klapek82

ad. 1 Klucz pomyślnie usunięto. ad. 2 Wszystko wykonano log w załączeniu. Jeżeli to już koniec, to chciałem Ci Picasso podziękować za pomoc. Od odnalezienia tego forum w internecie, prześledziłem z racji ciekawości poruszanych tu zagadnień kilkadziesiąt wątków, widzę ogrom Twojej pracy (aż zacząłem się zastanawiać czy kiedykolwiek sypiasz). Nie to żebym Ci kadził ale wielki szacun. Jeszcze raz dzięki i dużo zdrowia życzę. Pozdrawiam DelFix.txt

PIERWSZY SYSTEM ad. 1 Poprawione. ad. 2 Zrobione log z DelFix w załączniku. ad. 3 Dzięki na pewno wykorzystam. DRUGI SYSTEM ad. 1 Wykonano. ad. 2 Również. ad. 3 i ad. 4 Zamieszczam logi. DelFix.txt Fixlog.txt FRST.txt

Dzięki za wyjaśnienie, teraz wiem w jakim kierunku należy iść. 1. Skan FRST poszedł do końca + restart daje log w załączniku. 2. Zamieszczam również wcześniej wspomniane logi z drugiego systemu. Fixlog.txt Addition.txt FRST.txt gmer.txt mbam.txt Shortcut.txt

Ad. 1 Podczas pracy (naprawy) FRST wyrzuciło błąd ("wystąpił problem z aplikacją FRST.exe i zostanie ona zamknięta. Przepraszamy z kłopoty"), nie doszło do samoczynnego restartu systemu. Kopia zapasowa, C:\czerny\c\Documents and Settings, została usunięta. Fixlog chyba nie jest kompletny (zamieszczam). Ad. 2 Logi z admin w załączniku. Ad. 3 Niestety trzeba wyciągnąć lekcję na przyszłość. Wiem, że cryptowall 3.0 może przejść na zasoby sieciowe jeżeli są podmapowane w zainfekowanym systemie pod literką dysku, nie mogę znaleźć nigdzie informacji jak wygląda sprawa w przypadku odwoływania się do dysku NAS po adresie ip przez start/uruchom np. \\192.168.0.2, chodzi mi przede wszystkim o zabezpieczenie kopii zapasowych w przyszłości. Fixlog.txt Addition.txt FRST.txt

Witam Polecenia wykonane, sorry że z takim opóźnieniem, daje logi z FRST. Ps. Jeżeli o chodzi o drugi system to założyć nowy temat czy lepiej w tym. Oczywiście na tamtym systemie skanowałem Malwarebytes (jeszcze przed założeniem wątku, wykryło trochę, log oczywiście z tego skanu posiadam). Fixlog.txt FRST.txt

Witam serdecznie Doszło do infekcji cryptowall 3.0 najprawdopodobniej przez stronę www. Pliki zostały zakodowane, jednakże chciałbym spróbować odzyskać coś testdiskiem. Od czasu wyświetlenia się informacji z żądaniem zapłaty komputer działa w trybie awaryjnym. Przeprowadziłem skany bootdiskiem kasperskiego i Dr. Web Cure it, nic nie znalazło. W trybie awaryjnym z obsługą sieci poszedł skan Malwarebytes anti-malware, to co znalazł przeniosłem do kwarantanny (log w załączniku). Skany z gmer i FRST przeprowadzałem również w awaryjnym trybie z obsługą sieci, widziałem pod UBUNTU że są tam jeszcze pliki nie zakodowane stąd puszczanie skanów w awaryjnym. Jeszcze jedna prośba o wyjaśnienie, jak mogę sprawdzić czy cryptowall 3.0 nie jest aktywy na innym komputerze tzn. koduje ale jeszcze nie wyświetlił informacji. Wyczytałem na stronie fortinetu. że uwagę należy zwrócić na plik wykonywalny o losowej nazwie wrzucony w autostart losowe klucze w rejestrach Run albo RunOnce w HKLM lub HKCU (w zależności czy system uruchomiony był z poziomu użytkownik czy admin), nie widzę takich wpisów na zainfekowanej maszynie( czy po zakodowaniu plików wpis się usuwa?). Wyłączone usługi Wscsvc | WinDefend | Wuauserv | BITS | ERSvc | WerSvc. Chciałbym mieć pewność że drugi komputer jest bezpieczny. Proszę bardzo o pomoc. Addition.txt FRST.txt gmer.txt Shortcut.txt mbam.txt