2015-06-02 08:38 - 2015-06-02 08:38 - 0025445 _____ () C:\Documents and Settings\JJedynak\Ustawienia lokalne\Dane aplikacji\how_decrypt.gif
2015-06-02 08:38 - 2015-06-02 08:38 - 0004520 _____ () C:\Documents and Settings\JJedynak\Ustawienia lokalne\Dane aplikacji\how_decrypt.html
Te pliki wskazuja na istnienie infekcji; która zaszyfrowała wszystkie dokumenty, obrazy, itp. Użytkownika.
Raczej nie da się już tego odzyskać.
Wypróbuj narzędzie
Anti-CryptorBit http://www.bleepingcomputer.com/virus-removal/cryptorbit-ransomware-information#decrypterfixer
2) Użyj >
TDSSKillerMa wykryć i usunąć Rootkita "NECURS" (U5 1b1d5b21757e269e; C:\Windows\System32\Drivers\1b1d5b21757e269e.sys [86784 2015-06-02] )
3)
HKU\S-1-5-21-1292428093-1454471165-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
To akurat nie jest dziwne, bo sam napisałeś, że to komputer w firmie, więc pewnie firma nałożyła jakieś restrykcje na komputer, by nie był używany do prywatnych celów.
4) Otwórz Notatnik i wklej w nim:
C:\Documents and Settings\JJedynak\Ustawienia lokalne\Dane aplikacji\how_decrypt.gif
C:\Documents and Settings\JJedynak\Ustawienia lokalne\Dane aplikacji\how_decrypt.html
C:\Documents and Settings\All Users\Dane aplikacji\{8B18F6F1-DBE7-47E3-828F-3A305B08CA5A}
C:\WINDOWS\system32\Drivers\1b1d5b21757e269e.sys
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\how_decrypt.html
C:\Documents and Settings\JJedynak\Pulpit\how_decrypt.html
C:\Documents and Settings\JJedynak\Moje dokumenty\how_decrypt.html
C:\how_decrypt.html
C:\Documents and Settings\Default User\how_decrypt.html
U5 1b1d5b21757e269e; C:\Windows\System32\Drivers\1b1d5b21757e269e.sys [86784 2015-06-02] () <===== ATTENTION Necurs Rootkit?
R2 syshost32; C:\WINDOWS\Installer\{538EE3CE-F6E3-C121-3E03-16411DBFE945}\syshost.exe [125440 2015-06-02] () [File not signed]
C:\WINDOWS\Installer\{538EE3CE-F6E3-C121-3E03-16411DBFE945}\syshost.exe
C:\Windows\System32\Drivers\1b1d5b21757e269e.sys
HKU\S-1-5-21-1292428093-1454471165-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
EmptyTemp:
Plik zapisz pod nazwą
fixlist.txt i umieść obok FRST.exe
Uruchom
FRST i kliknij przycisk
Fix.
Powstanie plik fixlog.txt.
Daj ten log.
5) Zrób nowe logi FRST, i napisz, jaka sytuacja.
.