Ransomware Teslacrypt 2.1.0a

[steam]

Witam,

tak jak w temacie mam problem z wirusem, który 10.11.2015 zainfekował mój komputer (Windows 7 home oryginalny, aktualne bazy windows defender, flash player itp aktualizowane na bieżąco, niestety nieaktywny norton internet security - wygasła subskrypcja) w trakcie/po aktualizacji składnika platformy Steam. Szczerze mówiąc jestem okazjonalnym graczem dlatego nie interesuje mnie odzyskanie niczego związanego z grami - bardziej zależy mi na zdjęciach i dokumentach tekstowych/arkuszach excel związanych z praca. Dokładnie zapoznałem się z większością tematów na fixitpc i wiem że w przypadku wersji 2.1.0a nie ma praktycznie żadnej szansy na odszyfrowanie tych plików zainteresowało mnie jednak to co przeczytałem tu: http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information#decrypt

 

"Can only be decrypted if victim was able to capture the key being sent to the server at the time of encryption."

 

W moim przypadku szyfrowanie trwa dalej ponieważ w miarę szybko wyłączyłem komputer. Druga wskazówka to to że w trakcie gdy wykonywałem obowiązkowe logi z frst i gmer te z pierwszego programu po ponownym uruchomieniu komputera zostały zaszyfrowane.

 

Czy jest realne abym uzyskał ten klucz w trakcie szyfrowania?

 

Ponieważ zastanawiam się nad jeszcze jednym rozwiązaniem o którym kiedyś przeczytałem na niebezpiecznik.pl:

http://niebezpiecznik.pl/post/jak-walczyc-z-cryptolockerem-i-innymi-przypadkami-ransomwareu/

 

Zapłacić i zgłosić wymuszenie w swoim banku - procedurą CHARGEBACK. Problem jest tylko jeden, nie miałem z tym nigdy styczności, może ktoś z was miał i wie na przykład że jest to skuteczne. W przypadku gdy to rozwiązanie miało by szansę powodzenia mogło by pomóc komuś w przyszłości odzyskać dużo ważniejsze dane.

 

Oczywiście załączam potrzebne logi i czekam cierpliwie na odpowiedź

 

P.S Przypomniała mi się jeszcze jedna rzecz w folderze głównym czyli tym od nazwy zalogowanej osoby poza HOWTO_RESTORE_FILES_xxxxx.html oraz HOWTO_RESTORE_FILES_xxxxx.txt był plik ydcfwkop.exe datowany tak samo jak te "howto", jako wydawca widniało "intrusion falcon". Może to dodatkowo w czymś pomoże.

FRST.txt

Addition.txt

Shortcut.txt

gmer pelny.txt

[mgrzeg]

Hej,

 

do pomagania w tym dziale są inne osoby, ale zainteresowałeś mnie tym, że masz ciągle działający encrypter. Czy możesz przygotować pełen zrzut pamięci tego procesu? Czy możesz przygotować równocześnie zrzut ruchu tcp / http?

 

m.g.

[picasso]

W moim przypadku szyfrowanie trwa dalej ponieważ w miarę szybko wyłączyłem komputer. Druga wskazówka to to że w trakcie gdy wykonywałem obowiązkowe logi z frst i gmer te z pierwszego programu po ponownym uruchomieniu komputera zostały zaszyfrowane.

 

Czy jest realne abym uzyskał ten klucz w trakcie szyfrowania?

To zagadnienie teoretyczne: KLIK. W praktyce to oznacza, że zanim zrzucisz dump pamięci, proces szyfrowania posunie się dalej, a nawet może się ukończyć przed zebraniem danych. Czyli pozwolisz zaszyfrować w tle kolejne dane nie mając absolutnie żadnych gwarancji, że w pliku dump cokolwiek zostanie znalezione. Druga sprawa, postęp szyfrowania nie jest tu tak naprawdę znany, wyłączenie komputera mogło i tak nastąpić "za późno".

 

Jeśli chcesz prowadzić te eksperymenty, to nie włączaj na razie komputera tylko w pierwszej kolejności zabezpiecz wszystkie jeszcze niezaszyfrowane dane (o ile takowe są) z wszystkich partycji posługując się zewnętrznym bootowanym nośnikiem CD / USB, wykluczone by dane kopiować z poziomu uruchomionego Windows. Przekopiowane dane muszą być na nośniku, który nie będzie w ogóle dostępny w trakcie ponownego uruchomienia systemu, bo czynna infekcja je i tak zaszyfruje.

 

Dla jasności: infekcja jest definitywnie czynna, widać w raporcie FRST obiekty w starcie. Tylko że jej usunięcie wykluczy powyższe eksperymenty, więc decyduj co robimy "od razu".

 

 

Zapłacić i zgłosić wymuszenie w swoim banku - procedurą CHARGEBACK. Problem jest tylko jeden, nie miałem z tym nigdy styczności, może ktoś z was miał i wie na przykład że jest to skuteczne. W przypadku gdy to rozwiązanie miało by szansę powodzenia mogło by pomóc komuś w przyszłości odzyskać dużo ważniejsze dane.

Zdecydowanie odradzam kontakt z cyberprzestępcami i płacenie im haraczu. Musisz sobie odpowiedzieć na pytanie jak ważne są te dane, by ryzykować taki kontakt. Nie ma gwarancji, że nie zostaniesz oszukany.

[steam]

Czy możesz przygotować pełen zrzut pamięci tego procesu? Czy możesz przygotować równocześnie zrzut ruchu tcp / http?

Jeżeli tylko dostane szczegółowe instrukcje jak to zrobić to jak najbardziej.

 

To zagadnienie teoretyczne: KLIK. W praktyce to oznacza, że zanim zrzucisz dump pamięci, proces szyfrowania posunie się dalej, a nawet może się ukończyć przed zebraniem danych. Czyli pozwolisz zaszyfrować w tle kolejne dane nie mając absolutnie żadnych gwarancji, że w pliku dump cokolwiek zostanie znalezione. Druga sprawa, postęp szyfrowania nie jest tu tak naprawdę znany, wyłączenie komputera mogło i tak nastąpić "za późno".

 

Myślę że nie mam już nic więcej do stracenia, lepiej spróbować jeżeli jest chociaż cień szansy. Nie przeszkadza mi bycie królikiem doświadczalnym  zastanawiałem się nad stworzeniem dużej ilości plików na przykład .txt metodą kopiuj/wklej aby encrypter je ciągle szyfrował - może to byłby sposób żeby podtrzymać jego działanie jak najdłużej - sami musicie ocenić czy skuteczny.

 

Jeśli chcesz prowadzić te eksperymenty, to nie włączaj na razie komputera tylko w pierwszej kolejności zabezpiecz wszystkie jeszcze niezaszyfrowane dane (o ile takowe są) z wszystkich partycji posługując się zewnętrznym bootowanym nośnikiem CD / USB, wykluczone by dane kopiować z poziomu uruchomionego Windows. Przekopiowane dane muszą być na nośniku, który nie będzie w ogóle dostępny w trakcie ponownego uruchomienia systemu, bo czynna infekcja je i tak zaszyfruje.

 

Generalnie z tego co zdążyłem jeszcze wtedy przeglądnąć to wszystko co najważniejsze już było zaszyfrowane, także ten krok możemy pominąć.

 

Dla jasności: infekcja jest definitywnie czynna, widać w raporcie FRST obiekty w starcie. Tylko że jej usunięcie wykluczy powyższe eksperymenty, więc decyduj co robimy "od razu".

 

Nic nie usuwamy - eksperymentujemy, liczę się z konsekwencjami tego działania ale lepiej spróbować coś zrobić niż się poddać i zrobić format dysku. Późno odpowiadam ale miałem na ten weekend zaplanowany wyjazd i nie miałem jak się z państwem skontaktować. Od jutra będę w domu i będzie można rozpocząć pracę przy maszynie.

 

Zdecydowanie odradzam kontakt z cyberprzestępcami i płacenie im haraczu. Musisz sobie odpowiedzieć na pytanie jak ważne są te dane, by ryzykować taki kontakt. Nie ma gwarancji, że nie zostaniesz oszukany.

 

Przyjąłem do wiadomości.

[picasso]

Jeżeli tylko dostane szczegółowe instrukcje jak to zrobić to jak najbardziej.

1. Tu masz instrukcję tworzenia pełnego zrzutu pamięci: KLIK. Była wprawdzie mowa o zrzucie pamięci konkretnego procesu, ale szerszy zakres danych może być wymagany, bo prawdopodobnie lista procesów nie jest ograniczona do jednej instancji. Procesy są widziane różnie: w FRST nie widać ani jednego z procesów infekcji pasujących do istniejących wpisów startowych (evdyx-a.exe, ydcfwkop.exe), ale w GMER jeden z nich figuruje jako ukryty (evdyx-a.exe), i nie jestem pewna czy ten stan się przypadkiem nie zmienił (mogą być aktywne dwa lub nawet inne procesy mogły się pojawić).

 

2. Do zrzutu aktywności sieciowej możesz użyć np. kombinację WinPcap + WinDump.

 

Zrzuty prześlij mgrzeg do analizy.

[steam]

Mam jeszcze jedno pytanie, wszystkie te kroki mam wykonywać na normalnie uruchomionym komputerze czy w środowisku WinRE ? Ewentualnie w używając jakiegoś innego środowiska ?

[picasso]

Oczywiście na uruchomionym systemie na którym jest infekcja. Dumpy z poziomu środowiska WinRE całkowicie bezużyteczne (nagrane środowisko zewnętrzne).

[steam]

Wykonałem wczoraj wymagane zrzuty pamięci oraz aktywności sieciowej oraz przesłałem w prywatnej wiadomości do moderatora mgrzeg. Czekam na dalszy rozwój sytuacji, szyfrowanie dalej trwa ponieważ wszystkie logi sukcesywnie dostają rozszerzenie .ccc.

[picasso]

Czy są jakieś wyniki analiz? Pytam, gdyż trzeba w końcu podjąć decyzję tyczącą czyszczenia systemu ... lub format.

[mgrzeg]

Na razie nie ma, borykamy się z problemami technicznymi przy przekazaniu tak dużych plików.

 

m.

[steam]

Czy są jakieś wyniki analiz? Pytam, gdyż trzeba w końcu podjąć decyzję tyczącą czyszczenia systemu ... lub format.

 

Sprawa mocno się skomplikowała więc nici z analizy tych danych. W wyniku tego możemy przejść do czyszczenia systemu. Co zrobić najpierw, wykonać nowe skany gmer i frst ?

[picasso]

Jeśli chodzi o "skomplikowanie sprawy", to mnie w pełni zaćmiło wcześniej i bezmyślnie patrzyłam na te próby zrzucania danych. TeslaCrypt szyfruje także formaty zrzutów (dmp, raw) oraz archiwów (7z, rar, zip), co oznacza, że zebrane dane zostają zaszyfrowane przez infekcję i błędne koło. Należałoby użyć jakiś atypowy format, którego nie adresuje infekcja. Lista szyfrowanych rozszerzeń jest w opisie na Bleeping, nie wiem czy nie nastąpiły jakieś zmiany: KLIK.

 

Jeśli chodzi o czyszczenie systemu, to oczywiście podaj nowe raporty FRST i GMER. Zajmę się usunięciem infekcji w jej podstawowej części. Pozostanie problem zaszyfrowanych plików.

[steam]

Powód skomplikowania jest bardziej prozaiczny - nie miałem jak tego zrobić sam więc zleciłem to komuś innemu.... Cóż, osoba swoje zadanie wykonała w 99%, zrobiła zrzuty, spakowała i wysłała na serwer, poza jedną rzeczą - zapomniała hasła do paczki z zrzutem pamięci... Bywa, dlatego odpuściliśmy temat zrzutów z modem mgrzeg i została podjęta wyżej decyzja o czyszczeniu encrypter w tym przypadku nie zadziałał ponieważ pomimo rozszerzenia nie szyfruje plików powyżej ~160Mb - to info jest w którymś wątku z zagranicznych stron które wrzucaliśmy w temacie ale dalej jest aktywny dlatego tak długo nie mogłem wrzucić raportów z frst i gmer bo non-stop się szyfrowały

koniec off topa

 

wrzucam skany i czekam na dalsze instrukcje

gmer.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
HKU\S-1-5-21-2194654022-3210789479-1943907499-1000\...\Run: [MSConfig] => C:\Users\LUCAS\ydcfwkop.exe [37838848 2015-11-10] (Intrusion falcon)
HKU\S-1-5-21-2194654022-3210789479-1943907499-1000\...\Run: [qewr2342] => C:\Users\LUCAS\AppData\Roaming\evdyx-a.exe
CustomCLSID: HKU\S-1-5-21-2194654022-3210789479-1943907499-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\mydocs.dll () 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-2194654022-3210789479-1943907499-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
FF Plugin-x32: @SonyCreativeSoftware.com/Media Go,version=1.0 -> C:\Program Files (x86)\Sony\Media Go\npmediago.dll [brak pliku]
Task: {D0B74FB0-9EA2-4091-BAC1-BB3F3AF827C0} - System32\Tasks\{8DC3EC72-752D-4CA5-91EE-26179F5D5001} => pcalua.exe -a C:\Users\LUCAS\Downloads\Shockwave_Installer_Slim.exe -d C:\Users\LUCAS\Downloads
Task: {D3F91093-E066-43C3-AED2-79A50493327A} - System32\Tasks\{A147C281-BBE3-4895-B8DE-A70BF136506E} => pcalua.exe -a C:\Windows\SysWOW64\ISUSPM.cpl -c Software Updates
S3 ALSysIO; \??\C:\Users\LUCAS\AppData\Local\Temp\ALSysIO64.sys [X]
AlternateDataStreams: C:\Users\LUCAS\Local Settings:init
RemoveDirectory: C:\Program Files (x86)\mozilla firefox\plugins
RemoveDirectory: C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
RemoveDirectory: C:\ProgramData\{9BF4D58B-C6D6-467B-BC5A-FD0C1278F4AF}
RemoveDirectory: C:\ProgramData\APN
RemoveDirectory: C:\ProgramData\Ask
RemoveDirectory: C:\ProgramData\McAfee
RemoveDirectory: C:\ProgramData\Temp
RemoveDirectory: C:\ProgramData\Windows Genuine Advantage
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Elaborate Bytes
RemoveDirectory: C:\Users\LUCAS\AppData\Local\CrashRpt
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office 2010.lnk
C:\Users\LUCAS\ydcfwkop.exe
C:\Users\LUCAS\AppData\Roaming\chrtmp
C:\Users\LUCAS\AppData\Roaming\Microsoft\Word\Praca%20dyplomowa303475413474453489\Praca%20dyplomowa.docx.lnk
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh advfirewall reset
CMD: attrib -r -h -s C:\howto_*_file* /s
CMD: attrib -r -h -s D:\howto_*_file* /s
CMD: attrib -r -h -s E:\howto_*_file* /s
CMD: attrib -r -h -s F:\howto_*_file* /s
CMD: attrib -r -h -s G:\howto_*_file* /s
CMD: del /q /s C:\howto_*_file*
CMD: del /q /s D:\howto_*_file*
CMD: del /q /s E:\howto_*_file*
CMD: del /q /s F:\howto_*_file*
CMD: del /q /s G:\howto_*_file*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt będzie ogromny ze względu na rekursywne usuwanie z wszystkich dysków dorobionych przez szyfrator plików spełniających warunek maski howto_*_file*. Shostuj go na jakimś zewnętrznym serwisie i prześlij do niego link.

[steam]

Proszę, log z naprawy i reszta logów z FRST

 

http://speedy.sh/ADjb7/Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Potrzebuję trochę czasu na przejrzenie tego ogromnego Fixlog.

[averdianer]

Przepraszam że przeszkadzam i się wtrącam, ale jak dokładnie twój komputer został zainfekowany? Pobierałeś aktualizację z platformy Steam, czy może z jakiejś strony internetowej? Jestem ciekawy, gdyż kiedyś spotkało mnie to samo i wiele ludzi starało się mi pomóc, w moim przypadku był to jeden z tych słabszych Lockerów i na czas szyfrowania plików tworzył on plik z kluczem jakim szyfrował w którymś z folderów na dysku systemowym. Gdy zatrzymało się infekcję w odpowiednim czasie można było użyć klucza aby odszyfrować pliki.

[picasso]

Jestem ciekawy, gdyż kiedyś spotkało mnie to samo i wiele ludzi starało się mi pomóc, w moim przypadku był to jeden z tych słabszych Lockerów i na czas szyfrowania plików tworzył on plik z kluczem jakim szyfrował w którymś z folderów na dysku systemowym. Gdy zatrzymało się infekcję w odpowiednim czasie można było użyć klucza aby odszyfrować pliki.

To stare warianty TeslaCrypt zapisywały na dysku klucz. Omawiany tu wariant *.ccc w ogóle nie tworzy klucza na dysku twardym, klucz jest tylko tymczasowo w pamięci podczas szyfrowania. Spis wszystkich wariantów tu: KLIK ("Location of data file on disk").

[averdianer]

Rozumiem. Jednak najbardziej zastanawia mnie to, jak te wirusy działają. Rozumiem warianty z pobieraniem pliku np. z podwójnym rozszerzeniem .pdf.exe, ale nieświadome pobranie wirusa w tle działających programów? Poczekajmy na odpowiedź @steam, dowiemy się dokładnie co robił w tym czasie.

 

EDIT:

Chwilkę, skoro klucz jest tymczasowo w pamięci podczas szyfrowania, to znaczy że klucz znajduje się razem z procesem w pamięci tymczasowej (RAM)?

[picasso]

Jednak najbardziej zastanawia mnie to, jak te wirusy działają. Rozumiem warianty z pobieraniem pliku np. z podwójnym rozszerzeniem .pdf.exe, ale nieświadome pobranie wirusa w tle działających programów? Poczekajmy na odpowiedź @steam, dowiemy się dokładnie co robił w tym czasie.

Jego odpowiedź nie wniesie wiele do sprawy. Informację o źródłach tej szczególnej infekcji masz w podanym już opisie:

 

How do you become infected with TeslaCrypt or Alpha Crypt?

 

A user is typically infected by TeslaCrypt or Alpha Crypt when they visit a hacked web site running an exploit kit and have outdated programs on their computer. In order to distribute their malware, developers will hack web sites and install a special software called an exploit kit that attempts to exploit vulnerabilities found in programs on your computer. The programs that are typically exploited include Java, Adobe Flash, Acrobat Reader, and Windows vulnerabilities. When an exploit kit successfully exploits your computer, it will install and start the ransomware without your knowledge.

 

Therefore, it is imperative that everyone keeps Windows and their installed programs up-to-date. You can use these tutorials for more information on keeping your Windows installation and installed programs updated

A tu kwiatki z jego listy zainstalowanych:

 

Adobe Flash Player 11 ActiveX (HKLM-x32\...\{F68D0307-2573-4BE7-9EFD-CB28D7E656E3}) (Version: 11.7.700.202 - Adobe Systems Incorporated)

Adobe Reader 9.5.5 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A95000000001}) (Version: 9.5.5 - Adobe Systems Incorporated)

Adobe Shockwave Player 11.5 (HKLM-x32\...\{9ECF7817-DB11-4FBA-9DF1-296A578D513A}) (Version: 11.5.7.609 - Adobe Systems, Inc)

Java 8 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218051F0}) (Version: 8.0.510 - Oracle Corporation)

 

 

Chwilkę, skoro klucz jest tymczasowo w pamięci podczas szyfrowania, to znaczy że klucz znajduje się razem z procesem w pamięci tymczasowej (RAM)?

Mówimy tu o szczególnej linii szyfratora. Jest ogromna ilość infekcji szyfrujących zachowujących się inaczej. W przypadku tego szczególnego wariantu: KLIK. Po to była tu próba ze zrzutem pamięci. I to już jest nieaktualne, infekcja została usunięta. A tak w ogóle to nie znam żadnego przypadku, by komuś się udało wyekstraktować te informacje z pamięci.

[averdianer]

Dziękuje za wytłumaczenie. W sumie to mógłbym spróbować zrobić zrzut, lecz nie wiem jak zdobyć dokładnie tą samą wersję TeslaLocker. 

[picasso]

Obecnie są już w obiegu nowsze warianty TeslaCrypt. Ale nawet jeśli miałbyś w rękach ten sam wariant TeslaCrypt co inny poszkodowany, ewentualnie złapanych danych nie da się użyć do innych przypadków. Klucz jest losowy i unikatowy dla danego systemu.

[steam]

averdianer, aplet w uruchomionej grze wyświetlił informację o aktualizacji klienta, po kliknięciu "OK" zamyka się okienko, wyłączenie gry->aktualizacja->włączenie - tak wygląda norma. Tutaj po kliknięciu "OK" gra zawiesiła się. Zamknąłem ją z poziomu Menedżera Zadań i wyłączyłem komputer. Pierwsze podejrzane pliki datowane były na 2:33 czyli czas po wyłączeniu gry a wyłączeniem PC. Może to zbieg okoliczności szczególnie że picasso wskazała jeszcze przynajmniej 4 drogi infekcji. Zresztą nie ma już nad czym gdybać.

 

picasso, mam pytanie - czy mogę bezpiecznie wykonać kopie tych danych które są na dysku i nie zostały zaszyfrowane? Nie chciałbym zainfekować sobie dysku zewnętrznego....

Dodatkowo w związku z tym że fixlog był potężny możemy poprostu po tym jak zgram to co potrzebuje zrobić format dysku i zakończyć mój temat.

[picasso]

Nie mogłam się zmobilizować do przejrzenia tego raportu Fixlog detalicznie pod kątem ewentualnego sprzątania bez formatu dysku, ale skoro tu wspominasz o formacie, to pole jest czyste. System został wyczyszczony z tej infekcji, nie jest ona aktywna i nie widać w raporcie żadnych plików mogących "odpalić" to ponownie, więc kopie niezaszyfrowanych danych spokojnie możesz wykonać. Na dysku zostawiłam celowo tylko poniższe pliki identyfikacyjne, na wypadek gdyby kopia zaszyfrowanych plików także była tworzona:

 

2015-11-28 19:03 - 2015-11-28 19:03 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_hsxottbuu.txt

2015-11-28 18:55 - 2015-11-28 18:55 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_xuhpkqgpk.txt

2015-11-25 01:00 - 2015-11-25 01:00 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_nmpdoewlf.txt

2015-11-25 00:43 - 2015-11-25 00:43 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_yyyucwcwq.txt

2015-11-25 00:20 - 2015-11-25 00:20 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_aqkrsuiyw.txt

2015-11-24 22:45 - 2015-11-24 22:45 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_klpaggvhb.txt

2015-11-24 12:50 - 2015-11-24 12:50 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_csfxgcblx.txt

2015-11-24 12:03 - 2015-11-24 12:03 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_kxwcwelnn.txt

2015-11-18 01:00 - 2015-11-18 01:00 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_pwernchkp.txt

2015-11-17 22:40 - 2015-11-17 22:40 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_gcorurqss.txt

2015-11-17 22:34 - 2015-11-17 22:34 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_yegjpxfqv.txt

2015-11-10 16:32 - 2015-11-10 16:32 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_asxfxisnf.txt

2015-11-10 13:59 - 2015-11-10 13:59 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_jiejemvpd.txt

2015-11-10 02:19 - 2015-11-10 02:19 - 00000253 _____ C:\Users\LUCAS\Documents\recover_file_fqvfmedqq.txt

 

I dodatkowe uwagi:

 

1. Komputer brandowany przez Hewlett-Packard i mający multum firmowych integracji. Jeśli system będzie przywracany z Recovery HP, to zaraz po jego zrzuceniu pozbądź się przestarzałych programów typu: Adobe Flash Player ActiveX (wersja 11 była tu przypuszczalnie "out-of-box" do obsługi Centrum HP - wymaga wersji ActiveX pod Internet Explorer) i ewentualnie innych potencjalnych starych integracji Adobe, Bing Bar, Magic Desktop, Norton Internet Security (tu była wersja jadąca na sterownikach z 2011!), Norton Backup.

 

2. Specjalizowane programy zabezpieczające przed infekcjami szyfrującymi: KLIK.

[steam]

Dobrze przewidziałaś bo zrobiłem kopię także zaszyfrowanych danych, dziękuję że zostawiłaś pliki identyfikacyjne - niech leży ze wszystkim i czeka

 

AD. 1 - Plan mam taki żeby zainstalować Win7 a następnie Win10 + Kasperskiego, kiedy usuwać te przestarzałe programy o których wspomniałaś? Jak to najlepiej zrobić jak stawiam wszystko od nowa? Podobno usunięcie NIS może nawet wysypać system...

 

AD.2 - Na reszcie PCtów w domu już mam to zainstalowane i na moim to zrobię

 

Trochę offtop ale mam jeszcze jedno pytanie - jak zainstaluje Win7 to musze wgrać mu wszystkie aktualizacje i potem dopiero wgrywać Win10 czy mogę od razu na czystą 7 wgrać 10?