atasuke

Zrobiłem jak mówiłeś.  

Ale dalej muszę wpisywać hasło i nie ma ikonki. 

Natomiast po po zmianie w rejestrze  widać że konto wróciło  do swojego pierwotnego kształtu.

Moim zdaniem musi być coś skopane w rejestrze przy wyświetlaniu tego ekranu logowania.

Widać zmianę np pojawiły się ikony folderów  z kartkami w środku czego nie było. 

w czasie podmianki ja miałem 2 pliki z rejestru
Ntuser.dat.log1, log2.

przekopiowalem obydwa.

nie mam pliku log. Jeżeli ma to znaczenie

Rozwiązaniem problem . Był banalny

Wystarczyło zrobić tak jak tutaj

https://www.sevenforums.com/general-discussion/65335-welcome-screen-other-user.html

Robię próbę 

 punkt przywracania niepowodzenie z błędem 0x8000ffff

Nie da rady dwa punkty były i każdy z tym samym błędem. 

tego brakuje

ProfileImagePath will show the path to the user profile folder. You will usually have one for each user on the system, and one for each of the three system entries SystemProfile, LocalService, and NetworkServicetego brakuje oprócz ścieżki

opisywałem tak i tak .  Do wczoraj było wszystko ok . Ale jak mbam zgłosił trojana i mnie zablokowalo  na pulpicie . to przy następnym logowaniu musiałem już wpisywać  ręcznie. 

Po wpisaniu komendy nie można znaleźć użytkownika o takiej nazwie. Tutaj też takiego nie ma. Nawet usunąłem to konto EB . Mi się wydaje że któraś gałąź od rejestru jest skopana. 

nie mam takiej opcji po wybraniu swojego konta.

Udało mi się ta opcję zmienić  wpisując polecenie netplwiz.

Ale stało się coś dziwnego ikonka wróciła Ale mam drugiego użytkownika którego nawet w logach nie widać

Ok dziękuje za poświęcony czas. 

Szukanie w rejestrze nic nie znalazło. I chyba tak ma być. Zarządzanie komputerem w Narzędziach Administracyjnych zaczęło działać.  

Załączam logi z wykonania.

Został jeszcze ten nieszczęsny panel logowania żebym nie musiałł za każdym razem wpisywać nazwy użytkownika żeby zalogować się do systemu.

Załączę zdjęcie jak to wygląda. 

Fixlog.txt SearchReg.txt

Załączam dwa  powstałe logi.

Fixlog.txt SearchReg.txt

To komputer na którym wczoraj uruchomiony został załącznik z tego maila. Z poprzedniego mojego tematu. 

Antywirus zablokował program tak się mi wydaje. Ale po tym incydencie z okna logowania do mojego profilu zniknęła ikona kwiatka oraz ręcznie muszę wpisywać nazwę użytkownika .

Nie wiem czy infekcja jest dalej aktywna.

Probowałem przywrócić windows z poprzedniego punktu przywracania ekran logowania bez zmian. 

Po wejściu np w narzedzia administracyjne i wybranie zarządzanie komputerem otrzymuje taki błąd:

Załączam logi :

Addition.txt FRST.txt Shortcut.txt

w takim razie tutaj temat raczej zamknięty. 

Załączam plik po wykonaniu skryptu:

Z tego co widziałem  z powershella komenda się nie wykonała. 

Co do infekcji może tak być jak mówisz tylko chciałem mieć pewność. Bo z tego komputera były rozsyłane dziwne załączniki w mail. Które po otworzeniu zarażają trojanem będę miał dostęp do takiego komputera dzisiaj. Zamieszczę loga z tego drugiego komputera w nowym temacie. 

Natomiast wszystkie maile miały temat maila jako nazwę która zaznaczyłem w logu na czerwono:

HKLM\...\Drivers32: [msacm.l3acm] => C:\Windows\system32\l3codecp.acm [182272 2009-07-14] (Microsoft Windows -> Fraunhofer Institut Integrierte Schaltungen IIS)  

Postaram sie przekopiować treść maila bez załacznika.

Fixlog.txt

Witam 

Mam problem z laptopem kuzynki  i jego dziwnym zachowaniem.  Otrzymałem informacje że mój komputer sam wysyła zainfekowane maile do innych użytkowników. W dodatku niepokoi mnie wolne działanie komputera.

W;logach zauważyłem pod montowane zainfekowane pendrive. Chrome zachowuje się bardzo dziwnie działa wolno w dodatku nie pokoi mnie ilość procesów chrome.  

Przesyłam log z FRST . 

Addition.txt FRST.txt Shortcut.txt

Witam 

Mam problem z komputerem którego otrzymałem od znajomego po nie umiejętnym "raczej" . usuwaniu ransome . Zastosował Combofix oraz adcleaner komputer przestał szyfrować pliki ale działanie pozostawia wiele do życzenia.

Ja wykonałem tylko skanowanie FRST bo zniszczenia są ogromne jeżeli chodzi o dane ale chciałbym  spróbować przynajmniej przywrócić system do stanu używalności jeżeli jest to możliwe.Co sie dzieje 

nie działają przeglądarki zrywa połączenie i nie można zapisać żadnego pliku na dysku.

nie działa lewy klawisz myszy wszystko odpalam albo z klawiatury albo z prawym otwórz

utworzone jest około 6 kont użytkownika których raczej nie powinno być 

przesyłam logi z FRST :

FRST.txt

Addition.txt

Shortcut.txt

Z góry dziękuje za pomoc

Zrobiłem kopie zaszyfrowanych plików.

Masz może jakiś pomysł na próbę odkodowania .

Bardzo dziwne zjawisko wystąpiło po skanowaniu CryptoSearch z opcją na Vortex nie znalazł niczego. A moim zdaniem jeżeli sie nie mylę to powinien wszystkie pliki  z roz *.aes  zrobic ich kopie zapasową na dowolnym urządzeniu a on stwierdził że takich plików niema. 

Zamieszczam screena na potwierdzenie mojej uwagi:

Stan systemu :

Internet ok

Prędkość działania systemu OK

Na Dyskach pełno plików z ext *.aes

Miszel03:

A możesz się wypowiedzieć na temat szans odzyskania plików po takim szyfrowaniu. Cudów się nie spodziewam ale może jakaś mała nadzieja pozostanie. 

Na razie wykonuje kopie tych plików.  stan obecny 

1. Wykonane
Log z FRST :
Fixlog.txt
2. Ransome Note Cleaner nic nie znalazł daje screena bo loga żadnego nie wypluł
Daje screena na czym stanął i można go tylko zamknąć

3 Log z MBAM
mbam.txt
4.Log z CrystalDisk
crystal.txt
5. Log z FRST z Addition:
FRST.txt
Addition.txt

Witam 

Zrobiłem screena z aplikacji  "Id ransomeware " który jednak potwierdził Vortexa.

Potrzebuje pomocy z komputerem w którym większość plików została zaszyfrowana Vortex ransomware AES -256. Czy jest możliwość odszyfrowania tych plików.

Przesyłam także skan programu FRST:

FRST.txt

Addition.txt

Shortcut.txt

Z tego co udało mi się ustalić straciłem wszystkie punkty przywracania systemu.

Wiem że temat nie należy do łatwych ale głównie chodzi mi oto czy

Istnieje choć cień nadziei na odkodowanie tych plików.

Dziękuję za poświęcony czas. Windows przeinstalowany . Temat można zamknąć. Nie zapomnę tez o małym wsparciu finansowym dla twojego forum. Thx

Po skanowaniu sfc program zwrócił komunikat że nie znalazł naruszeń integralności.

Czyli  pozostaje format ale jak najszybciej przekopiować pliki użytkownika typu zdjęcia projekty na  zapasowy dysk ?

Po zrobieniu zalecenia system dalej stoi na logo Windows. Chociaż plik skopiował się poprawnie.  

Logu pisze że system nie może być przywrócony. Siwieje
 

Fixlog.txt

Z poziomu RE kiedy daje na przywróć system wyskakuje błąd "Nie można odnaleźć określonego pliku. (0x800700002) "

Zamknij narzędzie i spróbuj ponownie

Sprawdziłem ścieżkę do c:\windows\system\restore\rstrui.exe i nie ma katalogu restore a tym samym pliku rstrui.

System po ponownym uruchomieniu dalej nie ładuje sterowników i pozostaje na etapie pokazania logo Windows.
 

Fixlog.txt