Nie obsługiwane typy plików po wirusie z fałszywego e-mail DHL


(aeroe) #1

Witam serdecznie

Mam problem dotyczący komputera niedawno zainfekowanego wirusem z fałszywego e-mail'a DHL, pewnego razu niechcący otworzyłem znajdujący się w nim załącznik i pojawił się wirus. Został on jednak usunięty, komputer w tym momencie chodzi dobrze. Jednak pozostałość po nim została... Mianowicie pliki w formacie .txt, .pdf, .zip, .rar, .doc, .docx, .jpg określają się teraz jako typy plików HCNQFAI. Nie sposób otworzyć w tym momencie tych plików żadnym programem: (Nie można otworzyć pliku... jako archiwum - .ZIP), (Program Adobe Acrobat Reader DC nie może otworzyć pliku (...) ponieważ nie jest to obsługiwany typ pliku lub jest on uszkodzony (np. został wysłany jako załącznik i niepoprawnie rozkodowany - PDF) itd.)

Dodam że teraz, po usunięciu wirusa pliki utworzone w tym momencie działają dobrze.

Proszę o pomoc w rozwiązaniu tego problemu. Czy można jakoś uratować starsze te pliki?

FRST

Addition

Shortcut

Pozdrawiam


(kuba3351) #2

Jeśli to był ransomeare który zaszyfrował te pliki żądając okupu za ich odszyfrowanie to jesteś w czarnej d…


(aeroe) #3

Dzięki za odpowiedź. No to trudno. Jeśli pliki są nie do odzyskania to pozostaje mi je usunąć z komputera.


(Atis) #4

CTB-Locker:

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

GroupPolicyScripts: Ograniczenia ======= UWAGA
SearchScopes: HKLM-x32 - DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
2016-03-07 17:34 - 2016-03-07 18:26 - 01985422 _____ C:\ProgramData\xlqnilm.html
2016-03-07 18:26 - 2016-03-07 18:26 - 00001266 _____ C:\Users\Komputer\Documents\!Decrypt-All-Files-hcnqfai.txt
2016-03-07 17:22 - 2015-10-12 12:41 - 00000000 ____ D C:\AdwCleaner
2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Komputer\AppData\Roaming\2BDNYxBr0qZK9
2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Komputer\AppData\Roaming\awDuywyYC
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Komputer\AppData\Roaming\fRB9qRYohvwqxxYIqSYPIiwJd
2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Komputer\AppData\Roaming\h5n0vE5TxYUgpc8EiqcUWIwm6
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Komputer\AppData\Roaming\kWZiYQZQdy80
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Komputer\AppData\Roaming\NwYMmkOkb1nPQuZu0Jyy
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Komputer\AppData\Roaming\Yfvv0Ncfs0AlyEA1Kcd
Task: {437FCD39-75AA-408F-8810-2F3076E627CB} - System32\Tasks\fRB9qRYohvwqxxYIqSYPIiwJd = C:\Users\Komputer\AppData\Roaming\fRB9qRYohvwqxxYIqSYPIiwJd.exe ==== UWAGA
Task: {45F5F65C-1F81-4B8C-B262-5CF1B9E2B395} - System32\Tasks\Yfvv0Ncfs0AlyEA1Kcd = C:\Users\Komputer\AppData\Roaming\Yfvv0Ncfs0AlyEA1Kcd.exe ==== UWAGA
Task: {6845BCD8-CE97-4F00-802B-3BD73315058E} - System32\Tasks\h5n0vE5TxYUgpc8EiqcUWIwm6 = C:\Users\Komputer\AppData\Roaming\h5n0vE5TxYUgpc8EiqcUWIwm6.exe ==== UWAGA
Task: {76F29583-6DEC-4718-A993-0C0F1C85A457} - System32\Tasks\2BDNYxBr0qZK9 = C:\Users\Komputer\AppData\Roaming\2BDNYxBr0qZK9.exe ==== UWAGA
Task: {B3274155-45C8-4D72-AA02-07F3A0BE9AAD} - System32\Tasks\awDuywyYC = C:\Users\Komputer\AppData\Roaming\awDuywyYC.exe ==== UWAGA
Task: {BCB29D0A-FB26-4256-AB2B-2A85E0E8721D} - \SmartWeb Upgrade Trigger Task - Brak pliku ==== UWAGA
Task: {CAEB7B0E-799E-408B-9CFE-31BE1D872F60} - System32\Tasks\NwYMmkOkb1nPQuZu0Jyy = C:\Users\Komputer\AppData\Roaming\NwYMmkOkb1nPQuZu0Jyy.exe ==== UWAGA
Task: {D7AB607E-C7CE-4386-BA54-3B8E7B872C08} - System32\Tasks\kWZiYQZQdy80 = C:\Users\Komputer\AppData\Roaming\kWZiYQZQdy80.exe ==== UWAGA
Task: {F27836BD-F21D-4AD4-A7AE-022992EF088C} - System32\Tasks\pmtqcqg = C:\Users\Komputer\AppData\Local\Temp\loyqoxk.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\2BDNYxBr0qZK9.job = C:\Users\Komputer\AppData\Roaming\2BDNYxBr0qZK9.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\awDuywyYC.job = C:\Users\Komputer\AppData\Roaming\awDuywyYC.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\fRB9qRYohvwqxxYIqSYPIiwJd.job = C:\Users\Komputer\AppData\Roaming\fRB9qRYohvwqxxYIqSYPIiwJd.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\h5n0vE5TxYUgpc8EiqcUWIwm6.job = C:\Users\Komputer\AppData\Roaming\h5n0vE5TxYUgpc8EiqcUWIwm6.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\kWZiYQZQdy80.job = C:\Users\Komputer\AppData\Roaming\kWZiYQZQdy80.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\NwYMmkOkb1nPQuZu0Jyy.job = C:\Users\Komputer\AppData\Roaming\NwYMmkOkb1nPQuZu0Jyy.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\Yfvv0Ncfs0AlyEA1Kcd.job = C:\Users\Komputer\AppData\Roaming\Yfvv0Ncfs0AlyEA1Kcd.exe ==== UWAGA
C:\Users\Komputer\AppData\Roaming\*.exe
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

 


(aeroe) #5

Witam serdecznie

FIXLOG

FRST

Pozdrawiam


(Atis) #6

Skasuj folder C:\FRST


(aeroe) #7

Folder C:\FRST został skasowany.

Przywracanie dla dysku systemowego według instrukcji włączone.

Dla uszkodzonych plików, które są typem HCNQFAI już nie ma ratunku?


(Atis) #8

Pliki zostały zaszyfrowane przez wirusa i nie ma możliwości odszyfrowania tych plików.


(aeroe) #9

Dobrze, spróbuję coś z tym zrobić. Bardzo dziękuję Panu za udzieloną pomoc.

Pozdrawiam serdecznie.