2016-02-02 15:44 - 2016-02-02 15:43 - 00487424 _____ C:\Users\Enrico\AppData\Roaming\nhekyev.exe
2016-02-02 15:56 - 2016-02-02 15:56 - 0067278 _____ () C:\Users\Enrico\AppData\Roaming\help_recover_instructions+bwe.png
2016-02-02 15:56 - 2016-02-02 15:56 - 0002072 _____ () C:\Users\Enrico\AppData\Roaming\help_recover_instructions+bwe.txt
2016-02-02 15:44 - 2016-02-02 15:43 - 0487424 _____ () C:\Users\Enrico\AppData\Roaming\nhekyev.exe
2016-02-02 15:56 - 2016-02-02 15:56 - 0007479 _____ () C:\Users\Enrico\AppData\Roaming\Microsoft\help_recover_instructions+bwe.html
2016-02-02 15:56 - 2016-02-02 15:56 - 0067278 _____ () C:\Users\Enrico\AppData\Roaming\Microsoft\help_recover_instructions+bwe.png
2016-02-02 15:56 - 2016-02-02 15:56 - 0002072 _____ () C:\Users\Enrico\AppData\Roaming\Microsoft\help_recover_instructions+bwe.txt
2016-02-02 15:50 - 2016-02-02 15:56 - 0007479 _____ () C:\Users\Enrico\AppData\Local\help_recover_instructions+bwe.html
2016-02-02 15:50 - 2016-02-02 15:56 - 0067278 _____ () C:\Users\Enrico\AppData\Local\help_recover_instructions+bwe.png
2016-02-02 15:50 - 2016-02-02 15:56 - 0002072 _____ () C:\Users\Enrico\AppData\Local\help_recover_instructions+bwe.txt
2015-01-30 23:54 - 2015-01-30 23:54 - 0029067 _____ () C:\Users\Enrico\AppData\Local\WiDiSetupLog.20150130.235413.wdl
2016-02-02 15:50 - 2016-02-02 15:50 - 0007479 _____ () C:\ProgramData\help_recover_instructions+bwe.html
2016-02-02 15:50 - 2016-02-02 15:50 - 0067278 _____ () C:\ProgramData\help_recover_instructions+bwe.png
2016-02-02 15:50 - 2016-02-02 15:50 - 0002072 _____ () C:\ProgramData\help_recover_instructions+bwe.txt
Empytemp:


salva il file di testo nella stessa cartella dove hai messo FRST, nominandolo fixlist.txt. Esegui il programma frst64.exe come amministratore e clicca sull'opzione "Fix", terminata la scansione riavvia il pc.
All'interno della cartella dovresti trovare il file Fixlog.txt , postalo per vedere le eliminazioni.
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: help recover instruction

Postdi fisko » 09/02/16 22:43

Buonasera, ho lo stesso problema di alessia.pa: come posso fare?
fisko
Newbie
 
Post: 5
Iscritto il: 08/01/08 16:51

Re: help recover instruction

Postdi maicol93star » 09/02/16 22:45

aiutatemi per favore, ho trovato parecchie delle mie foto criptate con file (.micro) e non so proprio come sbloccarle.... mi dice help recover instruction
maicol93star
Newbie
 
Post: 1
Iscritto il: 09/02/16 22:43

Re: help recover instruction

Postdi Luke57 » 10/02/16 09:05

@maicol93star
@fisko
per la decriptazione dei files, al momento, ci sono poche speranze per questa variante di ramsomware
Per maggiori informazioni seguite qui:
http://www.ilsoftware.it/articoli.asp?t ... ware_13363
Una guida si trova anche qui:
http://aiuto-pc.forumfree.it/?t=70654641&st=75

E' possibile inviare i files corrotti a dr.web per verificare la possibilità di un recupero (l'analisi non costa niente, il recupero, se possibile, costa sui 200 euro)
https://support.drweb.com/new/free_unlo ... de/?lng=en
Luke57
Moderatore
 
Post: 6413
Iscritto il: 11/08/05 19:10

Re: help recover instruction

Postdi fisko » 10/02/16 11:34

@Luke57
A tuo avviso sarà possibile che sviluppino qualche software gratuito per decriptare i file nel giro di qualche settimana o anche meno?
Le persone colpite da questo maledetto ramsomware sembrano davvero parecchie
fisko
Newbie
 
Post: 5
Iscritto il: 08/01/08 16:51

Re: help recover instruction

Postdi fisko » 11/02/16 10:21

Considerazione: ma se l'autore del trojan per risolvere il problema chiede più soldi (senza avere certezze di recupero) di chi lo fa per mestiere (ci sono siti specializzati), non sorge spontanea una domanda?
fisko
Newbie
 
Post: 5
Iscritto il: 08/01/08 16:51


Torna a Sicurezza e Privacy


Topic correlati a "help recover instruction":


Chi c’è in linea

Visitano il forum: Nessuno e 34 ospiti