Prawie cały komputer zaszyfrowany plikami .crypted.

Post13 sie 2013, 17:21

Witam, mam ten sam problem z zakodowanymi plikami, Windows 7, niestety ktoś "mądry" zanim oddał mi komputer zrobił sobie przywracanie systemu więc na dobrą sprawę nie wiem nawet co zakodowało pliki i nie mam jak zaczepić się w poszukiwaniach ;/

System działa nieźle na tą chwilę, ale kilkaset zdjęć jest nie do ruszenia, tak jak skróty na pulpicie, pdfy, pliki tekstowe itp. Pliki w folderze Windows, Program Files itp. nie zainfekowane.

Próbowałem dostać się do plików tym progsem z kulju postów wyżej od Kasperskiego - bezskutecznie, nic nie znajduje. Znalazłem PandaUnRansom.zip jednak też nie radzi sobie z rozkodowaniem. Dodam że podglądając pliki przez TC widać same chińskie znaczki ;/ Będę wdzięczny jeśli ktoś podpowie jak odzyskać pliki...

EDIT: Wrzucam wyniki skanowania, jednak podejrzewam, że nie ma w nich tego co spowodowało zaszyfrowanie plików.

OTL Dostępne tylko dla zarejestrowanych użytkowników
Extras Dostępne tylko dla zarejestrowanych użytkowników
Tdsskiller Dostępne tylko dla zarejestrowanych użytkowników

EDIT2:
Tak wygląda zaszyfrowany skrót do skype z pulpitu.

Kod: Zaznacz cały

-ě• ń„Rk'x‹EÇz¬&:Ďßk/˝đŤ—Y¦Ţ‹ź%•™†[Ą <|˛kK˝OK™źĘĺs28¤—Ą‘=‰_ü_xV“!^ä\˝®«Ň±Ţ5Ťíç¤ LbĆ¤¦±†ŇfśÁ3h6ü>FˇWZ"‡‚Ş©®›2Ě·Ě174!´Â\ď—ĺ‰-FÍâ"’6kp8y3[˝´H4Çă†gßQń”^uwOÉ Âş¤ĎěG¸Śt\˝S°P%:©—Ę'RZş[(ţ@Ł&~l‰F˝3™ßÚ-›H‡E!q:^ťŇZtě†˘ńMGŠ*ČF’EkŘóF=lkˇ*pŹEµX98Ckł^ąĘ9ÓČ}Zm’łBó<7MS•ăÇ”Îlzłß/`W©hĄŞ«“Ă+»v/’ÇK”äüDiew‹[ös¦.[°Í«m™^†v±0™!ú!Ă’TŢ|®#˛Â«Ŕ×lĂSíR8 ŘţwĘ[ňď–‰˛SX¨üđńžf4’S!ž9WŽ¤ź2ë;%Ö»đŢîÍ{ÇU#O|l)Šs¨Ĺ‚Ë¸ó+ěLźőßo5xÜŻČ»Öö:[ť/.YVwfŔ7DĐj!„7Ć¨ă~•H|“lRËŹ   ţü‰µ•Ëă×GGýŕ\Í)€J$3\łn/ČOó˛öQ©(ř|lpyÚÜ-ŻŕąOËLc#é*;‡đˇn93I‘!§L_}Oĺ-Ęb?ĆŻ«IDx ĺxjŘ?p¶·ĆÇřĘ»Nĺj:đň|lÚĺzŘ   Ä-'Ž‚ňâ-ű<¸>;Ž€©AQ˙BÝŰl÷Ş¬@ xAŠ©ýď˘UUbÉ~őĚ@|}ůĆŤ4 ć!O|;Â×geĺ_gw
ôĎcYŢüĚż1ĂůQG{»“ÁŔ2^=Koăa$ÓÖ]sť¸’
[j®Tđ–”ţżÄ['WôŮ
(mË[FŠ«ŠQ—{™ýýĐM±$z·š`očW¶<… 6š§Ô
)ăËvB~±\‚>MMëoÓVřŘľŕ<ŔÇb‚=eěńĚvŁ{É4ľ~AhčS]ŞYÓ]+ ł2ą»Pľ Ô[¸g¸şĆď%ś~ź¬‘šď`ÜńI«’Ŕąsc)XĽKc   l¦ÔNŁ^vKÂ ®¶)‹Ždž†ş˙fÔm{,t\ű/ŘÂŚđ#b#Ú÷"?&ÉďyĺđďŞ‚©-Ôút×üXzŐ·UÁŤZ_‹w}ŮyÜ‚IÓ+Ąa×4ä÷á“*5ăĆ¨“S·˙óÓď±Ç¦ęí)˘a$›‘Ü°}Ńľ!äđ@
E‰{Z•ĹéJ°AYÂ<óa
Üď˙<t'ëÁ8N .ťćUeF—˛ŚDŔä,ç
śęŕw»b–=™ĚýŔ.«ËŐ\ĹbtÄęq8ży@‰ÔČżë˙$°ăµf]ĂóqâŽ€BEăČńĘ4]¸Ýe•BŠ1 Bţ<i/¶`RČ4áY%ŕ±ý÷ëK$±đô‰gÁ~d©ŚÎh.ę.WZ-¦†8†ÝHŮ†„®Ueń·R®+#rŞ@”G9R`ČŠÄ+ÝÝýLźhŚÜĎĘ‚
H‹ŔîQµ»8}#:E)‹®úS÷W¬uHOµöě+ĂcřŠ Ô @ŕžąwô|#ŁoçDśVüx2#á‹÷íhŔIĺÍĹ>e'ç±ŢşŃÁźÜ¦YeÄť@7oś“Ä«ÎžŇí˛TXôüWűĽÖˇnú˙äoű®ř¬÷"+Ć«˝ióCńęteíuŕä@ă%VBOŔRb‹Qä=yýĚzü@Ď
† }Tg¤#ŻbŘ´Y{˘X+óHF¬Ë4uČť´§XSÜcôŠ: Ţšµ˛Iťń}ýéâÚ/Âë,>Ţ#Á›4ëMvH”Ň3űŤ‹C;ľüéÁcß^NoobőY×N_±<ëÎÄ‚˝" ÁDî8JŇ6ŔFŘ$EU»Ü,1Çxú_0~ÔŮđÓ=ě:§^WoË"`»{†¶:Ał×ců+;É“Ůö@:®HšĽÓ×ţv,Ad&ľŢpÂ9vVöĆHÁś<Čßń´"Ş'ăŇ)«/=-Ľ
·Ń|.bé*—0ÜWRóYúW®5ťÍt hŘżÉśr•®´GDEÍcĎâ9VO~=±ŞÇzSW•î°!s1˙3rd—†™]¸Us/ď‡śyŹî1ěŻ•ŞeÔ;—XeFK÷ą•‰Ťťö™8OT-¸Ş}ŃÚGŻť*u;5Ř‹[ÉaĚ   
tf§UöĚ.$T-PLÇŠQ&CŹ;Â2HĹd±#×Lč6ß(NÁý6âŰIŇ®á0Â‚“Ó§ćxDo›Č?‚ŠÚŘĆFW?ÖöřňT!ˇ´ż¬˙—Z
7\‹µWe•Žeď—N¶TŤ.”}$ďžyFĽ«ć±#ĽŢr˝v3ÚWnšaÉ€K,üAÜ Ü˛kÖ@Ą!ęć8ţŮ\¬ŠF}źRbJfAćšw~‰C0`µ˙«Î¶kűĐ)1
<2Ł](BűA|ČěČHLś›»srĘÚ’ÉyX(ýWÝiŐ~   ĘăÔŔoĎÚđ˛ťSB»ĹI‘
(Ś]f^lŔËeKč_=^!–ˇˇ[Ż4Ô~łŹ“ÔZ€Ç-ŽE¨@rÝ©ĺ€nos q€röŹĂ2Ž,ë—Ž43
ź;áÚ7r˛LstĹďđëĂ‰jlć›nŮloÄ^ŽČf¦Śn¤xďř0[G   ç]·Ř!^Ź/>-V_RŠäh|ŕ>łT„¤ÉBňŃÂnUşôŞ·Ân„Eő)ěŞwĂŞŘć9S,Ó.K¸óżnńgVĘű;Ý9‹ÚCË)ŠYV${Ţ"¤3¨T3ŇÜpą!Ř^7°ŕ˙„Gwť~!a¸Oűäi4očFŻí$Đ<Űđýě>ňâ´łpg·“hwémRŘc¨gQ—gr[KA8Ľ©e¸Híů[Â
Î
Ľ¦.‚»×šb‘ľ«ńqH˛×)űx~ˇe™ěR–©ý2|NDÔŽđ9ö{      +¤¤Wóúü{ ×¤˝ćÔŃńëĺ"’o’b5Âë«řI<ÁŇ?»f¤I‰ö˘}‘…Â='†óĐ•ö
ń“ÄÁ4Dą<}ĎT€S·ţŠäÄŁP˝ĂŔáQWŽ0Đ.!»i   ŇČű—¤×QRvHĹOÔ)ë¸>ŘŹe.úľf0oţ´»Š¨/ö9ug3ˇý»˝:úYý–îE¸cĘßůK¸ĺŠřť4ô©{:Ř   »GĘk   4Ă%ŻSă4Kp…DĂ±pŐžÜÁB#ËôĚ;č·čnJ
FO9®ŇmOĹÄu‘ó¬ŕ«AOç)&(ŇGhŇZÇúôöÖ¦9źŘ 2WŢOúňżYšv%Ű>:8OFnH˛uÍ,wžřéAqĚ~›Â3]3mb\kćZŁ>ňr}@ÝěĂRőeTcuëg”čŚ¶ˇ¬Ű/¸‰Ypäw—«)ŔJ^ýKŢĺ+O4Ţĺ.¬M¦ç:‰LhhěĚX’âĄ%ó$:˘?<°0“ Ś¤¨ÜG’“‚Ł`Îëŕ9v¶ń»Vą8ßś¶ŮżÚŻćzôű¤‹··@fµ_#ŐôM|‚;á7ňŚU$N4đü”!»4žŹnŮrď@l‰ďŇŘ.áéqŐ©}

Post13 sie 2013, 18:59

mam dokładnie ten sam problem najpierw miałem Ukasha po jego utylizacji zobaczyłem pliki z rozszerzeniem *.crypted :/

Post13 sie 2013, 19:02

Masz może jakieś zdjęcia jak to w ogóle wyglądała ta odmiana Ukasha, jakiś adres e-meil lub coś charakterystycznego? Cokolwiek, na podstawie czego mógłbym poszukać czegoś konkretnego w internecie?

Post13 sie 2013, 19:07

niestety screena nie mam żadnego z tej odmiany znalazłem w internecie tylko że to może być wina wirusa win32.crypt ale każde narzędzie jakie użyłem jakoś nie rozwiązało sprawy spyhunter wyczyścił co mógł kaspersky nie znalazł nic więcej i nadal wszystkie pliki mają rozszerzenie .crypted

ps.
zmieniłem rozszerzenie zdjęcia z .crypted na .jpg tak jak miały do tej pory ale nie mogę podglądnąć pliku .

Post13 sie 2013, 19:32

Mi też głównie chodzi o zdjęcia, próbowałem otworzyć irfanem, ale to nie jest jakaś amatorka ze zmianą rozszerzenia

Wystarczy porównać jak wygląda struktura zwykłego skrótu, a jak wygląda zakodowany (jak wkleiłem wyżej).

Post13 sie 2013, 19:38

arkadush jak chcesz to pisz na gg 4972212 z nowościami jak coś będę wiedział odpiszę

Post14 sie 2013, 12:25

mam dokładnie ten sam problem najpierw miałem Ukasha po jego utylizacji zobaczyłem pliki z rozszerzeniem *.crypted :/

Załóż nowy temat w tym dziale. Na zachętę? Mam tutaj akurat kogoś z tym problemem, zostało tylko kilka plików, już kończę u Niego pomyślne zwalczenie infekcji (proszę tylko nie wykonywać tego, co mu tam napisałem - każdy przypadek jest inny).

Masz może jakieś zdjęcia jak to w ogóle wyglądała ta odmiana Ukasha, jakiś adres e-meil lub coś charakterystycznego? Cokolwiek, na podstawie czego mógłbym poszukać czegoś konkretnego w internecie?

Nie to nie jest odmiana wspomnianego wirusa. To odmiana wirusa Ransom o nazwie Xorist.

każde narzędzie jakie użyłem jakoś nie rozwiązało sprawy spyhunter wyczyścił co mógł kaspersky nie znalazł nic więcej i nadal wszystkie pliki mają rozszerzenie .crypted

SpyHunter - tylko reklama mówi, że usuwa tą infekcję - nie spotkałem w życiu nikogo komu on naprawiłby coś. Kaspersky sam w sobie sobie nie radzi, ale stworzył on odrębne narzędzie do tego.

Reasumacja.

mateusz2552 zakłada swój temat, gdzie mu pomogę. Tutaj prowadzimy naprawę systemu użytkownika arkadush.

Próbowałem dostać się do plików tym progsem z kulju postów wyżej od Kasperskiego - bezskutecznie, nic nie znajduje. Znalazłem PandaUnRansom.zip jednak też nie radzi sobie z rozkodowaniem. Dodam że podglądając pliki przez TC widać same chińskie znaczki ;/ Będę wdzięczny jeśli ktoś podpowie jak odzyskać pliki...

Na początek wykonaj Dostępne tylko dla zarejestrowanych użytkowników. W programie pamiętaj, żeby zaznaczone były wszystkie 4 dostępne tam opcję, a nie tylko domyślne dwie.

"vShare" = vShare Plugin
"vShare.tv plugin" = vShare.tv plugin 1.3
"uTorrentControl2 Toolbar" = uTorrentControl2 Toolbar
"StartSearch Toolbar" = StartSearch Toolbar 1.3
"InstallShield_{F64684A0-754B-4637-B7F9-6E8DAA8CD5CD}" = TOSHIBA Bulletin Board
"InstallShield_{F67FA545-D8E5-4209-86B1-AEE045D1003F}" = TOSHIBA Face Recognition
"InstallShield_{D4322448-B6AF-4316-B859-D8A0E84DCB38}" = Program TOSHIBA HDD/SSD Alert
"InstallShield_{773970F1-5EBA-4474-ADEE-1EA3B0A59492}" = TOSHIBA Recovery Media Creator Reminder
"InstallShield_{51B4E156-14A5-4904-9AE4-B1AA2A0E46BE}" = TOSHIBA Hasło administratora
"Gadu-Gadu" = Gadu-Gadu 7.7
"AVG9Uninstall" = AVG Free 9.0
"{1a413f37-ed88-4fec-9666-5c48dc4b7bb7}" = YTD Video Downloader 4.1
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer

Odinstaluj.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\URLSearchHook: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {F746E899-1211-4437-8894-638482EFB06C}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{422DFC53-AE06-4E72-8F4C-5C9D591EE5D7}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{8708F61E-84BA-4F06-8004-BD3773D0239D}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKLM\..\SearchScopes\{F746E899-1211-4437-8894-638482EFB06C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&srch=dsp
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes\{422DFC53-AE06-4E72-8F4C-5C9D591EE5D7}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7TSEH_plPL369
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes\{8708F61E-84BA-4F06-8004-BD3773D0239D}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7TSEH_pl
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes\{9056D1C3-5E5B-4625-9A1E-8D15288B6532}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&tag=tochibauk-win7-ie-search-21&index=blended&linkCode=ur2
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes\{C52C9FE7-9EFA-4962-AA2F-6A24B36B41EB}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}
IE - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\SearchScopes\{F746E899-1211-4437-8894-638482EFB06C}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7TSEH_plPL369
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_7_700_169.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll (Google Inc.)
[2010-07-26 21:17:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\dariana\AppData\Roaming\mozilla\Extensions\{a463f10c-3994-11da-9945-000d60ca027b}
[2013-08-08 19:42:04 | 000,000,000 | ---D | M] (No name found) -- C:\Users\dariana\AppData\Roaming\mozilla\Firefox\extensions\{687578b9-7132-4a7a-80e4-30ee31099e03}
CHR - Extension: No name found = C:\Users\dariana\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\.crypted
CHR - Extension: No name found = C:\Users\dariana\AppData\Local\Google\Chrome\User Data\Default\Extensions\hddfonaogcghjhjfanlglhgpafpelmpf\4.3_0\.crypted
CHR - Extension: No name found = C:\Users\dariana\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\.crypted
CHR - Extension: No name found = C:\Users\dariana\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.19.11_0\.crypted
O2 - BHO: (HomeTab) - {4843659b-cb45-4a1e-bbca-60f23ffff91f} - C:\Users\dariana\AppData\Roaming\HomeTab\HomeTab.dll File not found
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\dariana\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O3 - HKLM\..\Toolbar: (HomeTab) - {4843659b-cb45-4a1e-bbca-60f23ffff91f} - C:\Users\dariana\AppData\Roaming\HomeTab\HomeTab.dll File not found
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~2\Office12\EXCEL.EXE/3000 File not found
[2013-07-25 21:13:11 | 000,000,000 | ---D | C] -- C:\Users\dariana\AppData\Roaming\SimplyTech
[2013-07-25 21:13:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HomeTab
[2013-07-25 21:13:10 | 000,000,000 | ---D | C] -- C:\Users\dariana\AppData\Roaming\HomeTab
[2013-07-25 21:13:10 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\HomeTab
[2010-02-22 21:51:52 | 003,414,528 | ---- | C] (Karol Winnicki) -- C:\Program Files\BESTplayer.exe
[2013-08-08 21:21:18 | 000,000,128 | ---- | M] () -- C:\zapiszorg.bak.crypted
[2013-08-08 21:19:08 | 000,000,128 | ---- | M] () -- C:\Users\Public\Documents\_rgpl.crypted
[2013-08-08 21:19:06 | 005,342,976 | ---- | M] () -- C:\Users\dariana\zapiszorg.exe.crypted
[2013-08-08 21:19:06 | 000,001,408 | ---- | M] () -- C:\Users\Public\Desktop\PC Tools Registry Mechanic.lnk.crypted
[2013-08-08 21:19:04 | 001,841,536 | ---- | M] () -- C:\Users\dariana\SkypeSetup.exe.crypted
[2013-08-08 19:39:35 | 000,000,000 | ---- | M] () -- C:\Users\dariana\AppData\Local\{77C67995-BED9-4571-8385-A485436592D3}.crypted
[2013-08-08 19:39:35 | 000,000,000 | ---- | M] () -- C:\Users\dariana\AppData\Local\{6B31EC1D-327C-4E35-8945-DBD90045C344}.crypted
[2013-08-08 19:39:35 | 000,000,000 | ---- | M] () -- C:\Users\dariana\AppData\Local\{77C67995-BED9-4571-8385-A485436592D3}
[2013-08-08 19:39:35 | 000,000,000 | ---- | M] () -- C:\Users\dariana\AppData\Local\{6B31EC1D-327C-4E35-8945-DBD90045C344}
[2013-08-08 18:39:05 | 006,220,856 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV.bmp
[2013-08-08 18:38:36 | 000,702,464 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV2.exe
[2013-08-08 18:38:30 | 000,680,448 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV1.exe
[2013-08-08 18:38:24 | 000,004,096 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV.dll
[2013-08-08 18:38:23 | 000,046,528 | ---- | M] () -- C:\Windows\SysNative\drivers\vBszKyhV2.sys
[2013-08-08 18:38:19 | 000,031,232 | ---- | M] () -- C:\Windows\SysNative\vBszKyhVp.dll
[2013-08-01 03:08:30 | 000,032,328 | ---- | M] () -- C:\Windows\Launcher.exe
[2012-03-28 18:49:58 | 000,075,087 | ---- | C] () -- C:\Windows\SysWow64\8ab3c416.exe
[2010-07-26 21:17:07 | 000,000,000 | ---D | M] -- C:\Users\dariana\AppData\Roaming\Flock
[2013-08-08 19:41:35 | 000,000,000 | ---D | M] -- C:\Users\dariana\AppData\Roaming\HomeTab
[2010-03-04 19:35:44 | 000,000,000 | ---D | M] -- C:\Users\dariana\AppData\Roaming\Mikrotik
[2010-03-11 10:44:05 | 000,000,000 | ---D | M] -- C:\Users\dariana\AppData\Roaming\OpenFM
[2011-05-31 13:10:34 | 000,000,000 | ---D | M] -- C:\Users\dariana\AppData\Roaming\Opera
[2010-11-29 16:52:40 | 000,000,000 | ---D | M] -- C:\Users\dariana\AppData\Roaming\Toshiba
[2011-08-26 15:48:40 | 000,000,000 | ---D | M] -- C:\Users\dariana\AppData\Roaming\Windows Live Writer
[2010-07-29 21:09:29 | 000,000,000 | ---D | M] -- C:\Users\dariana\AppData\Roaming\Zoner
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1

:Services
gupdate
gupdatem

:Files
C:\Program Files (x86)\Google\Update
C:\Windows\tasks\*.*
C:\Windows\SysNative\drivers\Avg
C:\Users\dariana\AppData\Local\Temp*.html.crypted
C:\Users\dariana\AppData\Local\Temp*.html

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z Combofix + nowe logi OTL.

Post14 sie 2013, 18:19

Póki co dzięki za poradę. Jednak czy czyszczenie systemu ma jakiś wpływ na odszyfrowanie plików? Nie ukrywam, że jest to dla mnie sprawa priorytetowa i na tym chciałbym się przede wszystkim skupić. Do pracy mam inny komputer, a tamten tylko czeka na odzyskanie zdjęć.

Post14 sie 2013, 22:47

arkadush pisze:Póki co dzięki za poradę. Jednak czy czyszczenie systemu ma jakiś wpływ na odszyfrowanie plików? Nie ukrywam, że jest to dla mnie sprawa priorytetowa i na tym chciałbym się przede wszystkim skupić. Do pracy mam inny komputer, a tamten tylko czeka na odzyskanie zdjęć.

Tak, ma. Robimy całość jednocześnie. Jeśli Xorist ich nie odszyfruje to zastosujemy coś innego

. W każdym razie instrukcję z całego mojego postu są do wykonania.

Post15 sie 2013, 10:07

Nie mogę zassać XoristDecryptor ze strony Kasperkiego. Znalazłem gdzie indziej. Program wygląda tak, ale nie wiem gdzie mam zaznaczyć wszystkie 4 dostępne opcje. Dostępne tylko dla zarejestrowanych użytkowników

Log z usuwania Dostępne tylko dla zarejestrowanych użytkowników
log z ADWCleaner Dostępne tylko dla zarejestrowanych użytkowników
log z Combofix Dostępne tylko dla zarejestrowanych użytkowników
nowe logi OTL Dostępne tylko dla zarejestrowanych użytkowników
nowe Extras Dostępne tylko dla zarejestrowanych użytkowników

Na pulpicie w dolnym, prawym rogu mam napis "tryb testu, windows 7/ kompilacja 7601". To normalne?
Na ile określasz szanse odzyskania zdjęć?

Post15 sie 2013, 10:44

Program wygląda tak, ale nie wiem gdzie mam zaznaczyć wszystkie 4 dostępne opcje.

Nie wiem skąd wątpliwości, aczkolwiek opiszę - w Xorist naciśnij Change Parameters -> i zaznacz wszelkie dostępne tam opcje (nie tylko te dwie, które są domyślnie zaznaczone). Tak więc zaznaczone mają być: Hard Drives, Removable Drives, Network Drives i Delete Crypted Files After Decryption. Poza tym wykonuj polecenia w kolejności, jaką podaję, jak coś się nie udaje to zatrzymaj się i pytaj, bo tym razem na farcie udało się uniknąć usunięcia Twoich zdjęć, co mógł zrobić automatycznie Combofix.

Na pulpicie w dolnym, prawym rogu mam napis "tryb testu, windows 7/ kompilacja 7601". To normalne?

Tak, ale i tak to wyłączymy po prostu, bo to jest mało estetyczne. Wejdź w START -> URUCHOM -> CMD -> wklej tam:

bcdedit.exe /set testsigning off

To zapewne wyłączy napis.

ADWCleaner.

Naciśnij w nim przycisk Odinstaluj.

Combofix.

Wejdź w START -> URUCHOM -> i wklej tam:

"F:\ComboFix.exe" /uninstall

To spowoduje odinstalowanie Combofix`a.

Na ile określasz szanse odzyskania zdjęć?

99%.

Logi.

Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

CHR - Extension: No name found = C:\Users\dariana\AppData\Local\Google\Chrome\User Data\Default\Extensions\bildoibdboopgomcbiplincneeicgipj\1.3_0\.crypted
CHR - Extension: No name found = C:\Users\dariana\AppData\Local\Google\Chrome\User Data\Default\Extensions\hddfonaogcghjhjfanlglhgpafpelmpf\4.3_0\.crypted
CHR - Extension: No name found = C:\Users\dariana\AppData\Local\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\.crypted
CHR - Extension: No name found = C:\Users\dariana\AppData\Local\Google\Chrome\User Data\Default\Extensions\pacgpkgadgmibnhpdidcnfafllnmeomc\2.3.19.11_0\.crypted
O3 - HKU\S-1-5-21-683386478-837407684-2456169835-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2013-08-15 09:05:53 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Free 9.0
[2012-05-06 21:30:30 | 000,000,512 | ---- | C] () -- C:\Windows\hpomdl44.dat.temp
[2013-08-09 21:37:00 | 000,000,000 | -HSD | M] -- C:\Users\dariana\AppData\Roaming\fbitaejj

:Files
c:\users\Public\AppData\Local\temp
c:\users\Default\AppData\Local\temp
c:\users\dariana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk

:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"=-
"ToshibaServiceStation"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"TOSHIBA Online Product Information"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"=-

:Commands
[clearallrestorepoints]
[emptytemp]

Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z [url=download.geo.drweb.com/pub/drweb/cureit/drweb-cureit.exe]Dr.Web CureIt[/url]. Zapisz go z rozszerzeniem .com i pod losową nazwą (np. 2423.com). Wykonuj pełne skanowania kilka razy dotąd, dopóki skaner nie będzie nic znajdował. Lecz co się da, resztę usuwaj.

Post15 sie 2013, 13:24

Nie wiem czy coś nie tak jest z tą kopią XoristDecryptor czy coś robię źle (chociaż nie wiem co mógłbym robić źle). Zmieniam te parametry, daje START SCAN, otwiera się okienko żeby podać ścieżkę zaszyfrowanego pliku, wybieram jeden plik, zaczyna coś skanować w zupełnie innym katologu. Trwa to niecałe 2 min i koniec.

LOG Dostępne tylko dla zarejestrowanych użytkowników

EDIT:

log z cure it Dostępne tylko dla zarejestrowanych użytkowników

Post15 sie 2013, 21:13

Nie wiem czy coś nie tak jest z tą kopią XoristDecryptor czy coś robię źle (chociaż nie wiem co mógłbym robić źle). Zmieniam te parametry, daje START SCAN, otwiera się okienko żeby podać ścieżkę zaszyfrowanego pliku, wybieram jeden plik, zaczyna coś skanować w zupełnie innym katologu. Trwa to niecałe 2 min i koniec.

Rozumiem. Pobierz Dostępne tylko dla zarejestrowanych użytkowników -> każdy plik z rozszerzeniem .crypted przeciągnij do programu -> ustaw usuwanie części .crypted (aby znaleźć wszelkie pliki z tym rozszerzeniem wejdź w START -> Wyszukaj -> Pliki i Foldery -> wklej tam -> *.crypted.

Post15 sie 2013, 21:41

Zrobiłem cały katalog, żeby wyglądał ładnie to teraz przy wskazywaniu pliku nic się nie dzieję i chce żebym następny wskazał. Jak mu wskazuje różne pliki .crypted to skanuje, czasami widać że dość sporo, jednak zawsze wynik jest ten sam processed, found i decrypted = 0.

Bawiłem się z uprawnieniami plików jednak to nic nie zmienia. Więc nieśmiało mi się wydaję że pliki są zakodowane czymś innym.

Post15 sie 2013, 21:45

arkadush pisze:Zrobiłem cały katalog, żeby wyglądał ładnie to teraz przy wskazywaniu pliku nic się nie dzieję i chce żebym następny wskazał. Jak mu wskazuje różne pliki .crypted to skanuje, czasami widać że dość sporo, jednak zawsze wynik jest ten sam processed, found i decrypted = 0.

Bawiłem się z uprawnieniami plików jednak to nic nie zmienia. Więc nieśmiało mi się wydaję że pliki są zakodowane czymś innym.

OK. Wykonaj instrukcję dotyczącą ReNamer`a.