Gollum Opublikowano 5 Lipca 2016 Zgłoś Udostępnij Opublikowano 5 Lipca 2016 Witam. Próbuję wykonać log FRST, ale się wiesza w pewnym momencie. Spróbuję wykonać w trybie awaryjnym. Narazie chodzi o sam fakt zaszyfrowania plików sprawozdanie.doc.9004B - tak to wygląda. Jest jakaś szansa na odszyfrownie? Wiem, że są pewne wersje nie do ruszenia, ale są i takie na które już są dekodery. Logi z FRST jak mi się uda dorzucę, ale jak narazie proszę o informacje czy w ogóle da się to ugryźć? Odnośnik do komentarza
jessica Opublikowano 5 Lipca 2016 Zgłoś Udostępnij Opublikowano 5 Lipca 2016 https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/ sekcja Ransom - zaszyfrowane pliki nie widzę tam podanego przez Ciebie rozszerzenia "9004B", więc raczej nie ma żadnych szans na odszyfrowanie plików. jessi Odnośnik do komentarza
Gollum Opublikowano 5 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2016 OK. Tak myślałem bo tam zaglądałem, ale chciałem zapytać. W takim razie proszę o sprawdzenie logów bo muszę uruchomić komputer, aby można było bezpiecznie na nim zapisywac dokumenty - to komputer służbowy. Logi w załączniku z FRST, ale w trybie awaryjnym. Addition.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 5 Lipca 2016 Zgłoś Udostępnij Opublikowano 5 Lipca 2016 aby można było bezpiecznie na nim zapisywac dokumenty Nie wiem, czy można będzie zapisywać bezpiecznie pliki bez sformatowania dysku. Otwórz Notatnik i wklej w nim: C:\Documents and Settings\Galon\NetHood\Moje witryny sieci Web w sieci MSN\target.lnk ShellIconOverlayIdentifiers: [iB24SynchronizationPending] -> {08AD9864-E486-4cdb-8781-D507026CF5D6} => C:\Program Files\iBard24\\2.9.3.11337\IB24VirtualDrive.dll Brak pliku ShellIconOverlayIdentifiers: [iB24Synchronized] -> {08AD9864-E486-4cdb-8781-D507026CF5D7} => C:\Program Files\iBard24\\2.9.3.11337\IB24VirtualDrive.dll Brak pliku 2016-06-30 10:21 - 2016-06-30 10:21 - 00000568 ____T C:\Documents and Settings\All Users\Dane aplikacji\@F2596B8E6D73.cfg 1899-12-30 00:00 - 1899-12-30 00:00 - 1572918 ____T () C:\Documents and Settings\All Users\Dane aplikacji\@F2596B8E6D73.bmp 2016-06-30 10:21 - 2016-06-30 10:21 - 0000568 ____T () C:\Documents and Settings\All Users\Dane aplikacji\@F2596B8E6D73.cfg 1601-06-30 01:18 - 1601-06-30 01:18 - 0036204 _____ () C:\Documents and Settings\All Users\Dane aplikacji\@F2596B8E6D73.html EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix (NAPRAW). jessi Odnośnik do komentarza
Gollum Opublikowano 5 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 5 Lipca 2016 Dzięki serdeczne. Odnośnik do komentarza
picasso Opublikowano 11 Lipca 2016 Zgłoś Udostępnij Opublikowano 11 Lipca 2016 (edytowane) Rozszerzenie 9004B to jest nowy wariant CryptXXX: KLIK / KLIK. Obecnie CryptXXX stosuje losowe rozszerzenia dla zaszyfrowanych plików. Odkodowanie tej wersji awykonalne... Zadany skrypt FRST nie adresował tego komponentu startowego infekcji: Startup: C:\Documents and Settings\Galon\Menu Start\Programy\Autostart\@F2596B8E6D73.lnk [1899-12-30] ShortcutTarget: @F2596B8E6D73.lnk -> C:\WINDOWS\system32\regsvr32.exe (Microsoft Corporation) Przedstaw plik Fixlog.txt dowodujący usunięcie pozostałych składników infekcji. Następnie zrób nowy skan FRST. Edytowane 11 Sierpnia 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi