Zaszyfrowane wszystkie pliki (dostępne logi!)


(fire45) #1

Witajcie,


(Atis) #2

Nie odszyfrujesz tych plików:


(fire45) #3

Czyli krótko rzecz ujmując, instalacja systemu od nowa też będzie dobrym rozwiązaniem?

Skoro plików i tak nie można odzyskać… Zaraz wykonam fixlist i poinformuję o wynikach.


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_bicwl.txt [2015-08-10] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_bicwl.html [2015-08-10] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_tkbde.txt [2015-08-10] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_tkbde.html [2015-08-10] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_jxxky.txt [2015-08-19] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_jxxky.html [2015-08-19] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_hhvje.txt [2015-08-20] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_hhvje.html [2015-08-20] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_aksmd.txt [2015-08-21] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_aksmd.html [2015-08-21] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_cmoqd.txt [2015-08-23] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_cmoqd.html [2015-08-23] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_jmhsw.txt [2015-08-23] ()
Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\restore_files_jmhsw.html [2015-08-23] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_bicwl.txt [2015-08-10] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_bicwl.html [2015-08-10] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_tkbde.txt [2015-08-10] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_tkbde.html [2015-08-10] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\HELP_DECRYPT.TXT.aaa [2015-06-11] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_jxxky.txt [2015-08-19] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_jxxky.html [2015-08-19] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_hhvje.txt [2015-08-20] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_hhvje.html [2015-08-20] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_aksmd.txt [2015-08-21] ()
Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\restore_files_aksmd.html [2015-08-21] ()
SearchScopes: HKU\S-1-5-21-527237240-839522115-725345543-1004 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = 
2015-08-10 09:31 - 2015-08-10 09:31 - 00000000 ___HD C:\Documents and Settings\All Users\Dane aplikacji\{1487011E-71D4-4355-9319-84F99375B848}
2015-08-09 08:58 - 2015-08-09 08:58 - 00000000 __SHD C:\FOUND.022
C:\WINDOWS\system32\labelz.dll
C:\Documents and Settings\User\Dane aplikacji\*.exe
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\*.dll
CMD: del /q /s C:\HELP_DECRYPT.*
CMD: del /q /s D:\HELP_DECRYPT.*
CMD: del /q /s F:\HELP_DECRYPT.*
CMD: del /q /s C:\restore_files_*
CMD: del /q /s D:\restore_files_*
CMD: del /q /s F:\restore_files_*
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.


(fire45) #5

Czy jest możliwość przeniesienia tego zagrożenia na inny komputer pendrivem?


(Atis) #6

Nie można przenieść za pomocą pendrive.

Nie moża tego usunąć, więc musisz ręcznie wyszukać i skasować pliki HELP_DECRYPT i restore_files.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

C:\Documents and Settings\All Users\Dane aplikacji\{1487011E-71D4-4355-9319-84F99375B848}
C:\WINDOWS\system32\labelz.dll
C:\Documents and Settings\User\Dane aplikacji\*.exe
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\*.dll
CMD: del /q /s C:\HELP_DECRYPT.*
CMD: del /q /s C:\restore_files_*
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Dysk przeskanuj ESET Online Scanner