Axles
(Axles)
#1
Witam, decrypt zdemolował notebooka, pliki przywrócone z kopii, plik wykonywalny usunięty, ale proszę o sprawdzenie jeszcze logów.
Komputer działa na prawach zwykłego użytkownika, czy decrypt roznosi się poprzez pdfy czy przez pliki wykonywalne tylko?
FRST.txt
Atis
(Atis)
#2
Nie widzę logów tylko jeden log.
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
2016-04-19 09:36 - 2016-04-19 09:36 - 01551174 ____ T C:\Users\jhoppe\Downloads\de_crypt_readme.bmp
2016-04-19 09:35 - 2016-04-19 09:35 - 01551174 ____ T C:\Users\jhoppe\Documents\de_crypt_readme.bmp
2016-04-19 09:32 - 2016-04-19 09:32 - 01551174 ____ T C:\Users\jhoppe\Desktop\de_crypt_readme.bmp
2016-04-19 09:05 - 2016-04-19 12:40 - 00000000 ____ D C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
2016-04-19 09:05 - 2016-04-19 09:05 - 00000003 _____ C:\ProgramData\EF373465B75F.dat
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Axles
(Axles)
#3
Ah tego additional brakuje, jutro dorzucę. A co do tego odnośnika to ten mój De_crypt i CryptXXX to chyba nie to samo?
Atis
(Atis)
#4
Tego typu pliki nie występowały dotychczas w żadnej innej infekcji.
Axles
(Axles)
#5
Czyli zaatakowany zostałem przez jakąś wypaśniejszą wersję
Załączyłem pliki.
Te bmp, txt, html to ja sobie wyłapię po nazwie.
FRST.txt
Addition.txt
Atis
(Atis)
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
C:\Users\jhoppe\Downloads\de_crypt_readme.bmp
C:\Users\jhoppe\Documents\de_crypt_readme.bmp
C:\Users\jhoppe\Desktop\de_crypt_readme.bmp
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\ProgramData\EF373465B75F.dat
EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Chyba masz jakiś problem z dyskiem:
Error: (04/19/2016 01:16:09 PM) (Source: Disk) (EventID: 11) (User: )
Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk1\DR1.