luki84k
(Anranik)
26 Wrzesień 2016 07:23
#1
Mam podobny problem, co wielu użytkowników.
Po włączeniu komputera pokazał się komunikat, że pliki są zablokowane i dostanę hasło do ich odblokowania po wejściu na zalinkowane strony. Tam żądanie pieniędzy za hasło.
Pliki .jpg, .pdf, .mp3, .wav itp. zostały zablokowane.
Laptop. Win10. 64x.
Raporty:
FRST: http://wklej.org/id/2869527/
Addition: http://wklej.org/id/2869528/
Shortcut: http://wklej.org/id/2869529/
Dziękuję za pomoc.
Atis
(Atis)
26 Wrzesień 2016 08:54
#2
Nie ma możliwości odszyfrowania tych plików. Zainstalowałeś ShadowExplorer, ale nic nie odzyskasz za pomocą tego programu, bo masz wyłączone przywracanie systemu.
W panelu sterowania odinstaluj Reimage Repair.
Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Oczyść (Clean).
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\S-1-5-21-1652468884-882451188-3527299667-1001…\Policies\Explorer: [NoInternetOpenWith] 1 Startup: C:\Users\abc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-23] () GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=22.5.4.24 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NIS&pvid=22.5.4.24 CHR HKLM-x32…\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32…\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx 2016-09-26 09:16 - 2016-09-26 09:16 - 00000000 ____D C:\Users\abc\Downloads\FRST-OlderVersion 2016-09-24 02:33 - 2016-09-24 02:33 - 00025088 _____ C:\Users\abc\Desktop\decryptor.exe 2016-09-24 02:33 - 2016-09-24 02:33 - 00000020 _____ C:\Users\abc\Desktop\uid.txt 2016-09-23 16:27 - 2016-09-23 16:29 - 00000328 _____ C:\Users\abc\Documents\Files encrypted.txt 2016-09-23 16:22 - 2016-09-23 22:35 - 00000328 _____ C:\Users\abc\Desktop\Files encrypted.txt 2016-09-23 16:22 - 2016-09-23 16:22 - 00025088 _____ C:\Users\abc\Documents\decryptor.exe 2016-09-23 16:22 - 2016-09-23 16:22 - 00000020 _____ C:\Users\abc\Documents\uid.txt 2016-09-23 16:22 - 2016-09-23 16:22 - 00000020 _____ C:\Users\abc\AppData\Roaming\uid.txt 2016-09-23 16:22 - 2016-09-23 16:22 - 00000020 _____ C:\ProgramData\uid.txt 2016-09-23 16:22 - 2016-07-19 18:42 - 00000000 ____D C:\AdwCleaner 2014-12-16 21:08 - 2014-12-16 21:08 - 0000604 ____H () C:\Program Files (x86)_Z2 2016-09-23 16:22 - 2016-09-24 02:33 - 6949414 _____ () C:\ProgramData\encfiles.log 2016-09-24 02:33 - 2016-09-24 02:33 - 0061741 _____ () C:\ProgramData\encinfo.jpg 2016-09-23 16:22 - 2016-09-23 16:22 - 0000020 _____ () C:\ProgramData\uid.txt CustomCLSID: HKU\S-1-5-21-1652468884-882451188-3527299667-1001_Classes\CLSID{94C6E6B9-6195-2B10-6983-CD518FF88F07}\InprocServer32 -> C:\ProgramData\ABBYY\FineReader\11.00\Licenses\Licensing.xml () Task: {18D11495-3B20-4FDB-AA90-9C54D0E8F6AF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {1F9658EB-2312-42C3-A213-6CAFDAF44A17} - System32\Tasks{139378AA-F3CE-42FD-AF35-C73667FA5982} => Chrome.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?page=tsMain Task: {27D75E5F-2A8E-4C27-BAE0-7B016809A643} - System32\Tasks{7A9AF376-9EB1-4952-8DEE-0321CE49E0D2} => c:\users\abc\appdata\local\vivaldi\application\vivaldi.exe Task: {2E608654-CDA7-4D5B-B972-3C528283BC17} - \WPD\SqmUpload_S-1-5-21-1652468884-882451188-3527299667-1001 -> Brak pliku <==== UWAGA Task: {2FAADA17-4376-40B6-980C-DEDCF2B26937} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {30B9733A-F96C-4EA8-9FAE-CF2DCE3242AA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {3BABE9C2-FA3F-44C4-B23A-A00C3114EDF0} - System32\Tasks{A002ECDB-A16C-471E-8E6C-5FBC08D2B2F0} => c:\users\abc\appdata\local\vivaldi\application\vivaldi.exe Task: {3E90C67D-ED83-4942-BAF2-D2D85A722DEC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {43B29568-0FE2-4910-9D73-A1E9BBFEC92F} - System32\Tasks{0E907930-79F4-4387-B4FA-C7A37EF2148F} => c:\users\abc\appdata\local\vivaldi\application\vivaldi.exe Task: {4EE1DA51-3416-474E-9C67-212F85CF5563} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {628A90F4-A599-4A5E-A353-9012FD271067} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {6D1BA853-21F8-47F0-9368-F119AA97ACC4} - System32\Tasks{746A87C0-56A5-4CCB-8574-F27D851B0AFF} => pcalua.exe -a C:\Users\abc\Desktop\WiFiPasswordDecryptor_Installer.exe -d C:\Users\abc\Desktop Task: {7A4BB8BE-2E90-45AC-BD62-945660FEAA5E} - System32\Tasks{C7F4CCDA-94A2-4196-9D52-5FDA83A4A13F} => c:\users\abc\appdata\local\vivaldi\application\vivaldi.exe Task: {7D9D9D29-1E02-477C-8C70-DEC78536C716} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {83BC5BF2-5857-40B8-802F-A4AF901F9534} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2016-09-01] (Reimage®) <==== UWAGA Task: {92B32DB5-91AE-4D2D-BB32-9F4D42FA37B3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {9A7773A5-7CD1-4AD7-9507-6216ABC87C7C} - System32\Tasks{6021AE59-52F9-4509-A79D-AAB8C768D417} => c:\users\abc\appdata\local\vivaldi\application\vivaldi.exe Task: {9AB478D2-31BB-4583-8DBF-624045DDD4E1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {9B48D21A-3D63-4C11-8AD2-16B239379371} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {9F308123-FBD4-4214-8D2F-289FE3A87E5E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {B09EEB59-C5CF-4235-8C93-AB6C0CC6C3B3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA Task: {B22C858C-FFD5-475A-A374-12754F315ED2} - System32\Tasks{08099090-3C51-4F6C-8E35-E8EA436C9EE9} => pcalua.exe -a “G:\hauptwerk\Hauptwerk 4.01.079 (podluka)\Hauptwerk 4.01.079\Hauptwerk 4.01.079\InstallHauptwerk.exe” -d “G:\hauptwerk\Hauptwerk 4.01.079 (podluka)\Hauptwerk 4.01.079\Hauptwerk 4.01.079” Task: {B58211EB-0C96-44D5-BD45-475C8E55EA5C} - System32\Tasks{C8102430-51AC-4651-974F-6E2700D6BD1D} => c:\users\abc\appdata\local\vivaldi\application\vivaldi.exe Task: {CBDAFEC1-7A2F-4AA8-81FA-35FD225B261F} - System32\Tasks{D436E1CA-38C8-45CA-8BE1-8C342DB9638D} => pcalua.exe -a “E:\Instrument\wood\Disc 1 (Dustgrow)\EWQLSO.Woodwinds.Edition_D1\EWQLSO.Woodwinds.Edition_D1\ewso 2 - woodwinds setup.exe” -d “E:\Instrument\wood\Disc 1 (Dustgrow)\EWQLSO.Woodwinds.Edition_D1\EWQLSO.Woodwinds.Edition_D1” Task: {D22F40CD-6205-4699-AF1A-A187987CFF8D} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2016-09-22] (Reimage ltd.) <==== UWAGA Hosts: EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.
luki84k
(Anranik)
26 Wrzesień 2016 09:42
#3
zbigg47
(zbigg47)
26 Wrzesień 2016 14:27
#4
luki84k : Tak na marginesie. Jaki program czy pakiet chroni Twój laptop?
Darmowy avast z tego co widać.
Atis
(Atis)
26 Wrzesień 2016 14:47
#6
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST
Włącz przywracanie dla dysku systemowego C:
http://www.tenforums.com/tutorials/4533-system-protection-turn-off-drives-windows-10-a.html