Nie obsługiwane typy plików po wirusie z fałszywego e-mail DHL

aeroe · 12 Marzec 2016 11:04

Witam serdecznie

Mam problem dotyczący komputera niedawno zainfekowanego wirusem z fałszywego e-mail’a DHL, pewnego razu niechcący otworzyłem znajdujący się w nim załącznik i pojawił się wirus. Został on jednak usunięty, komputer w tym momencie chodzi dobrze. Jednak pozostałość po nim została… Mianowicie pliki w formacie .txt, .pdf, .zip, .rar, .doc, .docx, .jpg określają się teraz jako typy plików HCNQFAI. Nie sposób otworzyć w tym momencie tych plików żadnym programem: (Nie można otworzyć pliku… jako archiwum - .ZIP), (Program Adobe Acrobat Reader DC nie może otworzyć pliku (…) ponieważ nie jest to obsługiwany typ pliku lub jest on uszkodzony (np. został wysłany jako załącznik i niepoprawnie rozkodowany - PDF) itd.)

Dodam że teraz, po usunięciu wirusa pliki utworzone w tym momencie działają dobrze.

Proszę o pomoc w rozwiązaniu tego problemu. Czy można jakoś uratować starsze te pliki?

FRST

Addition

Shortcut

Pozdrawiam

kuba3351 · 12 Marzec 2016 11:42

Jeśli to był ransomeare który zaszyfrował te pliki żądając okupu za ich odszyfrowanie to jesteś w czarnej d…

aeroe · 12 Marzec 2016 13:23

Dzięki za odpowiedź. No to trudno. Jeśli pliki są nie do odzyskania to pozostaje mi je usunąć z komputera.

Atis · 13 Marzec 2016 06:31

CTB-Locker:

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

GroupPolicyScripts: Ograniczenia ======= UWAGA
SearchScopes: HKLM-x32 - DefaultScope {BB82DE59-BC4C-4172-9AC4-73315F71CFFE} URL =
2016-03-07 17:34 - 2016-03-07 18:26 - 01985422 _____ C:\ProgramData\xlqnilm.html
2016-03-07 18:26 - 2016-03-07 18:26 - 00001266 _____ C:\Users\Komputer\Documents\!Decrypt-All-Files-hcnqfai.txt
2016-03-07 17:22 - 2015-10-12 12:41 - 00000000 ____ D C:\AdwCleaner
2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Komputer\AppData\Roaming\2BDNYxBr0qZK9
2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Komputer\AppData\Roaming\awDuywyYC
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Komputer\AppData\Roaming\fRB9qRYohvwqxxYIqSYPIiwJd
2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Komputer\AppData\Roaming\h5n0vE5TxYUgpc8EiqcUWIwm6
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Komputer\AppData\Roaming\kWZiYQZQdy80
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Komputer\AppData\Roaming\NwYMmkOkb1nPQuZu0Jyy
2015-04-19 13:20 - 2015-04-19 13:20 - 0005872 _____ () C:\Users\Komputer\AppData\Roaming\Yfvv0Ncfs0AlyEA1Kcd
Task: {437FCD39-75AA-408F-8810-2F3076E627CB} - System32\Tasks\fRB9qRYohvwqxxYIqSYPIiwJd = C:\Users\Komputer\AppData\Roaming\fRB9qRYohvwqxxYIqSYPIiwJd.exe ==== UWAGA
Task: {45F5F65C-1F81-4B8C-B262-5CF1B9E2B395} - System32\Tasks\Yfvv0Ncfs0AlyEA1Kcd = C:\Users\Komputer\AppData\Roaming\Yfvv0Ncfs0AlyEA1Kcd.exe ==== UWAGA
Task: {6845BCD8-CE97-4F00-802B-3BD73315058E} - System32\Tasks\h5n0vE5TxYUgpc8EiqcUWIwm6 = C:\Users\Komputer\AppData\Roaming\h5n0vE5TxYUgpc8EiqcUWIwm6.exe ==== UWAGA
Task: {76F29583-6DEC-4718-A993-0C0F1C85A457} - System32\Tasks\2BDNYxBr0qZK9 = C:\Users\Komputer\AppData\Roaming\2BDNYxBr0qZK9.exe ==== UWAGA
Task: {B3274155-45C8-4D72-AA02-07F3A0BE9AAD} - System32\Tasks\awDuywyYC = C:\Users\Komputer\AppData\Roaming\awDuywyYC.exe ==== UWAGA
Task: {BCB29D0A-FB26-4256-AB2B-2A85E0E8721D} - \SmartWeb Upgrade Trigger Task - Brak pliku ==== UWAGA
Task: {CAEB7B0E-799E-408B-9CFE-31BE1D872F60} - System32\Tasks\NwYMmkOkb1nPQuZu0Jyy = C:\Users\Komputer\AppData\Roaming\NwYMmkOkb1nPQuZu0Jyy.exe ==== UWAGA
Task: {D7AB607E-C7CE-4386-BA54-3B8E7B872C08} - System32\Tasks\kWZiYQZQdy80 = C:\Users\Komputer\AppData\Roaming\kWZiYQZQdy80.exe ==== UWAGA
Task: {F27836BD-F21D-4AD4-A7AE-022992EF088C} - System32\Tasks\pmtqcqg = C:\Users\Komputer\AppData\Local\Temp\loyqoxk.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\2BDNYxBr0qZK9.job = C:\Users\Komputer\AppData\Roaming\2BDNYxBr0qZK9.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\awDuywyYC.job = C:\Users\Komputer\AppData\Roaming\awDuywyYC.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\fRB9qRYohvwqxxYIqSYPIiwJd.job = C:\Users\Komputer\AppData\Roaming\fRB9qRYohvwqxxYIqSYPIiwJd.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\h5n0vE5TxYUgpc8EiqcUWIwm6.job = C:\Users\Komputer\AppData\Roaming\h5n0vE5TxYUgpc8EiqcUWIwm6.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\kWZiYQZQdy80.job = C:\Users\Komputer\AppData\Roaming\kWZiYQZQdy80.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\NwYMmkOkb1nPQuZu0Jyy.job = C:\Users\Komputer\AppData\Roaming\NwYMmkOkb1nPQuZu0Jyy.exe ==== UWAGA
Task: C:\WINDOWS\Tasks\Yfvv0Ncfs0AlyEA1Kcd.job = C:\Users\Komputer\AppData\Roaming\Yfvv0Ncfs0AlyEA1Kcd.exe ==== UWAGA
C:\Users\Komputer\AppData\Roaming\*.exe
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.

aeroe · 14 Marzec 2016 14:10

Witam serdecznie

FIXLOG

FRST

Pozdrawiam

Atis · 15 Marzec 2016 09:36

Skasuj folder C:\FRST

aeroe · 15 Marzec 2016 09:59

Folder C:\FRST został skasowany.

Przywracanie dla dysku systemowego według instrukcji włączone.

Dla uszkodzonych plików, które są typem HCNQFAI już nie ma ratunku?

Atis · 15 Marzec 2016 10:41

Pliki zostały zaszyfrowane przez wirusa i nie ma możliwości odszyfrowania tych plików.

aeroe · 15 Marzec 2016 10:55

Dobrze, spróbuję coś z tym zrobić. Bardzo dziękuję Panu za udzieloną pomoc.

Pozdrawiam serdecznie.