File criptati e modificati nell'estensione finale con .enc.r

[Andrea60]

Salve a tutti.

Ho cercato in questo forum un problema simile al mio, senza trovarlo.

Ecco il problema.
Ho scaricato da un sito straniero, mi pare russo, un file con estensione .scr , che credevo fosse un nuovo tipo di video, ma quando l’ho aperto è apparso l’avviso di "ZoneAlarm" che era un file sospetto; ho cliccato alla voce “non permettere”, ma continuava a riaprirsi l’avviso di ZoneAlarm, per moltissime volte, fino a quando ho provato a disabilitare la voce “memorizza impostazione” (in modo da non riattivarla) e poi ho cliccato “permettere”. L’avviso è subito sparito, ma poi mi sono accorto che è stata rinominata l’estensione di molti file nel disco fisso del mio computer ed anche nel disco fisso abbinato contenente il mio archivio di foto, libri digitali e video, modificati con una nuova estensione (ad esempio un file .doc è stato cambiato nella parte finale: nome-file.doc.enc.rtf ) ma solo tutti i file con estensione .doc - .pdf - .jpg - .zip - .avi - .wmv - .mpg – INVECE non sono state rinominate le estensioni dei file .exe - .gif - .cbr - .wav - .mp4 - .flv - .VOB

Ho provato manualmente a rinominare un file che era .doc, togliendo la nuova estensione criptata, ma il file originario non si apre ed al suo posto si apre una pagina in cui c’è scritto in 3 lingue, escluso italiano:

[EN] The file is encrypted
To decrypt the file, follow these steps:
1. Disable antivirus (and firewall) installed on your computer
2. Enable internet connection
3. Unpack the archive C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\XUOWfvWD\ilTFUBGq.zip (or archive with the same name on your desktop). Password BmyZWWiq
4. Run the unzipped MDgMpXCk.exe
5. Enter the correct code voucher Ukash, Paysafecard or MoneyPack
6. Do not restart the computer. Expect complete decoding


TRADOTTO CON GOOGLE

[IT] Il file è crittografato
Per decriptare il file, attenersi alla seguente procedura:
1. Disabilitare Antivirus (e firewall) installato sul computer
2. Abilita connessione a internet
3. Estrarre l'archivio C: \ Documents and Settings \ INTEL 2013 \ Impostazioni Locali \ Dati Applicazioni \ XUOWfvWD \ ilTFUBGq.zip (o archivio con lo stesso nome sul desktop). password BmyZWWiq
4. Eseguire il decompresso MDgMpXCk.exe
5. Inserire il voucher codice corretto Ukash, Paysafecard o MoneyPack
6. Non riavviare il computer. Aspettatevi decodifica completa

_________________________________________

Ho capito che il malware ha installato tale pagina word in qualche parte dell'HD che non ho ancora trovato, e la crittografia potrebbe essere solo un collegamento a tale pagina, ma il problema è scoprire dov'è, e vedere cosa succede se si elimina.

Se può servire posso allegare uno dei file crittografati ma in questo forum non riesco a trovare tale opzione.

Ho un computer abbastanza potente assemblato da me anno scorso dove ho installato Windows XP professional 2002 con tutti gli aggiornamenti e Service Pack 3; il motivo per cui ho installato XP è perchè ho molti programmi vecchi che non si possono installare sui successivi sistemi operativi di Microsoft. Nel pc sono installati: ZoneAlarm Antivirus e ZoneAlarm Firewall aggiornati, ed anche ZoneAlarm Security Toolbar.

Dopo varie ricerche e prove ho capito che si tratta di un malware che ha crittografato i file con le estensioni che ho citato con l'intenzione di farsi inviare denaro con l'inganno di sbloccare i file, ma non servirebbe a niente pagare.

Una cosa importante è che ho notato che la dimensione dei file crittografati non è stata modificata e non mi pare che sia stata creata nessuna copia da altre parti.
In caso possa servire possiedo una parte dei file originali in un altro computer, che possono essere confrontati con quelli criptati.

Sono riuscito a scoprire e rimuovere i malware:
C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\fELcNauI.exe
Zone Alarm mi segnalava che questo file voleva aprire questi altri due file
WUAUSERV
WSCSVC
In un'altra cartella ho trovato anche questi due file:
C:\Documents and Settings\INTEL-2013\Menu Avvio\Programmi\Esecuzione automatica\
JtvfEBGz.exe
EwjdHPHfWO.exe

Ho trovato anche la cartella indicata dal malware con il nome XUOWfvWD contenente il file zip che richiedono di aprire: ilTFUBGq.zip
Li ho memorizzati su una penna usb e poi li ho cancellati anche dal cestino.

Poi sono riuscito a ripulire il sistema operativo facendo alcune scansioni con “Malwarebytes Anti-Malware”, ed anche “adwcleaner”,che hanno rilevato e messo in quarantena molti file infetti e sospetti; poi ho installato "Junk Removal Tool", ed anche "HitmanPro" e con diverse scansioni ho eliminato tantissimi altri file sospetti.

Ormai il computer risulta ripulito, ma forse sarebbe utile usare anche ComboFix?

Ora mi manca solo trovare il modo di sbloccare i file crittografati e poi andrò a presentare una querela dettagliata alla Polizia postale, che almeno serva per fermare il pazzo delinquente che ha creato tale malware, sperando che si riesca a rintracciarlo con il link del sito dove proviene quel file con estensione .scr.

Come posso procedere per decriptare tutti i file e rinominarli in originale?

[[Claudio]]

Ora mi manca solo trovare il modo di sbloccare i file crittografati

Non è detto ci riuscirai, dipende dal tipo di ransomware e crittografia utilizzata (questo, per non farti illudere, quindi preparati all'idea di non poter recuperare i file, spero tu abbia un backup).

Intanto, allega i report di Mlawarebytes e HitmanPro (per allegarli utilizza la funzione SPOILER integrata nell'editor di testo del forum) e vediamo di capire di che ransomware di tratta.

e poi andrò a presentare una querela dettagliata alla Polizia postale, che almeno serva per fermare il pazzo delinquente che ha creato tale malware, sperando che si riesca a rintracciarlo con il link del sito dove proviene quel file con estensione .scr.

Se hai tempo da perdere .... comunque non otterrai proprio nulla.

[speedyant]

Ho dovuto risolvere un problema simile presso una ditta, se non ci fossero stati backup su un sistema "non raggiungibile" sarebbe stato un "bagno di sangue".

Quindi, dopo essersi assicurati della "pulizia" del pc, mano alle copie e inizia il ripristino dei dati.

[Andrea60]

Purtroppo ho solo una parte dei dati, che sono dentro l'HD del Pentium 4 che usavo prima, ma non ho copie di tutti i nuovi file, in genere immagini JPG frutto di un lungo lavoro personale. Devo a tutti costi trovare la chiave per decrittare tutto, a costo di scoprire il proprietario di quel sito ed andare in Germania a costringerlo a riparare al danno, pena la perdita di un suo occhio.

[[Claudio]]

Devo a tutti costi trovare lachiave per decrittare tutto, a costo di scoprire il proprietario di quel sito ed andare in Germania a costringerlo a riparare al danno.

Beh ... allora la cosa è semplice: paga (le istruzioni te le hanno fornite), e ti daranno la chiave per rientrare in possesso dei tuoi file.

Però .....

Intanto, allega i report di Mlawarebytes e HitmanPro (per allegarli utilizza la funzione SPOILER integrata nell'editor di testo del forum) e vediamo di capire di che ransomware di tratta.

E se abbiamo un pò di fortuna, grazie a questo:

Purtroppo ho solo una parte dei dati, che sono dentro l'HD del Penitum 4 che usavo prima ..

riusciamo a recuperare tutti i file ( ...... se abbiamo un pò di fortuna ..... perchè, come già detto, dipende dalle caratteristiche del ransomware .... ).

[Andrea60]

Ovviamente se pagassi perderei il denaro e non otterei niente, perchè i delinquenti non mantengono la parola.

Questa è la prima scansione fatta con Malwarebytes Anti-Malware; quelli di Hitman non li trovo, non sono nella sua cartella.

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Data scansione: 11/07/2014
Ora scansione: 18.25.33
File di log: SCANSIONE ELEMENTI NOCIVI 11 LUGLIO 2014.txt
Amministratore: Si

Versione: 2.00.2.1012
Database malware: v2014.07.11.08
Database rootkit: v2014.07.09.01
Licenza: Free
Protezione da malware: Disattivata
Protezione da siti web nocivi: Disattivata
Self-protection: Disattivata

SO: Windows XP Service Pack 3
CPU: x86
File system: NTFS
Utente: INTEL-2013

Tipo di scansione: Scansione elementi nocivi
Risultati: Completata
Elementi analizzati: 337230
Tempo impiegato: 9 min, 20 sec

Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Disattivata
Heuristics: Attivata
PUP: Attivata
PUM: Attivata

Processi: 0
(No malicious items detected)

Moduli: 0
(No malicious items detected)

Chiavi di registro: 21
PUP.Optional.BubbleDock.A, HKLM\SOFTWARE\CLASSES\CLSID\{23AF19F7-1D5B-442c-B14C-3D1081953C94}, Spostato in quarantena, [bd87abf3fe7d75c199a2450f43bff20e],
PUP.Optional.BubbleDock.A, HKLM\SOFTWARE\CLASSES\TYPELIB\{17734227-EAAA-4c5e-9AA3-036AD981B3A6}, Spostato in quarantena, [bd87abf3fe7d75c199a2450f43bff20e],
PUP.Optional.BubbleDock.A, HKLM\SOFTWARE\CLASSES\INTERFACE\{8C973B84-E6DA-49D8-B786-9C93C2E587F5}, Spostato in quarantena, [bd87abf3fe7d75c199a2450f43bff20e],
PUP.Optional.BubbleDock.A, HKLM\SOFTWARE\CLASSES\Nosibay.SurfMatch.1, Spostato in quarantena, [bd87abf3fe7d75c199a2450f43bff20e],
PUP.Optional.BubbleDock.A, HKLM\SOFTWARE\CLASSES\Nosibay.SurfMatch, Spostato in quarantena, [bd87abf3fe7d75c199a2450f43bff20e],
PUP.Optional.BubbleDock.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXP LORER\BROWSER HELPER OBJECTS\{23AF19F7-1D5B-442C-B14C-3D1081953C94}, Spostato in quarantena, [bd87abf3fe7d75c199a2450f43bff20e],
PUP.Optional.BubbleDock.A, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\ST ATS\{23AF19F7-1D5B-442C-B14C-3D1081953C94}, Spostato in quarantena, [bd87abf3fe7d75c199a2450f43bff20e],
PUP.Optional.BrowseFox.A, HKLM\SOFTWARE\CLASSES\CLSID\{4AA46D49-459F-4358-B4D1-169048547C23}, Spostato in quarantena, [ad977628601b83b34ef74a40c63c7a86],
PUP.Optional.BrowseMark.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNI NSTALL\BrowseMark, Spostato in quarantena, [94b0237b4d2e44f27ab6963d996956aa],
PUP.Optional.BrowseMark.A, HKLM\SOFTWARE\BrowseMark, Spostato in quarantena, [7bc9405e23584ee8c86a894a8979f808],
PUP.Optional.BubbleDock.A, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\kbjlipmgfoa mgjaogmbihaffnpkpjajp, Spostato in quarantena, [053fff9fb8c339fd29876b4f42c0f808],
PUP.Optional.ViewPassWord.A, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\ViewPasswor d, Spostato in quarantena, [54f0e3bbf586f34372f540d68381c23e],
PUP.Optional.BrowseMark.A, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\BrowseMark, Spostato in quarantena, [4004fca277048fa73ff2844f1ce61be5],
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE\1I1T1Q1S, Spostato in quarantena, [360e316d5427ab8bdb093da22dd5e020],
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE, Spostato in quarantena, [4df7e2bca7d413235e8de114758eac54],
PUP.Optional.BubbleDock.A, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\NOSIBAY\Bubble Dock Tag, Spostato in quarantena, [172dbee05a210f27b4e07f62768c1be5],
PUP.Optional.ViewPassword.A, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXP LORER\BROWSER HELPER OBJECTS\{84BD9232-A086-BADC-9C5B-8A8D5A2BE50E}, Spostato in quarantena, [e361128c7dfe52e4f3785a466f95c13f],
PUP.Optional.ViewPassword.A, HKLM\SOFTWARE\CLASSES\CLSID\{84BD9232-A086-BADC-9C5B-8A8D5A2BE50E}, Spostato in quarantena, [e361128c7dfe52e4f3785a466f95c13f],
PUP.Optional.ViewPassword.A, HKLM\SOFTWARE\CLASSES\TYPELIB\{5DD8EE61-5590-AB1A-63CC-C21A98FE7AE6}, Spostato in quarantena, [e361128c7dfe52e4f3785a466f95c13f],
PUP.Optional.ViewPassword.A, HKLM\SOFTWARE\CLASSES\INTERFACE\{250BB587-E9E0-F277-E757-6512F9E97626}, Spostato in quarantena, [e361128c7dfe52e4f3785a466f95c13f],
PUP.Optional.ViewPassword.A, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\ST ATS\{84BD9232-A086-BADC-9C5B-8A8D5A2BE50E}, Spostato in quarantena, [e361128c7dfe52e4f3785a466f95c13f],

Valori di registro: 4
Trojan.Kelihos.ED, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Rd slmJeE, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Paint.NET\PRJqrEQV.exe, Spostato in quarantena, [4cf8841abfbcd95d0932d1b0837e34cc]
PUP.Optional.BubbleDock.A, HKLM\SOFTWARE\MOZILLA\FIREFOX\EXTENSIONS|bubbledoc k@nosibay.com, C:\Programmi\Nosibay\Bubble Dock\extensions\FFSurfMatch, Spostato in quarantena, [50f4712d96e5d462663a637180828a76]
PUP.Optional.InstallCore.A, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\INSTALLCORE|tb, 0I2Z1H1E2V1R0O1O, Spostato in quarantena, [4df7e2bca7d413235e8de114758eac54]
PUP.Optional.BubbleDock.A, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Bu bble Dock, "C:\Documents and Settings\INTEL-2013\Dati applicazioni\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup, Spostato in quarantena, [d371544aafcc4aec590e7e75b84bd32d]

Dati di registro: 4
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Buono: (0), Cattivo (1),Sostituito,[82c2fda15f1c15214c2f75222cd8b44c]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Buono: (0), Cattivo (1),Sostituito,[fe46346a89f279bd5b21ff9846be718f]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Buono: (0), Cattivo (1),Sostituito,[c0847d213348f046760793041de7837d]
PUM.Hijack.TaskManager, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICI ES\SYSTEM|DisableTaskMgr, 1, Buono: (0), Cattivo (1),Sostituito,[4004bde12457f73fe980a8f11aea6a96]

Cartelle: 9
PUP.Optional.BrowseMark.A, C:\Programmi\BrowseMark, Spostato in quarantena, [94b0237b4d2e44f27ab6963d996956aa],
PUP.Optional.Datamngr.A, C:\Documents and Settings\INTEL-2013\AppData\LocalLow\DataMngr, Spostato in quarantena, [96ae8d11017a8da9a32a9d06f21032ce],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\TelevisionFanatic, Spostato in quarantena, [0044adf11d5e43f31fdf2680c042758b],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\chrome, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\META-INF, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\plugins, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\hbcennhacfaagdopikcegfcobcadeocj, Spostato in quarantena, [69db811d7902ff37e0df535d5ba7ba46],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\pfndaklgolladniicklehhancnlgocpp, Spostato in quarantena, [57ed346aa5d68ea88f31f6ba946e11ef],

File: 49
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\fELcNauI.exe, Elimina al riavvio, [a89c5648e5960f27003bdda4f60b15eb],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\EwjdHPHfWO.exe, Elimina al riavvio, [380cf2ace19a83b3ad8ec1c0de23bc44],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Paint.NET\PRJqrEQV.exe, Spostato in quarantena, [4cf8841abfbcd95d0932d1b0837e34cc],
PUP.Optional.InstallCore, C:\Programmi\UltimateCodec.exe, Spostato in quarantena, [ce760995e4970a2c11861372867e649c],
Adware.Agent, C:\Programmi\PDFReaderSetup.exe, Spostato in quarantena, [7dc749554338cc6a82320d7613ed09f7],
PUP.Optional.Firseria, C:\RECYCLER\S-1-5-21-1606980848-861567501-725345543-1003\Dc187.exe, Spostato in quarantena, [2c180c929ae148ee217c6062729213ed],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Menu Avvio\Programmi\Esecuzione automatica\JtvfEBGz.exe, Spostato in quarantena, [d272a3fbaccf6ec86fccc3be26db3bc5],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\tCBTornMOF.exe, Spostato in quarantena, [3410247a95e61026ff3c156cee13e719],
PUP.Optional.Somoto.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\rad11510.tmp_update.exe, Spostato in quarantena, [fb498a14c5b6f93d85c0d96f778901ff],
PUP.Optional.BubbleDock.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\n1153\BubbleFootballIT_0606-808ad5a9.exe, Spostato in quarantena, [e95bd3cbe9923303d4b8b78ad22f738d],
PUP.Optional.BundleInstaller.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\n1153\s1153.exe, Spostato in quarantena, [21231985f784bf771888ee594cb424dc],
PUP.Optional.BubbleDock.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\1462014140550\Uninstall Bubble Dock.exe, Spostato in quarantena, [212377274b3038fe008cf44d748dbd43],
PUP.Optional.Superfish.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage, Spostato in quarantena, [78cc17871665ec4a7c31973036cc8b75],
PUP.Optional.Superfish.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Storage\http_www.superfish.com_0.localstorage-journal, Spostato in quarantena, [3a0a742aabd012247538982f02009f61],
PUP.Optional.CrossRider.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Storage\chrome-extension_akdojefgphalhhkagafpcoakgboeokdl_0.local storage-journal, Spostato in quarantena, [3d070f8fb8c3f4422702ba0ef21042be],
PUP.Optional.VOPackage.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\VOPackage\VOPackage.exe, Spostato in quarantena, [390b1b834c2faa8c19b7a6227a88e719],
PUP.Optional.BrowseMark.A, C:\Programmi\BrowseMark\BrowseMark.ico, Spostato in quarantena, [94b0237b4d2e44f27ab6963d996956aa],
PUP.Optional.BrowseMark.A, C:\Programmi\BrowseMark\7za.exe, Spostato in quarantena, [94b0237b4d2e44f27ab6963d996956aa],
PUP.Optional.BrowseMark.A, C:\Programmi\BrowseMark\BrowseMarkUninstall.exe, Spostato in quarantena, [94b0237b4d2e44f27ab6963d996956aa],
PUP.Optional.BrowseMark.A, C:\Programmi\BrowseMark\Thumbs.db, Spostato in quarantena, [94b0237b4d2e44f27ab6963d996956aa],
PUP.Optional.ViewPassword.A, C:\WINDOWS\Tasks\ViewPassword Update.job, Spostato in quarantena, [6ed6425cb0cb68cec7e7e0f3b64cad53],
PUP.Optional.ViewPassword.A, C:\WINDOWS\Tasks\ViewPassword_wd.job, Spostato in quarantena, [50f4544a7cff83b3edc1755ee81a6997],
PUP.Optional.Bubbledock.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Bubble Dock.boostrap.log, Spostato in quarantena, [2e16524cec8f68ceb19c914ee81af10f],
PUP.Optional.AmazonBrowserBar.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Storage\chrome-extension_pbjikboenpfhbbejgkoklgkhjpfogcam_0.local storage, Spostato in quarantena, [ce76d6c822594de99b48987ccc38dc24],
PUP.Optional.Datamngr.A, C:\Documents and Settings\INTEL-2013\AppData\LocalLow\DataMngr\{2ad95a4b-54b3-4570-bc8b-e85db90c1775}, Spostato in quarantena, [96ae8d11017a8da9a32a9d06f21032ce],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\TelevisionFanatic\58E454F2-F843-40E4-8D57-9DCC73B6C860.sqlite, Spostato in quarantena, [0044adf11d5e43f31fdf2680c042758b],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\bootstrap.js, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\chrome.manifest, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\install.rdf, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\install_no_bootstrap.rdf, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\chrome\64ffxtbr.jar, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\META-INF\manifest.mf, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\META-INF\zigbert.rsa, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\META-INF\zigbert.sf, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.MindSpark.A, C:\Documents and Settings\INTEL-2013\Dati applicazioni\Mozilla\Firefox\Profiles\sv76145n.def ault-1385792483703\extensions\64ffxtbr@TelevisionFanati c.com\plugins\NativeMessagingDispatcher.dll, Spostato in quarantena, [4103940a83f82b0b84bc446630d256aa],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\hbcennhacfaagdopikcegfcobcadeocj\000005.s st, Spostato in quarantena, [69db811d7902ff37e0df535d5ba7ba46],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\hbcennhacfaagdopikcegfcobcadeocj\000076.l og, Spostato in quarantena, [69db811d7902ff37e0df535d5ba7ba46],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\hbcennhacfaagdopikcegfcobcadeocj\CURRENT, Spostato in quarantena, [69db811d7902ff37e0df535d5ba7ba46],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\hbcennhacfaagdopikcegfcobcadeocj\LOCK, Spostato in quarantena, [69db811d7902ff37e0df535d5ba7ba46],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\hbcennhacfaagdopikcegfcobcadeocj\LOG, Spostato in quarantena, [69db811d7902ff37e0df535d5ba7ba46],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\hbcennhacfaagdopikcegfcobcadeocj\LOG.old, Spostato in quarantena, [69db811d7902ff37e0df535d5ba7ba46],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\hbcennhacfaagdopikcegfcobcadeocj\MANIFEST-000075, Spostato in quarantena, [69db811d7902ff37e0df535d5ba7ba46],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\pfndaklgolladniicklehhancnlgocpp\000005.s st, Spostato in quarantena, [57ed346aa5d68ea88f31f6ba946e11ef],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\pfndaklgolladniicklehhancnlgocpp\000076.l og, Spostato in quarantena, [57ed346aa5d68ea88f31f6ba946e11ef],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\pfndaklgolladniicklehhancnlgocpp\CURRENT, Spostato in quarantena, [57ed346aa5d68ea88f31f6ba946e11ef],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\pfndaklgolladniicklehhancnlgocpp\LOCK, Spostato in quarantena, [57ed346aa5d68ea88f31f6ba946e11ef],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\pfndaklgolladniicklehhancnlgocpp\LOG, Spostato in quarantena, [57ed346aa5d68ea88f31f6ba946e11ef],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\pfndaklgolladniicklehhancnlgocpp\LOG.old, Spostato in quarantena, [57ed346aa5d68ea88f31f6ba946e11ef],
PUP.Optional.Spigot.A, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Google\Chrome\User Data\Default\Local Extension Settings\pfndaklgolladniicklehhancnlgocpp\MANIFEST-000075, Spostato in quarantena, [57ed346aa5d68ea88f31f6ba946e11ef],

Settori fisici: 0
(No malicious items detected)

[Andrea60]

Questi sono i file messi in quarantena nella seconda scansione:

Malwarebytes Anti-Malware
www.malwarebytes.org

Data scansione: 11/07/2014
Ora scansione: 18.51.19
File di log: SCANSIONE ELEMENTI NOCIVI 11 LUGLIO 2014-2.txt
Amministratore: Si

Versione: 2.00.2.1012
Database malware: v2014.07.11.08
Database rootkit: v2014.07.09.01
Licenza: Free
Protezione da malware: Disattivata
Protezione da siti web nocivi: Disattivata
Self-protection: Disattivata

SO: Windows XP Service Pack 3
CPU: x86
File system: NTFS
Utente: INTEL-2013

Tipo di scansione: Scansione elementi nocivi
Risultati: Completata
Elementi analizzati: 370118
Tempo impiegato: 7 min, 3 sec

Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Disattivata
Heuristics: Attivata
PUP: Attivata
PUM: Attivata

Processi: 0
(No malicious items detected)

Moduli: 0
(No malicious items detected)

Chiavi di registro: 0
(No malicious items detected)

Valori di registro: 0
(No malicious items detected)

Dati di registro: 4
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Buono: (0), Cattivo (1),Sostituito,[14305b432e4d53e3bfbc1681cc387a86]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Buono: (0), Cattivo (1),Sostituito,[0b39c0de4e2dfe38b7c5f5a2679d11ef]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Buono: (0), Cattivo (1),Sostituito,[8bb9831b3645a294601d5740da2a26da]
PUM.Hijack.TaskManager, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICI ES\SYSTEM|DisableTaskMgr, 1, Buono: (0), Cattivo (1),Sostituito,[6ed6c9d5067582b44128ecad1be946ba]

Cartelle: 0
(No malicious items detected)

File: 4
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\fELcNauI.exe, Elimina al riavvio, [96ae356996e5a1954deea2dfe51c7789],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\EwjdHPHfWO.exe, Elimina al riavvio, [66de6c321f5c6cca32093b46bd44b44c],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Menu Avvio\Programmi\Esecuzione automatica\JtvfEBGz.exe, Spostato in quarantena, [2024247a3d3ecc6aa3989ae737ca2fd1],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\NokiaAccount\BrawZjFy.exe, Spostato in quarantena, [3f0538661f5c2f0740fb0978c140c23e],

Settori fisici: 0
(No malicious items detected)


(end)

Questi sono i file della terza scansione:

Malwarebytes Anti-Malware
www.malwarebytes.org

Data scansione: 11/07/2014
Ora scansione: 20.40.34
File di log: SCANSIONE ELEMENTI NOCIVI 11 LUGLIO 2014-3.txt
Amministratore: Si

Versione: 2.00.2.1012
Database malware: v2014.07.11.08
Database rootkit: v2014.07.09.01
Licenza: Free
Protezione da malware: Disattivata
Protezione da siti web nocivi: Disattivata
Self-protection: Disattivata

SO: Windows XP Service Pack 3
CPU: x86
File system: NTFS
Utente: INTEL-2013

Tipo di scansione: Scansione elementi nocivi
Risultati: Completata
Elementi analizzati: 374593
Tempo impiegato: 7 min, 55 sec

Memoria: Attivata
Esecuzioni automatiche: Attivata
File system: Attivata
Archivi compressi: Attivata
Rootkit: Disattivata
Heuristics: Attivata
PUP: Attivata
PUM: Attivata

Processi: 0
(No malicious items detected)

Moduli: 0
(No malicious items detected)

Chiavi di registro: 0
(No malicious items detected)

Valori di registro: 0
(No malicious items detected)

Dati di registro: 4
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|AntiVirusDisableNotify, 1, Buono: (0), Cattivo (1),,[f54fd0ceccaf2d09c1ba3c5bd72daa56]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|FirewallDisableNotify, 1, Buono: (0), Cattivo (1),,[47fd5c420279ef47c7b5e0b70bf9d927]
PUM.Disabled.SecurityCenter, HKLM\SOFTWARE\MICROSOFT\SECURITY CENTER|UpdatesDisableNotify, 1, Buono: (0), Cattivo (1),,[f54fcfcf1e5df0462d50593e6e967a86]
PUM.Hijack.TaskManager, HKU\S-1-5-21-1606980848-861567501-725345543-1003-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICI ES\SYSTEM|DisableTaskMgr, 1, Buono: (0), Cattivo (1),,[5de7a6f81f5c2610c5a4a7f27b89a060]

Cartelle: 0
(No malicious items detected)

File: 4
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\fELcNauI.exe, , [d1733668b9c2cb6b8fac5d24d32ee719],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Temp\EwjdHPHfWO.exe, , [aa9aa7f726554ceaad8e8cf5a958c23e],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Menu Avvio\Programmi\Esecuzione automatica\JtvfEBGz.exe, , [ce76831b7cff69cd3209e59cc73aaf51],
Trojan.Kelihos.ED, C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\Netscape\uIAtgfDJ.exe, , [93b10b932e4da19552e99ae761a02dd3],

Settori fisici: 0
(No malicious items detected)


(end)

[Andrea60]

Se può servirvi, posso allegare un file JPG prima, e lo stesso file dopo la modifica del malware, ma in questo forum non ho trovato il modo di allegarli.

Ho notato che il malware ha criptato anche tutti i file con estensione .png - .rar - .mdb - .mpeg - .mpg - .wmv

Ho controllato i tantissimi file di Windows XP e non sono stati criptati nessuno, evidentemente chi ha progettato il malware ha deciso di risparmiare tutti i file di Microsoft perchè in caso contrario il computer si sarebbe spento e non più riavviato, quindi nessuno avrebbe più potuto leggere la pagina in 3 lingue e cadere nella trappola di pagare. Questo era logico, ma ora ne ho avuto la conferma.
Il sistema operativo è rimasto esattamente come era, anzi con le varie pulizie è stato ripulito da eventuali virus che ZoneAlarm non era riuscito a riconoscere.

[The Doctor]

Se può servirvi, posso allegare un file JPG prima, e lo stesso file dopo la modifica del malware, ma in questo forum non ho trovato il modo di allegarli.

Hai provato con il cerca?

https://turbolab.it/24

[Andrea60]

Ho scoperto che non c'è nessun collegamento alla pagina scritta in 3 lngue, poichè tale testo è stato aggiunto dal malware all'interno di ogni file e viene normalmente aperto da un qualsiasi word processor che supporti RTF perchè è contenuto nella prima parte del file, e quindi il resto del contenuto del file viene ignorato.

Ho provato con due file VIDEO.avi che sono stati modificati con l'estensione VIDEO.avi.enc.rtf e li ho rinominati come in originale, ma non si aprono con vari lettori, però se rinomino l'estensione in VIDEO.flv, aprendolo con VideoLan, si sente l'audio però non si vede il video. Questo dovrebbe dimostrare che il file è rimasto intatto, ma è stato "bloccato" diciamo pure criptato, però le sue dimensioni sono rimaste invariate, e d'altronde sarebbe stato azzardato ed inutile per l'haker fare convertire dei file di grosse dimensioni come i video, che come minimo avrebbero richiesto ognuno vari minuti, che moltiplicati per tutti i file sarebbe diventato un tempo troppo grande. Quindi i file sono intatti, solo che sono stati bloccati.


Questo è lo scritto in 3 lingue che si apre ogni volta che si clicca un qualasiasi file criptato:

[EN] The file is encrypted
To decrypt the file, follow these steps:
1. Disable antivirus (and firewall) installed on your computer
2. Enable internet connection
3. Unpack the archive C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\XUOWfvWD\ilTFUBGq.zip (or archive with the same name on your desktop). Password BmyZWWiq
4. Run the unzipped MDgMpXCk.exe
5. Enter the correct code voucher Ukash, Paysafecard or MoneyPack
6. Do not restart the computer. Expect complete decoding

[FR] le fichier est crypté
Pour déchiffrer le fichier, procédez comme suit:
1. Désactiver l'antivirus (et pare-feu) installé sur votre ordinateur
2. Activer connexion internet
3. Décompressez l'archive C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\XUOWfvWD\ilTFUBGq.zip (archiver avec le même nom sur votre bureau). Mot de passe BmyZWWiq
4. Exécutez le fichier MDgMpXCk.exe décompressé
5. Entrez le code coupon correct Ukash, Paysafecard ou MoneyPack
6. Ne redémarre pas l'ordinateur. Attendez décodage complet

[DE] Die Datei ist verschlüsselt
Um die Datei zu entschlüsseln, gehen Sie folgendermaßen vor:
1. Deaktivieren Sie Antivirus-(und Firewall) auf Ihrem Computer installiert
2. Aktivieren Sie Internet-Verbindung
3. Entpacken Sie das Archiv C:\Documents and Settings\INTEL-2013\Impostazioni locali\Dati applicazioni\XUOWfvWD\ilTFUBGq.zip (archivieren mit dem gleichen Namen auf dem Desktop). Passwort BmyZWWiq
4. Die entpackte MDgMpXCk.exe
5. Geben Sie den richtigen Code Gutschein Ukash, Paysafecard oder MoneyPack
6. Starten Sie den Computer nicht. Erwarten Sie komplette Dekodierung

[Andrea60]

Se può servirvi, posso allegare un file JPG prima, e lo stesso file dopo la modifica del malware, ma in questo forum non ho trovato il modo di allegarli.

Hai provato con il cerca?

https://turbolab.it/24

Non ho capito cosa dovrei cercare... l'estensione usata dal malware (.enc.rtf) l'avevo già cercata e non c'è, ma non si trova nemmeno con una ricerca in tutto il web, che può significare trattarsi di un nuovo tipo di malware, che magari fra poco sarà fuori circolazione.

[[Claudio]]

Scarica HITMANPRO.

1) attiva la licenza: IMPOSTAZIONI - scheda LICENZA - cliccare su ATTIVA LICENZA GRATUITA
2) non modificare le impostazioni di default;
3) esegui il software, clicca su IMPOSTAZIONI, e imposta come da immagine:



4) conferma con OK e clicca su AVANTI per avviare la scansione (è richiesta la connessione attiva);
5) al termine, ELIMINA tutto ciò che verrà rilevato;
5) salva il REPORT rilasciato e allegalo (sempre con la funzione SPOILER).

[Andrea60]

Scarica HITMANPRO.

1) attiva la licenza: IMPOSTAZIONI - scheda LICENZA - cliccare su ATTIVA LICENZA GRATUITA
2) non modificare le impostazioni di default;
3) esegui il software, clicca su IMPOSTAZIONI, e imposta come da immagine:



4) conferma con OK e clicca su AVANTI per avviare la scansione (è richiesta la connessione attiva);
5) al termine, ELIMINA tutto ciò che verrà rilevato;
5) salva il REPORT rilasciato e allegalo (sempre con la funzione SPOILER).

Come ho già detto, ho scaricato e usato anche HitmanPro in prova 30 giorni, che si avvia ad ogni riavvio del computer; l'ho avviato anche adesso e risultano 0 minacce.

[The Doctor]

Se può servirvi, posso allegare un file JPG prima, e lo stesso file dopo la modifica del malware, ma in questo forum non ho trovato il modo di allegarli.

Hai provato con il cerca?

https://turbolab.it/24

Non ho capito cosa dovrei cercare

L'articolo che parla di come allegare le foto nel forum che tu hai detto di non aver trovato come fare. Clicca sul link che ti ho postato.

https://turbolab.it/24

[[Claudio]]

Come ho già detto, ho scaricato e usato anche HitmanPro .....

Va boh .... segui le istruzioni contenute in QUESTO ARTICOLO per tentare il recupero dei file crittati.

E dai una occhiata a QUESTA DISCUSSIONE .... ( tutto torna utile, anche i luoghi in stato di abbandono ) .