mathew1604 Opublikowano 20 Sierpnia 2019 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2019 Witam. Załapałem infekcję, która zaszyfrowała wszystkie pliki na dysku - otrzymałem komunikat "The file is encrypted with the RSA-2048 algorithm, only we can descrypt the file" - to pewnie Scarab-Danger Ransomware ?! W załączeniu logi, proszę o pomoc... Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 20 Sierpnia 2019 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2019 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKU\S-1-5-21-294818700-3649732270-2478189574-1000\...\Run: [DmxIIItlniJrU] => C:\Users\My\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT [1238 2019-08-18] () [Brak podpisu cyfrowego] Handler: ms-help - {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll Brak pliku Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL Brak pliku FF Plugin: @microsoft.com/OfficeAuthz,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL [Brak pliku] FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL [Brak pliku] FF Plugin: Adobe Reader -> C:\Program Files\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll [Brak pliku] S3 ose; "C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE" [X] S3 osppsvc; "C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE" [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] RemoveDirectory: C:\XXXymGvkDj8xdvgN 2019-08-18 20:28 - 2019-08-18 20:28 - 000001238 _____ C:\Users\Public\Downloads\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-18 20:26 - 2019-08-18 20:26 - 000001238 _____ C:\Users\Public\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-18 20:26 - 2019-08-18 20:26 - 000001238 _____ C:\Users\Public\Documents\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-18 20:26 - 2019-08-18 20:26 - 000001238 _____ C:\Users\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-18 20:24 - 2019-08-18 20:24 - 000001238 _____ C:\Program Files\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-18 20:23 - 2019-08-18 20:23 - 000001238 _____ C:\Users\My\Downloads\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-18 20:23 - 2019-08-18 20:23 - 000001238 _____ C:\Users\My\Documents\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-18 20:23 - 2019-08-18 20:23 - 000001238 _____ C:\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-18 20:19 - 2019-08-18 21:08 - 000001238 _____ C:\Users\My\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-18 20:19 - 2019-08-18 21:08 - 000001238 _____ C:\Users\My\Desktop\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2019-08-11 18:26 - 2019-08-11 18:26 - 001144718 _____ C:\Users\My\Desktop\yzUo3x3faEYnIZgHrprmeMYa+sGw=jVOGE2CxmXz5rjvVgpW=mnHxHC0LWgWBGSrsMXoyVnxiBJWok.btchelp@xmpp.jp 2019-08-18 20:24 - 2019-08-18 20:24 - 000001238 _____ () C:\Program Files\HOW TO RECOVER - btchelp@xmpp.jp ENCRYPTED FILES.TXT 2009-07-14 06:41 - 2009-07-14 06:41 - 000000373 ___SH () C:\Program Files\wT38XgNzWdXXfo1DrvAc6LVSANC3QA.btchelp@xmpp.jp FirewallRules: [{A612BC6B-5404-4829-AE14-84BA850C15ED}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe Brak pliku FirewallRules: [{2FC05801-7DBD-467A-8E12-562A556259C5}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\What is new in the latest version.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Strona internetowa aplikacji PDFCreator.lnk EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Nie ma żadnego deszyfratora, więc szanse na odzyskanie plików są prawie żadne. Teoretycznie można przesłać te pliki do Dr.Web ( emte@adc-soft.com ) i sprawdzić, czy eksperci ds. Bezpieczeństwa mogą odszyfrować pliki za Ciebie. https://translate.google.com/translate?hl=pl&sl=en&u=https://www.2-spyware.com/remove-scarab-ransomware-virus.html&prev=search jessi Odnośnik do komentarza
mathew1604 Opublikowano 20 Sierpnia 2019 Autor Zgłoś Udostępnij Opublikowano 20 Sierpnia 2019 Dziękuję za pomoc. Wykonałem zalecenia i system wydaje się być uleczony, czy jeszcze jakieś czynności wykonać żeby to świństwo usunąć? Czy ten zabieg wyczyścił go w 100% ? W załączeniu fixlog i nowe pliki po skanowaniu. Mogę prosić o sprawdzenie teraz ? Pliki oczywiście pozostają zaszyfrowane Znalazłem podobny problem i w jakiś sposób udało się uratować pliki... https://www.elektroda.pl/rtvforum/topic3485147.html?fbclid=IwAR375Nvuja8F3oV516sKfQq7jGH1Pil3brcU_5ipwIeniwd3rH4_AS_Qt-s Może jednak jest jakiś sposób... Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 20 Sierpnia 2019 Zgłoś Udostępnij Opublikowano 20 Sierpnia 2019 Cytat i w jakiś sposób udało się uratować pliki w tamtym przypadku po prostu zdarzył się cud, ale na więcej takich cudów nie ma co liczyć. W nowych logach - nic ciekawego. jessi Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się