Generowanie plików "{RecOveR}-rcpvg__". Brak dostępu do wielu plików i aplikacji.

[exen]

Od soboty (albo piątku) mam następujący problem. Zaczęło się od próby autoaktualizacji Silverlighta, którą pominąłem. Komputer wyraźnie zaczął wolniej chodzić, po czym, po kilku minutach wrócił do normalności i do teraz nie ma problemów z wydajnością. Później zaczęły mi się pojawiać w różnych miejscach na dysku pliki o nazwie: 

{RecOveR}-rcpvg__

z trzema rozszerzeniami, html, txt i png. Ich treść jest taka sama - http://wklej.org/id/2220842/, przy czym w png jest jako obrazek. Aktualnie te pliki mam już w niemal każdym folderze na dyskach. Następnie straciłem możliwość włączenia wielu programów i plików, a przy starcie systemu dostaję taki zestaw okien: 

Tutaj chciałbym pokazać przykładowe błędy przy otwieraniu plików graficznych, tekstowych lub gier i aplikacji

Co ciekawe później Wiedźmin 3 się uruchomił.

Obecnie bez problemu korzystam m.in. z Chrome'a, Skype'a oraz Foobara.
 
Przed napisaniem tego tematu, czyściłem system już wielokrotnie za pomocą Adwcleanera oraz CCleanera i użyłem również Combofixa ZANIM trafiłem na to forum, tak więc dopiero teraz zdaję sobie sprawę czym dokładniej jest. Raz w życiu go dotychczas używałem i poradził sobie z problemem, jedynie czyszcząc kilka ustawień itp. bez zbędnych szkód, więc zaryzykowałem by go użyć ponownie. Po użyciu tych 3 programów, nie zauważyłem żadnych zmian na lepsze i gorsze. Niestety nie mam już chyba logów z użycia tych programów.
 
Jeszcze jednym objawem może być fakt, że potraciłem trochę miejsca na partycjach, ale jestem tego pewien i mogę się mylić (być może tylko mi się tak zdaje).
 
Nie jestem w stanie powiedzieć, po jakiej operacji z mojej strony doszło do tej infekcji.
 
Moja konfiguracja:
Windows 7 Professional x64
Xeon E5410 overclocked 3.1 GHz bez zmiany napięć
6 GB RAM
Radeon HD 5850
Płyta główna MSI P35 Neo2 FR

W załączniku umieszczam logi FRST oraz GMER. Jeśli są wymagane jeszcze jakieś informacje to udziele ich jak najszybciej będę mógł. Z góry dziękuję za pomoc. Bardzo mi zależy na dostępie do kilku plików i nie chciałbym ich stracić

Addition.txt

GMER.txt

FRST.txt

Shortcut.txt

[picasso]

Pliki {RecOveR}* zostały wyprodukowane przez infekcję szyfrującą dane w wariancie TeslaCrypt 4.0. Więcej na temat tej infekcji: KLIK. Jedna z dróg infekcji to niezałatane luki w Adobe Flash i widzę w Twoim logu powiązany obiekt CustomCLSID {F6BF8414-962C-40FE-90F1-B80A7E72DB9A}: KLIK.

 

Szyfrowaniu podlegały dane na wszystkich dyskach, a ich masz sporo. Nie jestem w stanie określić stopnia zaszyfrowania dysków, ale obawiam się, że proces wykonał się w stopniu całkowitym. W tym wariancie Tesla nawet nie da się rozpoznać po nazwie, że pliki zostały zaszyfrowane, problem jest demaskowany dopiero przy ich otwieraniu. Te pliki, które zgłaszają błędy otwierania, są zaszyfrowane i nic z nimi nie da się zrobić. Odszyfrowanie danych jest awykonalne bez uiszczenia opłaty przestępcom. Jeśli nie miałeś w bezpiecznym miejscu kopii zapasowej, dane zostały utracone. W Twojej sytuacji jedyna droga to próba skorzystania z jakiegoś programu do odzyskiwania danych (uruchomionego z innego dysku niż obecnie podpięte), tylko że szanse są marne.

 

 

Jedyne co w mojej gestii leży, to doczyszczenie śladów infekcji per se, czyli pustych już wpisów uruchomieniowych oraz nabitych masowo na wszystkich dyskach plików {RecOveR}*. Na dalszą metę zalecany kompleksowy format. Pod kątem doraźnego doczyszczania:

 

1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 19 NPAPI, Adobe Flash Player 20 ActiveX, Java 8 Update 73 (64-bit), Java SE Development Kit 7 Update 79 (64-bit), Java SE Development Kit 8 Update 31 (64-bit), Java SE Development Kit 8 Update 60 (64-bit).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1901158508-4074526197-3263088995-1001_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\wcnwiz.dll => Brak pliku 
HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-uccqjy] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe"
HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-wkuqin] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe"
HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-bmuvsu] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe"
HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\...\Run: [FIX2-bltrqu] => C:\Windows\SYSTEM32\CMD.EXE /C START "" "C:\Users\Janusz\AppData\Roaming\wsmprovhost.exe"
FF Extension: Collection of all the available BDA Tuning Model Tuning Space objects on this system - C:\Users\Janusz\AppData\Roaming\Mozilla\Firefox\Profiles\ljcw3rwa.default\Extensions\{D01B57A2-FBE5-9A12-1378-7E996E4B4BA6} [2016-04-02] [brak podpisu cyfrowego]
CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=113480&tt=2912_2&babsrc=HP_ss&mntrId=9c3a50d8000000000000001a4d0f94dd","hxxp://istart.webssearches.com/?type=hp&ts=1420656507&from=kmp&uid=WDCXWD800JB-00JJA0_WD-WCAM91714338","hxxp://www.oursurfing.com/?type=hp&ts=1442263354&z=28be9d751cf9fb79f3937acg8zezaoeobq1c4c9o8z&from=amt&uid=WDCXWD800JB-00JJA0_WD-WCAM91714338"
CHR DefaultSearchURL: Default -> hxxp://www.smarter.yt
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-1901158508-4074526197-3263088995-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Task: {484A9BFA-88C1-403F-995C-AF2B23AA3E1D} - System32\Tasks\{CCBD4E4C-04C2-4412-99BC-87AC2A211535} => pcalua.exe -a N:\Gry\disk1\setup.exe -d N:\Gry\disk1
Task: {679E111F-3EA2-4116-8DAB-FE1FB94786DE} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET Smart Security 8.0\upgrade.exe [2016-04-02] (ESET)
Task: {F346DF8C-4E00-4426-9A2C-D14D3803C32D} - System32\Tasks\{DEF6CEFA-7F7A-4F3F-A4D3-BCB7BB5914BD} => E:\Gry\Baldur's Gate 2\BGMain.exe
S1 Capsax64Drv0; System32\Drivers\Capsax64Drv0.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S1 CSN5PDTS82; System32\Drivers\CSN5PDTS82.sys [X]
S1 CSN5PDTS82x64; System32\Drivers\CSN5PDTS82x64.sys [X]
S1 CsNdisLWF; System32\Drivers\CsNdisLWF.sys [X]
S1 EIO64; system32\DRIVERS\EIO64.sys [X]
S4 NVHDA; system32\drivers\nvhda64v.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
AlternateDataStreams: C:\Users\Janusz\Local Settings:init [5748438]
AlternateDataStreams: C:\Users\Janusz\Ustawienia lokalne:qkJJrt7pPhX46n6UWw9n1Pgz [2920]
AlternateDataStreams: C:\Users\Janusz\AppData\Local:qkJJrt7pPhX46n6UWw9n1Pgz [2920]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\32788R22FWJFW
RemoveDirectory: C:\Program Files\Common Files\AV\ESET Smart Security 8.0
RemoveDirectory: C:\Program Files (x86)\baidu
RemoveDirectory: C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
RemoveDirectory: C:\ProgramData\Baidu
RemoveDirectory: C:\ProgramData\ESET
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Isle
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cities Skylines
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HoMM3 HD
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\O22y Inc
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\rFactor
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Starcraft
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unity
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin Powrót Białego Wilka
RemoveDirectory: C:\Users\Janusz\AppData\Local\Microsoft\Windows\GameExplorer\{248ABB68-6A73-4369-8EC2-C7409CDF2C88}
RemoveDirectory: C:\Users\Janusz\AppData\Local\Microsoft\Windows\GameExplorer\{7EA5ECA9-2125-43F5-A8AD-5C56210609CA}
RemoveDirectory: C:\Users\Janusz\AppData\Local\Microsoft\Windows\GameExplorer\{AD453081-50D0-43DF-B519-88A209FF88BE}
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\ESET
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Opera Software
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Minecraft
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Gothic
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wrye Bash
RemoveDirectory: C:\Users\Public\Documents\Baidu
C:\Users\Janusz\AppData\Local\ACCCx2_9_0_465.zip.aamdownload.aamd
C:\Users\Janusz\AppData\Roaming\Adobe-Japan1-4
C:\Users\Janusz\AppData\Roaming\cyan bl 2.ADO
C:\Users\Janusz\AppData\Roaming\Title_select-highlight.png
C:\Users\Janusz\AppData\Roaming\YauponFilmographySelfdirector
C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\2e9b73709efe5cec\MATLAB R2011a.lnk
C:\Users\Janusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\98de95ded41d25b0\MATLAB R2013b.lnk
C:\Users\Public\Desktop\Wiedźmin Powrót Białego Wilka.lnk
C:\Users\Janusz\Documents\Adobe\After Effects CS6\User Presets\(Adobe).lnk
CMD: netsh advfirewall reset
CMD: attrib -r -h -s C:\{RecOveR}* /s
CMD: attrib -r -h -s D:\{RecOveR}* /s
CMD: attrib -r -h -s E:\{RecOveR}* /s
CMD: attrib -r -h -s F:\{RecOveR}* /s
CMD: attrib -r -h -s G:\{RecOveR}* /s
CMD: attrib -r -h -s J:\{RecOveR}* /s
CMD: attrib -r -h -s N:\{RecOveR}* /s
CMD: del /q /s C:\{RecOveR}*
CMD: del /q /s D:\{RecOveR}*
CMD: del /q /s E:\{RecOveR}*
CMD: del /q /s F:\{RecOveR}*
CMD: del /q /s G:\{RecOveR}*
CMD: del /q /s J:\{RecOveR}*
CMD: del /q /s N:\{RecOveR}*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog prawdopodobnie będzie ogromny i nie zmieści się w załączniku - w takim przypadku shostuj go na jakimś zewnętrznym serwisie i podaj link do pliku.

[exen]

Po naprawie za pomocą fixlist.txt, problem z oknami cmd przy starcie zniknął, a pliki {recover}* zostały usunięte.

 

Zapoznałem się z artykułem i komentarzami na temat TeslaCrypt i rozumiem, że plików nie odzyskam, choć będę temat śledził. Może jakieś tęgie głowy, kiedyś przechytrzą tych wyłudzaczy pieniędzy (ktoś wspominał o ogromnych kwotach). Na szczęście, na chwilę obecną, nie przypominam sobie bym miał gdzieś na dysku bardzo ważne pliki, których bym nie miał na innym nośniku lub w chmurze. Najważniejsza dla mnie praca była na pamięci przenośnej, ale i tak trochę mi szkoda reszty.

 

Ciekawa informacja dla wszystkich: z tego co zdążyłem zauważyć, nie zostały zaszyfrowane pliki .mp3, .gif, .iso, .exe i niektóre formaty video. Nie wszystko jeszcze zdążyłem sprawdzić.

 

Czy istnieje jakaś metoda na ochronę przed takim atakiem? Oprócz aktualizacji flasha lub całkowitego pozbycie się go i korzystanie wyłącznie z Chrome'a. Czy darmowe pakiety z tematu https://www.fixitpc.pl/topic/29208-lista-darmowych-i-komercyjnych-program%C3%B3w-zabezpieczaj%C4%85cych/ dadzą radę?

 

Dziękuję za rzetelną pomoc

 

Dodaję w załączniku FRST.txt, a fixlog.txt na hostingu zippyshare.com: http://www112.zippyshare.com/v/Ztk36uH2/file.html

FRST.txt

[picasso]

Potrzebuję trochę więcej czasu na przejrzenie wyników Fixlog. Potem zedytuję tu swój post i odpowiem na resztę pytań.

[exen]

Dziękuję za dotychczasową pomoc. Jak wygląda sprawa z tymi logami?

[picasso]

Mam pytanie: czy na pozostałych dyskach są zainstalowane inne systemy? W wynikach Fixlog widzę:

- Na D katalogi starego XP D:\Documents and Settings + D:\WINDOWS, pełne folderów starych programów i śmieci.

- Na G katalogi G:\Users + G:\Windows nowszego systemu, bardzo bogate w programy.

A może to jakieś kopie zapasowe, bądź "odpadki" po innych instalacjach gotowe do upłynnienia?

 

 

Jeśli chodzi o podane akcje, pomyślnie wykonane. Drobne korekty dodatkowe:

 

1. Do zestawu, który trzeba odinstalować, wchodzi QuickTime + Obsługa programów Apple. Co dopiero wykryto krytyczną lukę w programie, Apple zamiast naprawić ... usunęło wsparcie dla Windows i zalecana jest deinstalacja.

 

2. W Google Chrome są adresy adware.

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy, przestaw na "Otwórz stronę nowej karty"
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną Google, skasuj z listy śmieci.

3. Otwórz Notatnik i wklej w nim:

 

S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\ProgramData\Blizzard Entertainment\Battle.net\Cache
RemoveDirectory: C:\Users\Janusz\AppData\Roaming\Opera Software
RemoveDirectory: G:\ProgramData\APN
RemoveDirectory: G:\ProgramData\ArcaBit

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Będzie bardzo mały i wejdzie do załącznika.

 

 

 

Czy istnieje jakaś metoda na ochronę przed takim atakiem? Oprócz aktualizacji flasha lub całkowitego pozbycie się go i korzystanie wyłącznie z Chrome'a. Czy darmowe pakiety z tematu  https://www.fixitpc.pl/topic/29208-lista-darmowych-i-komercyjnych-programów-zabezpieczających/ dadzą radę?

W samo Chrome nie należy pokładać zbyt dużej wiary. Z tematu przydatne pozycje w kontekście infekcji szyfrujących:

 

Darmowe:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

• Bitdefender Anti-Ransomware
• CryptoPrevent Free Edition
• EMET (Enhanced Mitigation Experience Toolkit)
• Malwarebytes Anti-Exploit Free [Przez 14-dni można testować wszystkie funkcje, potem następuje przełączenie na limitowaną wersję freeware]

Inne monitory / Anti-exe, śledzenie zachowań, HIPS

• NoVirusThanks EXE Radar Pro [beta] [starsza wersja stabilna jest płatna]
• VoodooShield Free

Komercyjne:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

• CryptoPrevent Premium
• HitmanPro.Alert
• Malwarebytes Anti-Exploit (MBAE) Premium
• Malwarebytes Anti-Ransomware [beta. Produkt przejściowy, jego funkcjonalność zostanie scalona z innym produktem Malwarebytes.]
• WinAntiRansom PLUS

Inne monitory / Anti-exe, śledzenie zachowań, HIPS

• AppGuard
• VoodooShield Pro

Ponadto, oczywiście kopie zapasowych danych, gromadzone w bezpiecznym izolowanym miejscu (dysk nie podpięty na stałe).

[exen]

Mam pytanie: czy na pozostałych dyskach są zainstalowane inne systemy? W wynikach Fixlog widzę:

- Na D katalogi starego XP D:\Documents and Settings + D:\WINDOWS, pełne folderów starych programów i śmieci.

- Na G katalogi G:\Users + G:\Windows nowszego systemu, bardzo bogate w programy.

A może to jakieś kopie zapasowe, bądź "odpadki" po innych instalacjach gotowe do upłynnienia?

 

Tak, na D i G mam windowsy xp, jeden z nich jest sprawy i trzymam go jedynie na wypadek jakiejś awarii, gdybym musiał szybko skorzystać z jakiegokolwiek systemu, a użycie płyty Hiren's byłoby niemożliwe. Niestety nie pamiętam, który z nich jest sprawny i nie mam go w BCD. Na dniach postaram się określić, który jest sprawny, a drugiego się pozbędę, przy okazji posprzątam programy, których nie używam z tych partycji.

 

Programów od Apple już się pozbyłem kilka dni temu, m.in. z racji porzucenia wsparcia, a i tak nie były mi już potrzebne.

 

 

Postaram się przeglądnąć te programy Anti-Exploit, Anti-Ransomware, i zastosować, w miarę możliwości.

W załączniku dodaję plik Fixlog.txt, po zastosowaniu FRST.

[picasso]

Tak, na D i G mam windowsy xp, jeden z nich jest sprawy i trzymam go jedynie na wypadek jakiejś awarii, gdybym musiał szybko skorzystać z jakiegokolwiek systemu, a użycie płyty Hiren's byłoby niemożliwe. Niestety nie pamiętam, który z nich jest sprawny i nie mam go w BCD. Na dniach postaram się określić, który jest sprawny, a drugiego się pozbędę, przy okazji posprzątam programy, których nie używam z tych partycji.

Gdy już ogarniesz układ, możesz zrobić na wszelki wypadek raporty FRST z poziomu tego drugiego systemu. Mogę doczyścić tam ewentualne śmieci.

 

W załączniku dodaję plik Fixlog.txt, po zastosowaniu FRST.

Nie widzę załącznika...

 

Postaram się przeglądnąć te programy Anti-Exploit, Anti-Ransomware, i zastosować, w miarę możliwości.

Zapomniałam wypunktować, by nie przesadzić i nie załadować zbyt dużo na raz, unikając krzyżowania pewnych funkcji. Np. jeśli EMET, to nie Malwarebytes Anti-Exploit. Zresztą program Malwarebytes nawet wykrywa EMET i nie pozwala się zainstalować. To niby można zmanipulować przestawiając kolejność instalacji, ale nie sądzę, że to dobry pomysł.

[exen]

Oh, coś nie załapało i załącznik się nie dodał. Poprawiam w tym poście.

Fixlog.txt

[picasso]

Drobny błąd przy przeklejaniu zrobiłeś, załączyłeś w skrypcie tag forum "no parse", dlatego nie skasował się odpadkowy folder G:\ProgramData\ArcaBit. Ręcznie go dokasuj. I jak mówię, po posprzątaniu ogólnym dysków możesz dodać raporty FRST z drugiego systemu.

[picasso]

"Projekt" TeslaCrypt został zamknięty, o dziwo przestępcy upublicznili klucz i w dekoderach TeslaDecoder lub ESET TeslaCrypt decrypter jest już możliwe odkodowanie plików zakodowanych przez TeslaCrypt 3 i 4 (rozszerzenia .xxx, .ttt, .micro, .mp3 lub brak zmiany w rozszerzeniach).

[exen]

Świetna wiadomość Od razu przetestowałem pierwszy folder "z brzegu" i działa. Co ciekawe, odkodowanie ~10mb jest natychmiastowe.

Przynajmniej się nauczyłem jak lepiej chronić komputer, jak również archiwizować większość dokumentów w kilku miejscach. Jeszcze raz dziękuję za pomoc i za tą miłą informacje.

[picasso]

Czy będziemy się zajmować sprzątaniem drugiego pobocznego systemu, czy też już samodzielnie porobiłeś porządki?

[exen]

Samodzielnie posprzątałem. Nie jest on tak istotny, po odzyskaniu plików zrobię na tych dwóch partycjach format, scalę je i postawię coś na świeżo.
Jeśli chodzi o wątek, to ja nie mam nic przeciwko, żeby go zamknąć. Gdybym miał jakiś problem z programami Anti-Exploit, Anti-Ransomware to zadam pytanie w odpowiednim wątku lub, jeśli to możliwe, poproszę o otwarcie. Chyba, że na tym forum się nie zamyka tematów.

[picasso]

W tej sytuacji temat zamykam. Tak, oczywiście rozwiązane tematy są zamykane, m.in. też po to by zapobiec dopisywaniu się innych użytkowników.