Niebieski ekran, zaszyfrowane pliki

[KuBa23]

Witam,

Mam problem z laptopem, bo w trakcie startu mignie niebieski ekran i laptop uruchamia się od nowa. Laptop uruchomiłem za pomoca pendriva z hirens bootcd, ale nie mogę zgrać plików, bo mają pozmieniane nazwy i rozszerzenia. Chciałbym zgrać zdjęcia itp i zrobić format pytanie tylko jak to zrobić?

http://zapodaj.net/d242c17a3f567.jpg.html widać jak to wygląda, w każdym folderze jest tak samo.

Nie mogę się dostać do trybu awaryjnego, bo po wciśnięciu F5 przy starcie a następnie F8 laptop (toshiba) się restartuje zamiast pokazać dodatkowe opcje.

 

Po otwarciu pliku txt w zmienionych plikach, jest taki opis

What happened to your files ?

All of your files were protected by a strong encryption with RSA-2048.

More information about the encryption keys using RSA-2048 can be found here: http://en.wikipedia...._(cryptosystem)

 

What does this mean ?

This means that the structure and data within your files have been irrevocably changed, you will not be able to work with them, read them or see them,

it is the same thing as losing them forever, but with our help, you can restore them.

 

How did this happen ?

Specially for your PC was generated personal RSA2048 KEY, both public and private.

All your files were encrypted with the public key, which has been transferred to your computer via the Internet.

++++++==============================================================================================================+++++++======

Decrypting of your files is only possible with the help of the private key and decrypt program, which is on our secret server.

 

What do I do ?

So, there are two ways you can choose: wait for a miracle and get your price doubled, or start obtaining BTC NOW, and restore your data easy way.

If You have really valuable data, you better not waste your time, because there is no other way to get your files, except make a payment.

 

For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:

1. http://alcov44uvcwkr...89E738BC78568C6

2. http://alcov44uvcwkr...89E738BC78568C6

3. https://alcov44uvcwk...89E738BC78568C6

 

If for some reasons the addresses are not available, follow these steps:

1. Download and install tor-browser: http://www.torprojec...browser.html.en

2. After a successful installation, run the browser and wait for initialization.

3. Type in the address bar: alcov44uvcwkrend.onion/89E738BC78568C6

4. Follow the instructions on the site.

 

IMPORTANT INFORMATION:

Your personal pages:

http://alcov44uvcwkr...89E738BC78568C6

http://alcov44uvcwkr...89E738BC78568C6

https://alcov44uvcwk...89E738BC78568C6

Your personal page (using TOR-Browser): alcov44uvcwkrend.onion/89E738BC78568C6

Your personal identification number (if you open the site (or TOR-Browser's) directly): 89E738BC78568C6

Mozna jakos odzyskac te dane? Najbardziej zalezy mi na zdjęciach.

[picasso]

Mam problem z laptopem, bo w trakcie startu mignie niebieski ekran i laptop uruchamia się od nowa.

Nie mogę się dostać do trybu awaryjnego, bo po wciśnięciu F5 przy starcie a następnie F8 laptop (toshiba) się restartuje zamiast pokazać dodatkowe opcje.

Podaj raport z FRST zrobiony z poziomu środowiska zewnętrznego: KLIK.

 

 

nie mogę zgrać plików, bo mają pozmieniane nazwy i rozszerzenia

Pliki o rozszerzeniu *.vvv to jest najnowsza wersja TeslaCrypt: KLIK. Plików nie da się odkodować żadnymi domowymi metodami ręcznymi. Jedyna opcja to uiszczenie opłaty przestępcom lub ewentualnie supportowi Kasperskiego: KLIK. Wymagany bezpośredni kontakt z supportem Kasperskiego, nie ma dostępnej publicznie żadnej wersji dekodera.

 

W temacie do którego zlinkowałam nastąpiło bardzo dziwne zjawisko, tzn. użytkownik próbował negocjować z przestępcami wielkość opłaty, z niewiadomych przyczyn i bez wyjaśnień dali mu klucz ... za darmo. To jedyny przypadek tego typu jaki znam.

[KuBa23]

Załączam raport.

Będę mógł zrobić format z recovery, które jest na dysku, czy to też zostało zaszyforwane i zostaje jedynie format z pomocą płyty?

 

FRST.txt

[picasso]

Jeśli partycja Recovery nie była odkryta, to nie powinno być na niej ingerencji.

 

Sytuacja jest tu jeszcze bardziej skomplikowana. Są tu aż dwie infekcje szyfrujące, tzn. także ślady CryptoWall 4.0: KLIK. W wielu katalogach masz zaszyfrowane pliki o zmienionych całkowicie nazwach, by się nawet nie dało rozpoznać jak wyglądał pierwotny plik:

 

2015-12-07 22:04 - 2015-12-07 22:04 - 10176120 _____ C:\Users\Bajor\Downloads\ap464emc8.0d3

2015-12-07 22:04 - 2015-12-07 22:04 - 10176104 _____ C:\Users\Bajor\Downloads\z03fjv.ub4

2015-12-07 22:04 - 2015-12-07 22:04 - 05366356 _____ C:\Users\Bajor\Downloads\v4a9x2m.mqfn2

2015-12-07 22:04 - 2015-12-07 22:04 - 05366356 _____ C:\Users\Bajor\Downloads\e0u9a5a.6t78

2015-12-07 22:04 - 2015-12-07 22:04 - 05366356 _____ C:\Users\Bajor\Downloads\bi9fzg7u6.bt7h4

2015-12-07 22:04 - 2015-12-07 22:04 - 03820488 _____ C:\Users\Bajor\Downloads\y9o08po.7f

2015-12-07 22:04 - 2015-12-07 22:04 - 03820472 _____ C:\Users\Bajor\Downloads\8jp3a754.3p

2015-12-07 22:04 - 2015-12-07 22:04 - 00594848 _____ C:\Users\Bajor\Downloads\k7zx2p.7pj2x

2015-12-07 22:04 - 2015-12-07 22:04 - 00195564 _____ C:\Users\Bajor\Downloads\qpicyw24d.br7

2015-12-07 22:04 - 2015-12-07 22:04 - 00081148 _____ C:\Users\Bajor\Downloads\34qwbo.n2b

2015-12-07 22:04 - 2015-12-07 22:04 - 00076060 _____ C:\Users\Bajor\Downloads\lj36w.wvu8

2015-12-07 22:04 - 2015-12-07 22:04 - 00057580 _____ C:\Users\Bajor\Downloads\1dwgacfr1.8rvyn

2015-12-07 22:04 - 2015-12-07 22:04 - 00039244 _____ C:\Users\Bajor\Downloads\a94i6j9r.59u6

2015-12-07 22:04 - 2015-12-07 22:04 - 00036108 _____ C:\Users\Bajor\Downloads\2gw585.fa8

2015-12-07 22:04 - 2015-12-07 22:04 - 00026380 _____ C:\Users\Bajor\Downloads\4p4t0q1.62

2015-12-07 22:04 - 2015-12-07 22:04 - 00024860 _____ C:\Users\Bajor\Downloads\4n444tas1.ke7cy

2015-12-07 22:04 - 2015-12-07 22:04 - 00019420 _____ C:\Users\Bajor\Downloads\8m9xo2u0n.79ywh

.... i tak dalej ....

 

Takie skomasowanie szyfrowania to wątpliwe, by był jakikolwiek ratunek. Pomijając już to nieszczęście, kupa infekcji w logu, w tym rootkit Necurs - to jego sterownik jest przypuszczalną przyczyną automatycznych resetów. Na początek spróbuj to wszystko usunąć i może będzie możliwe wejście do systemu, by w wygodny sposób przekopiować co ocalało i się do formatu przygotować:

 

 

1. W Notatniku przygotuj skrypt o następującej treści:

 

testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika 
S0 ae0a43e686b1a0d; C:\Windows\System32\Drivers\ae0a43e686b1a0d.sys [95672 2015-12-10] () 
S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-18] () 
S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-18] () 
S2 NetTcpHandler; C:\Users\Bajor\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] ()
S2 syshost32; C:\Windows\Installer\{B5AA6B37-C109-21AF-9EDE-37287EB853E1}\syshost.exe [207360 2015-12-10] (Accmeware Corporation)
S2 Crashhd; C:\Users\Bajor\AppData\Local\Crsoft\crsvc.exe -st [X]
S1 cherimoya; system32\drivers\cherimoya.sys [X]
S3 cpuz134; \??\C:\Users\Bajor\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S3 dump_wmimmc; \??\D:\gry\CoD4\GameGuard\dump_wmimmc.sys [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X]
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S2 limizeli; C:\Program Files (x86)\7224C90A-1434178811-DF11-905B-88AE1DE8E95F\knsz79BC.tmp [X]
S2 lizebini; C:\Program Files (x86)\7224C90A-1434178811-DF11-905B-88AE1DE8E95F\knsbF72C.tmp [X]
S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]
S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X]
S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X]
S2 Update Air Globe; "C:\Program Files (x86)\Air Globe\updateAirGlobe.exe" [X]
S2 WdsManPro; C:\ProgramData\FWdsManProF\WdsManPro.exe -service [X]
S4 WMCoreService; Brak ImagePath
S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X]
S1 wsfd_vt_1_10_0_20; system32\drivers\wsfd_vt_1_10_0_20.sys [X]
S1 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X]
HKLM-x32\...\Run: [gmsd_pl_005010083] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010089] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010093] => "C:\Program Files (x86)\gmsd_pl_005010093\gmsd_pl_005010093.exe"
HKLM-x32\...\Run: [gmsd_pl_005010095] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010099] => "C:\Program Files (x86)\gmsd_pl_005010099\gmsd_pl_005010099.exe"
HKLM-x32\...\Run: [gmsd_pl_005010117] => [X]
HKLM-x32\...\Run: [**2a6c2e20] => mshta javascript:X16jCvCiP="FZ";t1b=new%20ActiveXObject("WScript.Shell");gQ7sVpA="iI3";Dlz1u2=t1b.RegRead("HKLM\\software\\Wow6432Node\\c7b41d5991\\8c2cffaf");oclDUHKu4="bXvCr1V5Sc";eval(Dlz1u2);v9taE (dane wartości zawierają 15 znaków więcej). 
HKLM-x32\...\Run: [NetworkChecker] => C:\Users\Bajor\AppData\Local\Temp\KB00390954.exe [1122124 2015-10-18] (Mozilla Corpration) 
HKLM-x32\...\Run: [Malwarebytes' Anti-Malware (reboot)] => C:\Users\Bajor\AppData\Local\Temp\HBCD\Malwarebytes\mbam.exe [963976 2010-12-20] (Malwarebytes Corporation) 
HKLM\...\Policies\Explorer\Run: [445327342] => C:\ProgramData\mssgjs.exe [118786 2015-12-11] ()
HKLM\...\Policies\Explorer\Run: [1089096273] => C:\ProgramData\mszrkn.exe [160256 2015-06-15] ()
HKLM\...\Policies\Explorer\Run: [1645514027] => C:\ProgramData\msgxjrjl.exe [118786 2015-12-11] ()
HKLM\...\Policies\Explorer\Run: [1664083323] => C:\ProgramData\mstktkvji.exe [230912 2015-06-15] (Valion Group, LLC)
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\Bajor\...\Run: [AdobeBridge] => [X]
HKU\Bajor\...\Run: [Acronis] => C:\Users\Bajor\AppData\Roaming\uhxtv-a.exe
HKU\Bajor\...\Run: [btpa9_24] => C:\Users\Bajor\AppData\Roaming\d3dx32gt\cmut9_26.exe [237568 2015-12-06] ()
HKU\Bajor\...\Run: [ChromeUpdServeisSystem] => C:\Users\Bajor\AppData\Roaming\ChromeUpdServeis\Microsoft_wanerevigo.exe [35328 2015-12-09] ()
HKU\Bajor\...\Run: [idfsoft] => C:\Users\Bajor\AppData\Local\Idfsoft\KB00324029.exe [163840 2015-12-06] (DVDVideoSoft Ltd.)
HKU\Bajor\...\Run: [Ofics] => regsvr32.exe C:\Users\Bajor\AppData\Local\Ofics\dxsjycqn.dll 
HKU\Bajor\...\Run: [Ajworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Bajor\AppData\Local\Idfsoft\gxngydxx.dll
HKU\Bajor\...\Run: [**2a6c2e20] => mshta javascript:G3iLfTTMP="mppdrsA";P8y5=new%20ActiveXObject("WScript.Shell");Aiisa5nr="v1uz";KfWA0=P8y5.RegRead("HKCU\\software\\c7b41d5991\\8c2cffaf");l1h6NRpTB="3Uxja";eval(KfWA0);drxeHD7oz="NmifA (dane wartości zawierają 5 znaków więcej). 
HKU\Bajor\...\Run: [KB00528468] => C:\Users\Bajor\AppData\Local\Temp\KB00528468.exe 
HKU\Bajor\...\Run: [KB00088717] => C:\Users\Bajor\AppData\Local\Temp\KB00088717.exe [461312 2015-12-14] (SeriousBit) 
HKU\Bajor\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\Bajor\...\Policies\Explorer: [HideSCAHealth] 1
GroupPolicy: Ograniczenia - Chrome 
GroupPolicy-x32: Ograniczenia - Chrome 
DisableService: sptd
C:\user.js
C:\ProgramData\*.*
C:\Users\Bajor\AppData\Roaming\NUF3$F@UHT.sys
C:\Windows\System32\Drivers\ae0a43e686b1a0d.sys
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\CureIt Quarantine
RemoveDirectory: C:\MyFolderakis
RemoveDirectory: C:\Program Files\shopperz100920151159
RemoveDirectory: C:\Program Files (x86)\globalUpdate
RemoveDirectory: C:\Program Files (x86)\VLC Player GPU+
RemoveDirectory: C:\ProgramData\{2B1568C5-2EDF-4213-9BC1-552E927F9F2C}
RemoveDirectory: C:\ProgramData\17261655467602863622
RemoveDirectory: C:\ProgramData\FWdsManProF
RemoveDirectory: C:\ProgramData\BWdsManProB
RemoveDirectory: C:\ProgramData\eWdsManProe
RemoveDirectory: C:\ProgramData\1WdsManPro1
RemoveDirectory: C:\ProgramData\DWdsManProD
RemoveDirectory: C:\ProgramData\6WdsManPro6
RemoveDirectory: C:\ProgramData\lWdsManProl
RemoveDirectory: C:\ProgramData\4WdsManPro4
RemoveDirectory: C:\ProgramData\7WdsManPro7
RemoveDirectory: C:\ProgramData\pWdsManProp
RemoveDirectory: C:\ProgramData\rWdsManPror
RemoveDirectory: C:\ProgramData\UWdsManProU
RemoveDirectory: C:\ProgramData\WWdsManProW
RemoveDirectory: C:\ProgramData\yWdsManProy
RemoveDirectory: C:\ProgramData\Doctor Web
RemoveDirectory: C:\ProgramData\McAfee
RemoveDirectory: C:\ProgramData\TEMP
RemoveDirectory: C:\ProgramData\Symantec
RemoveDirectory: C:\ProgramData\NortonInstaller
RemoveDirectory: C:\ProgramData\Norton
RemoveDirectory: C:\Users\Bajor\AppData\Local\7224C90A-1445176699-DF11-905B-88AE1DE8E95F
RemoveDirectory: C:\Users\Bajor\AppData\Local\7224C90A-1445170721-DF11-905B-88AE1DE8E95F
RemoveDirectory: C:\Users\Bajor\AppData\Local\7224C90A-1445161706-DF11-905B-88AE1DE8E95F
RemoveDirectory: C:\Users\Bajor\AppData\Local\Crsoft
RemoveDirectory: C:\Users\Bajor\AppData\Local\gamesdesktop
RemoveDirectory: C:\Users\Bajor\AppData\Local\globalUpdate
RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010117
RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010102
RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010099
RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010095
RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010093
RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010089
RemoveDirectory: C:\Users\Bajor\AppData\Local\Idfsoft
RemoveDirectory: C:\Users\Bajor\AppData\Local\MyBrowser
RemoveDirectory: C:\Users\Bajor\AppData\Local\Norman Malware Cleaner
RemoveDirectory: C:\Users\Bajor\AppData\Local\Ofics
RemoveDirectory: C:\Users\Bajor\AppData\Local\SmartWeb
RemoveDirectory: C:\Users\Bajor\AppData\Local\Temp
RemoveDirectory: C:\Users\Bajor\AppData\Local\Tempfolder
RemoveDirectory: C:\Users\Bajor\AppData\Local\TrafficSpaceLLC
RemoveDirectory: C:\Users\Bajor\AppData\Local\WorldofTanks
RemoveDirectory: C:\Users\Bajor\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A}
RemoveDirectory: C:\Users\Bajor\AppData\LocalLow\Company
RemoveDirectory: C:\Users\Bajor\AppData\LocalLow\Temp
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\288896fb9
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\7224C90A-1434178811-DF11-905B-88AE1DE8E95F
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\AnyProtectEx
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\ChromeUpdServeis
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\d3dx32gt
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\dd167b2d8
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\FF32A6D9-ACAE-42F5-AE3C-A6CAF0BDEBA9
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\GoldenGate
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\istartsurf
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\mgyun
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\mystartsearch
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\NetService
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\ortmp
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\RunDir
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\shortCutStore
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\systweak
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\Thinstall
RemoveDirectory: C:\Users\Bajor\AppData\Roaming\WorldofTanks
RemoveDirectory: C:\Users\Bajor\Doctor Web
RemoveDirectory: C:\Users\Bajor\DoctorWeb
RemoveDirectory: C:\Users\Default\AppData\Roaming\Macromedia
RemoveDirectory: C:\Users\Public\Documents\Baidu
RemoveDirectory: C:\Windows\Installer\{B5AA6B37-C109-21AF-9EDE-37287EB853E1}
CMD: attrib -r -h -s C:\*_*_FILES* /s
CMD: attrib -r -h -s C:\how_recover* /s
CMD: attrib -r -h -s D:\*_*_FILES* /s
CMD: attrib -r -h -s D:\how_recover* /s
CMD: attrib -r -h -s E:\*_*_FILES* /s
CMD: attrib -r -h -s E:\how_recover* /s
CMD: attrib -r -h -s H:\*_*_FILES* /s
CMD: attrib -r -h -s H:\how_recover* /s
CMD: attrib -r -h -s I:\*_*_FILES* /s
CMD: attrib -r -h -s I:\how_recover* /s
CMD: del /q /s C:\*_*_FILES*
CMD: del /q /s C:\how_recover*
CMD: del /q /s D:\*_*_FILES*
CMD: del /q /s D:\how_recover*
CMD: del /q /s E:\*_*_FILES*
CMD: del /q /s E:\how_recover*
CMD: del /q /s H:\*_*_FILES*
CMD: del /q /s H:\how_recover*
CMD: del /q /s I:\*_*_FILES*
CMD: del /q /s I:\how_recover*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. On będzie potężny ze względu na rekursywne usuwanie z wszystkich dysków plików typu how_to* i podobnych, nie wejdzie w załączniki forum. Shostuj go gdzieś i podaj link do pliku.

 

2. Sprawdź czy da się uruchomić Windows. Jeśli tak, to zrób raporty FRST i GMER spod Windows.

[KuBa23]

Windows powstał wielkie dzięki.

Tutaj link do fixlog http://przeklej.org/file/3uhLT9/Fixlog.txt

 

zaraz zrobię raporty spod Windowsa i wrzucę pliki

GMER jest w trakcie skanowania (wywaliło blue screen i komp się zresetował)

Powiedz proszę czy mają sens jeszcze jakieś zabiegi naprawcze, bo przejrzałem pliki i nie ma tu co zgrywać, bo to co mnie interesuje jest zaszyfrowane, więc chyba trzeba robić format pytanie tylko czy mogę to zrobić z recovery? Mam płytkę z W7 professional a w laptopie jest wersja home premium i musiałbym szukać i pobierać taką wersję. 

FRST.txt

Addition.txt

[picasso]

Moja pierwsza akcja miała na celu tylko odblokować Windows, byś mógł w wygodny sposób skopiować ewentualnie niezaszyfrowane lub inne dane nie podlegające szyfrowaniu. Raport FRST zrobiony z poziomu środowiska RE jest zawężony tylko do tych elementów, które mogą blokować uruchamianie Windows. Było spodziewane, że syf jest znacznie grubszy. Twoje bieżące logi wskazują, że trzebaby było czyścić masę innych miejsc (zainfekowany katalog sieciowy Winsock, Harmonogram zadań, wszystkie przeglądarki zaatakowane adware). Jest to sprawa w ogóle nieopłacalna w kontekście masowo zaszyfrowanych danych, z którymi nic nie dałoby się zrobić. Czyli format. Zacznij od Recovery, choć nie mam pewności czy coś nie zostało naruszone.

[KuBa23]

Ok, F8 teraz juz bedzie normalnie dzialac?

Czy jesli cos zostalo na recovery to bedzie to od razu widoczne po instalacji czy jakoś z czasem sie to zacznie objawiac??

F8 jednak nie działa, jak inaczej moge skorzystac z recovery?

[picasso]

Nie mogę sią dostać do trybu awaryjnego, bo po wciśnięciu F5 przy starcie a następnie F8 laptop (toshiba) się restartuje zamiast pokazać dodatkowe opcje.

vs.

 

F8 jednak nie działa, jak inaczej moge skorzystac z recovery?

Co to konkretnie znaczy "nie działa"? To samo co przed leczeniem, czy jakieś inne objawy teraz? Czy na pewno Recovery było wcześniej pod F8? Czy w ogóle działało wcześniej? Czy zmieniałeś kiedyś układ partycji jakimś narzędziem (to odcina dostęp do Recovery)?

 

 

==================== Dyski ================================
 

Drive c: (WINDOWS) (Fixed) (Total:149.04 GB) (Free:38.39 GB) NTFS

Drive d: (Data) (Fixed) (Total:148.65 GB) (Free:51.69 GB) NTFS

Drive e: (GRMCPRXFRER_PL_DVD) (CDROM) (Total:2.91 GB) (Free:0 GB) UDF

Drive f: () (Removable) (Total:3.72 GB) (Free:3.14 GB) FAT32

Drive g: () (Removable) (Total:14.54 GB) (Free:14.36 GB) FAT32
 

==================== MBR & Tablica partycji ==================
 

========================================================

Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298.1 GB) (Disk ID: 64ABF50A)

Partition 1: (Active) - (Size=400 MB) - (Type=27)

Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS)

Partition 3: (Not Active) - (Size=148.7 GB) - (Type=07 NTFS)
 

========================================================

Disk: 1 (Size: 3.7 GB) (Disk ID: 002EEFDA)

Partition 1: (Active) - (Size=3.7 GB) - (Type=0C)
 

========================================================

Disk: 2 (Size: 14.6 GB) (Disk ID: 001644FB)

Partition 1: (Active) - (Size=14.6 GB) - (Type=0C)
 

==================== Koniec Addition.txt ============================

 

Poproszę jeszcze o log z ListParts.

 

 

Czy jesli cos zostalo na recovery to bedzie to od razu widoczne po instalacji czy jakoś z czasem sie to zacznie objawiac??

Te trojany szyfrują tylko specyficzne rozszerzenia plików, nie spowoduje to braku działania czegoś, ale jakiś ubytki w obrazkach czy dokumentacji owszem. Przy czym jak mówię, tu w ogóle nie wiadomo co się działo z Recovery i czy cokolwiek jest naruszone.

[KuBa23]

Trzeba wcisnąć F5 potem F8 żeby wejść w zaawansowane opcje ale takie się nie pokazują, tylko normalnie uruchamia się system. Laptop jest kolegi i nie wiem czy coś mieszał z recovery, jesli już to nieświadomie, bo się nie zna na takich rzeczach.

Mogę prosić jeszcze raz o link do LIstParts, bo nie widzę takiego programu wśród tych, które są widoczne w tamtym poście

[picasso]

Z pośpiechu zlinkowałam zły adres. W międzyczasie już zedytowałam mój post i powyżej jest już poprawny link.

[KuBa23]

Plik z ListParts

Result.txt

[picasso]

Mam wątpliwości czy tu jest jakakolwiek partycja Recovery... Na dysku systemowym są 3 partycje. Przy czym tylko pierwsza jest ukryta (tam są pewnie systemowe pliki startowe) i jest za mała (tylko 400MB), by był tam kompletny obraz systemu. Dwie pozostałe są widoczne, C z systemem i D, D nie wygląda na Recovery. Tak więc pozostaje pytanie do kolegi czy nie robił czegoś z partycjami wcześniej.

[KuBa23]

Na dysku D byl folder recovery który miał ok 6 giga, ale program toshiby do recovery nie chciał stworzyć takiego dysku więc postawiłem w piątek system od nowa i już jest wszystko ok, jeszcze tylko kilka programów zainstaluje i będzie spoko.

Wielkie dzięki za pomoc :-)

Można się jakoś zabezpieczyć przed takimi wirusami?

Kolega potwierdził ze otwierał załącznik z poczty

[picasso]

Na dysku D byl folder recovery który miał ok 6 giga, ale program toshiby do recovery nie chciał stworzyć takiego dysku więc postawiłem w piątek system od nowa i już jest wszystko ok

Być może był nadpisany MBR eliminując możliwość uruchomienia programu Recovery. I sama partycja Recovery powinna być jednak ukryta, nie jestem pewna czy to D to była właściwa zawartość.

 

 

Można się jakoś zabezpieczyć przed takimi wirusami?

Są specjalne programy dedykowane temu zagadnieniu: KLIK.

[picasso]

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację:

 

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.