eric

Witam Załapałem infekcję jak się okazuje tylko na dysku sieciowym... jakimś "ścierwem" które nadpisuje pliki rozszerzeniem .jse (sprawa się potoczyła przed weekendem ok.środy/czwartku... zrobiłem reinstalację systemu i teoretycznie po sprawie- infekcja prawdopodobnie przyszła po poczcie lub fb...nie wiem dokładnie. Natomiast pytanie mam jak to rozszyfrować lub odtworzyć...pliki wcześniej ważyły po kilkanaście mb/gb a teraz wszystkie ważą po tyle samo czyli po 587kb...generalnie zainfekowane są pliki pdf/excele/word i dwg.

Udało się,wszystko poprawnie!!!Przynajmniej tego (files encrypted) nie będę widział!Dziękuję!

nie mam mozliwości zmiany z .log na .txt-po prostu nie wiem gdzie to się zmienia albo w jaki sposób bo w tradycyjny nie idzie...;( ps.Zrobiłem obydwa kroki 1 i 2 i dalej mam na dyskach te files encypted...co nie jest jakoś uciążliwe...

poniżej zał. tylko nie mogę dodac tego właśnie bo to txt...?;( nie dałem rady zmienić tego z .log na .txt-coś mam chyba zablokowane a,że sie bardzo spieszę to wysłałem Ci na pw-za co przepraszam!

Jeśli cokolwiek mogło by pomóc również innym osobom to mógłbym wysłać listę odwiedzanych stron z tego feralnego 23.09...pytanie czy to ma sens? ps.Nie wiem czy to ma jakieś znaczenie ale tych notatek files encypted tym programem RansomNoteCleaner nie usunąłem-krzyczał,że odmowa dostępu...

łudzę się nadzieją stąd moje rozterki...

picasso Znalazłem w necie teraz taki przekaz-co myślisz o tym ...? ps.ja jestem w pracy i dopiero wieczorem będę mógł to zweryfikować... ?czy nie ma z czego się cieszyć?

Chyba oszalałeś...nie płać,nigdy!-oszustom się nie płaci,trzeba będzie poczekać na decryptor i tyle,może minie sporo czasu ale ja wierzę,że szybciej się za to wezmą bo sprawa jest za poważna...;( ps.ja też nie wspomnę z ilu lat zdjęcia itp mam...;(((

Z tego co TU piszą to podobno jest to atak przede wszystkim na Polskę od 23.09.16... Chciałem Ci mocno podziękować za tą pracę!!! mimo,że dyski mam "puste/zakodowane" to i tak jesteś dla mnie Legendą!!! Korzystam z Twoich rad i pomocy od 8-10 lat co najmniej,wiele Twoich komentarzy było dla mnie światełkiem w tunelu a także pomocą wydawało by się z sytuacji bez wyjścia -oby więcej takich osób matka ziemia rodziła jak Ty!!! Gratuluję MVP!!! btw.- Rozumiem ,że a propos Unblockupc Ransomware forum będzie aktualizowało dane...?;)Pozostała mi tylko modlitwa...

Sądzę,że raczej była to kwestia właśnie dokładniejszego sprawdzenia i pewnie były zaszyfrowane od razu po "włamaniu"...;(((

Dorzucam pliki z XP: Na XP jpg.niedostępne...,mp3 to samo,pdf+office też nic!!!Nie wiem czy dam radę psychicznie z tym wszystkim...;((( Nie wiem czy to coś zmieni ale gry chodzą... ;)ale cała reszta do bani ;( Fixlog.txt FRST.txt

Ok wieczorem wyślę po pracy ok.22.00 dopiero...w XP nie zaglądałem na dyski bo trochę pękałem...;( pytanie-czy kopia z XP uratowałaby sytuację gdyby się okazało dzisiaj,że pliki/dyski nie są zainfekowane/zaszyfrowane...?

komplet win 8.1+XP Addition.txt FRST.txt Shortcut.txt gmer.txt ShortcutXP.txt AdditionXP.txt FRSTXP.txt GmerXP.txt

Pytanie czy tylko dyski systemowe?

Tak uruchomiłem dwa razy ponieważ jakoś zwiesił się,za drugim razem trwało to 1 min a wczesniej czekałem z pół godz.i stał w miejscu... W tym pliku C:\ProgramData\encfiles.log znalazłem taką ilość rzeczy ,że raczej szkoda gadać-cały komp.jest zainfekowany/zaszyfrowany-nie mogę odpalić jakiegokolwiek zdjęcia ani muzyki...jedynie tylko w katalogach,w których jeszcze nie zajrzałem ani razu moge to zrobić ale po ponownym restarcie już lipa...;(((

Mam 2 systemy-pierwszy win 8.1 a drugi XP-generalnie korzystam z win 8.1 ale zawsze mogę wybrac xp jakby co... ? ps.Jednak zmiany zachodzą jak tylko odpalę jakiś katalog i jakiś plik i po ponownym uruchomieniu komp... Fixlog.txt

Pytanie czy moge korzystac z tego komp.nadal i czy moge się z niego logować na inne portale/pocztę/itp...?Bo juz zauważyłem,że inne foldery mam zainfekowane i w każdym pojawia się ta notatka... podsyłam skan z gmer: GMER 2.2.19882 - http://www.gmer.net Rootkit scan 2016-09-25 17:52:54 Windows 6.2.9200 x64 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-0 GOODRAM_C40 rev.S8FM08.0 223,57GB Running: rup650n9.exe; Driver: C:\Users\sm\AppData\Local\Temp\pxrdqpow.sys ---- Threads - GMER 2.2 ---- Thread C:\Windows\system32\csrss.exe [580:588] fffff960009542d0 Thread C:\Windows\Explorer.EXE [1728:2092] 00007ffb70b0e630 Thread C:\Windows\Explorer.EXE [1728:4472] 00007ffb82e5e630 ---- Registry - GMER 2.2 ---- Reg HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel\RNG@RNGAuxiliarySeed -354047115 ---- Files - GMER 2.2 ---- File C:\Users\sm\AppData\Local\Mozilla\Firefox\Profiles\4qxxra7c.default-1439284011294\cache2\entries\98C49A666C7B4C086D8CAD3C590B13A9FA20101D 1177 bytes ---- EOF - GMER 2.2 ---- I jeszcze jedno pytanie -a jak mam 2 systemy postawione to na drugim te dyski będą do odczytu czy nie?

robiłem w sobotę przywracanie systemu z 21.09 ale później zrobiłem kolejne i widzę,że z datą 24.09 teraz mi pokazuje...a komunikat jaki mi pozostawia ten wirus jako .txt na każdym dysku z tego pliku encrypted jest taki: You used to download illegal files from the internet. Now all of your private files has been locked and encrypted! To unblock them visit one of these websites: hxxp://unblockupc.xyz hxxp://unblockupc.in hxxp://moscovravir.ru hxxp://******************** hxxp://******************** hxxp://unblockupc.club Your UID: *************** dodatkowo zapuściłem teraz gmer...ale mięli jeszcze

Punkt przywracania jest sprzed bo 21.09 a zdjęcie/infekcja/wirus jest z wczoraj...dostęp do dysków mam i otwieram wszystkie katalogi i wszystkie zdjęcia oprócz katalogu do którego skopiowałem tego wirusa a także z pulpitu nie otwierają się zdjęcia,dok,i poczta...możemy ew.spróbowac TeamViewer...lub cokolwiek co polecisz

Witam Ściągnąłem z netu jakieś zdjęcie i stało się...pojawił się czerwony tekst na pulpicie (sam napis) o zaszyfrowaniu komp,dysków itd ale na szczęście tylko są zaszyfrowane jpg/pdf z pulpitu a także poczta (skrót)itd.Finalnie nie mogę otworzyć dok.tylko na pulpicie i zdjęć oraz tych zdjęć i plików z katalogu do którego skopiowałem feralne zdjęcie. Zrobiłem skanowanie Malwarebytes,Norton Power Eraser,Kaspersky rescue disk,Highjackthis,natomiast Combofix nie działa bo mam win 8.1...?;( Wszystkie programy poznajdowały różne rzeczy i je pousuwały natomiast pliki o których wspomniałem dalej nie da się ich otworzyć i tylko w tych dwóch lokalizacjach-pulpit i dysk niesystemowy w 1 katalogu,poczta dalej nie działa.Nazwa tego pliku,który się załadował to einfo...natomiast nie zainstalował sie ten plik. Zrobiłem również przywracanie systemu sprzed pobrania feralnego zdjęcia ale dalej to samo-pliki i poczta nie da sie otworzyć. Addition.txt FRST.txt Shortcut.txt