Odmowa Dostępu Do Zaszyfrowanego Katalogu

[kocurek]

standardowy scenariusz - wracam z pracy a w komputerze zmiany, siedziała żona i syn ale oczywiście nic takiego nie zrobili, do rzeczy mam zaszyfrowany katalog z plikami (hasła, dostęp do kont, loginy itp) wczoraj wieczorem wchodziłem a dziś już nie mogę - odmowa dostępu. jak mogę to odzyskać????

system Xp prof

Edytowane 19 Listopada 2009 przez kocurek

[Kolobos]

Zaszyfrowany czy tylko masz zle prawa dostepu? Jak tylko prawa to przejmij caly katalog na wlasnosc.

[kocurek]

nie bardzo mogę, jestem zalogowany jako administrator a jednak nie mam opcji zabezpieczenia i właściciel.

ok, dane odszyfrowałem za pomocą data recovery, ale martwi mnie ta cała systuacja, dziwnym zbiegiem okoliczności od dwóch dni nie mogę wybrać pieniedzy kartą (a środki sa na koncie)

combofix wykrył lowsec.exe i sdra64.exe, wklejam logi

co mam zrobić?

 

 

 

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "combofix log"

ComboFix 09-11-19.05 - bob 2009-11-20 0:18.6.2 - x86

Uruchomiony z: f:\programy\antywirusy\ComboFix.exe

* Rezydentny antywirus jest aktywny

 

.

 

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\bob\Menu Start\Programy\Autostart\sysupd32.exe

c:\documents and settings\bob\Moje dokumenty\copia 14.10.2008.reg

c:\windows\system32\lowsec

c:\windows\system32\lowsec\local.ds

c:\windows\system32\lowsec\user.ds

c:\windows\system32\sdra64.exe

 

.

((((((((((((((((((((((((( Pliki utworzone od 2009-10-19 do 2009-11-19 )))))))))))))))))))))))))))))))

.

 

2009-11-19 23:14 . 2006-08-23 06:54 42752 ----a-w- c:\windows\system32\drivers\jraid.sys

2009-11-19 23:14 . 2008-04-13 18:40 96512 -c--a-w- c:\windows\system32\dllcache\atapi.sys

2009-11-19 23:14 . 2008-04-13 18:40 96512 ----a-w- c:\windows\system32\drivers\atapi.sys

2009-11-19 23:14 . 2006-05-18 11:50 119808 ----a-w- c:\windows\system32\drivers\ahci8086.sys

2009-11-19 23:10 . 2009-11-19 23:10 396288 ----a-w- c:\windows\system32\CF7093.exe

2009-11-19 22:40 . 2009-11-19 22:50 -------- d-----w- c:\program files\ElcomSoft

2009-11-18 00:17 . 2009-11-18 00:17 -------- d-----w- c:\documents and settings\bob\Ustawienia lokalne\Dane aplikacji\Aspyr

2009-11-16 12:03 . 2009-11-16 12:03 1700352 ----a-w- c:\windows\system32\gdiplus.dll

2009-11-15 10:45 . 2009-11-15 10:47 -------- d-----w- c:\documents and settings\bob\Ustawienia lokalne\Dane aplikacji\Ariel Download Manager

2009-11-14 21:36 . 2009-11-14 21:36 -------- d-----w- c:\program files\Aspyr

2009-10-22 20:54 . 2009-10-22 20:54 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2009-10-22 20:54 . 2009-10-24 20:32 -------- d-----w- c:\documents and settings\bob\Dane aplikacji\skypePM

2009-10-22 20:54 . 2009-10-22 20:54 -------- d-----w- c:\program files\Common Files\Skype

2009-10-22 20:54 . 2009-10-22 20:54 -------- d-----r- c:\program files\Skype

2009-10-22 20:54 . 2009-10-22 20:54 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Skype

 

.

(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-19 07:43 . 2008-10-31 20:51 168832 ----a-w- c:\documents and settings\LocalService\Ustawienia lokalne\Dane aplikacji\FontCache3.0.0.0.dat

2009-11-18 23:55 . 2009-11-18 23:55 8 ----a-w- c:\windows\system32\config\systemprofile\Dane aplikacji\zxcvbd.dat

2009-11-18 23:55 . 2009-11-18 23:55 4 ----a-w- c:\documents and settings\bob\Dane aplikacji\avdrn.dat

2009-11-15 10:45 . 2008-07-08 15:34 18784 ----a-w- c:\documents and settings\bob\Ustawienia lokalne\Dane aplikacji\GDIPFONTCACHEV1.DAT

2009-11-14 22:30 . 2002-09-28 22:00 84216 ----a-w- c:\windows\system32\perfc015.dat

2009-11-14 22:30 . 2002-09-28 22:00 491306 ----a-w- c:\windows\system32\perfh015.dat

2009-11-14 15:46 . 2009-06-25 18:33 -------- d-----w- c:\program files\LucasArts

2009-11-14 14:15 . 2008-07-08 15:37 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-11-08 18:54 . 2009-10-18 22:10 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\SWTCWRH

2009-11-07 01:39 . 2008-10-02 19:08 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2009-11-07 01:37 . 2008-10-16 21:22 -------- d-----w- c:\program files\AGEIA Technologies

2009-11-02 21:43 . 2008-10-02 22:56 4212 ---ha-w- c:\windows\system32\zllictbl.dat

2009-10-24 20:32 . 2008-03-10 18:06 -------- d-----w- c:\documents and settings\bob\Dane aplikacji\Skype

2009-09-25 19:15 . 2009-09-25 19:15 646392 ----a-w- c:\windows\system32\drivers\sptd.sys

2009-09-25 19:09 . 2009-09-24 23:22 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\VMware

2009-09-25 19:05 . 2009-09-24 23:23 -------- d-----w- c:\documents and settings\LocalService\Dane aplikacji\VMware

2009-09-25 12:54 . 2009-09-24 23:27 -------- d-----w- c:\documents and settings\bob\Dane aplikacji\VMware

2009-09-19 20:28 . 2008-12-29 11:04 20 ---h--w- c:\documents and settings\All Users\Dane aplikacji\PKP_DLdw.DAT

2009-09-19 20:24 . 2008-12-29 11:02 20 ---h--w- c:\documents and settings\All Users\Dane aplikacji\PKP_DLdu.DAT

2009-09-10 20:23 . 2008-11-18 00:08 5211932 ----a-w- c:\windows\Internet Logs\tvDebug.zip

2009-08-28 19:49 . 2009-08-23 20:32 43520 ----a-w- c:\windows\system32\CmdLineExt03.dll

2009-08-23 20:31 . 2008-07-10 19:35 98304 ----a-w- c:\windows\system32\CmdLineExt.dll

2008-10-13 22:11 . 2008-10-13 22:11 5 --sha-w- c:\windows\system32\bcbbeebae_s.dll

2009-06-16 00:10 . 2009-06-14 22:12 4594720 --sha-w- c:\windows\system32\drivers\fidbox.dat

2009-06-16 00:10 . 2009-06-14 22:12 44064 --sha-w- c:\windows\system32\drivers\fidbox2.dat

.

 

((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-09-26 872448]

"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-08-14 352256]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-02-18 13680640]

"amd_dc_opt"="c:\program files\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2008-07-22 77824]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2009-05-28 1005960]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-02-18 1657376]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 1241088]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^Adobe Reader Speed Launch.lnk]

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^bob^Menu Start^Programy^Autostart^Nikon Monitor.lnk]

path=c:\documents and settings\bob\Menu Start\Programy\Autostart\Nikon Monitor.lnk

backup=c:\windows\pss\Nikon Monitor.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^bob^Menu Start^Programy^Autostart^System Closer.lnk]

path=c:\documents and settings\bob\Menu Start\Programy\Autostart\System Closer.lnk

backup=c:\windows\pss\System Closer.lnkStartup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iIWiper

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"LVSrvLauncher"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

"c:\\WINDOWS\\system32\\ZoneLabs\\vsmon.exe"=

"c:\\Program Files\\Avira\\AntiVir Desktop\\avcenter.exe"=

"c:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE"=

"c:\\Program Files\\Nero\\Nero 7\\Core\\nero.exe"=

"c:\\Program Files\\Common Files\\Ahead\\lib\\NMIndexStoreSvr.exe"=

"c:\\Program Files\\Common Files\\Ahead\\lib\\NMBgMonitor.exe"=

"c:\\Program Files\\K-Lite Codec Pack\\Filters\\divxsm.exe"=

"c:\\Program Files\\MarBit\\ALLPlayer\\ALLPlayer.exe"=

"c:\\Program Files\\WinRAR\\WinRAR.exe"=

"c:\\Program Files\\K-Lite Codec Pack\\Media Player Classic\\mplayerc.exe"=

"c:\\Program Files\\Analog Devices\\Core\\smax4pnp.exe"=

"c:\\Program Files\\Avira\\AntiVir Desktop\\avgnt.exe"=

"c:\\Program Files\\Analog Devices\\SoundMAX\\Smax4.exe"=

"c:\\Program Files\\Zone Labs\\ZoneAlarm\\zlclient.exe"=

"c:\\WINDOWS\\system32\\taskmgr.exe"=

"f:\\programy\\antywirusy\\ComboFix.exe"=

"c:\\WINDOWS\\system32\\netsh.exe"=

"c:\\WINDOWS\\PEV.exe"=

"d:\\wojny klonów\\Republic Heroes.exe"=

"c:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R0 ahci8086;ATI AMD AHCI Controller;c:\windows\system32\drivers\ahci8086.sys [2009-11-20 119808]

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-02-24 28544]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-04-29 108289]

R2 sprtsvc_Telefonica;SupportSoft Sprocket Service (Telefonica);c:\program files\Telefonica\bin\sprtsvc.exe [2007-03-08 202280]

R3 S6U12BScanner;MUSTEK 1200 UB Still Image Device Service;c:\windows\system32\drivers\usbscan.sys [2009-02-22 15104]

S2 amd64si;amd64si;\??\c:\windows\system32\drivers\amd64si.sys --> c:\windows\system32\drivers\amd64si.sys [?]

 

--- Inne Usługi/Sterowniki w Pamięci ---

 

*Deregistered* - sptd

.

.

------- Skan uzupełniający -------

.

uStart Page = hxxp://www.google.pl/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

mStart Page = about:blank

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Download by Arles Download Manager - c:\documents and settings\bob\Ustawienia lokalne\Dane aplikacji\Ariel Download Manager\DownloadManager.htm

DPF: DirectAnimation Java Classes

DPF: Microsoft XML Parser for Java

.

- - - - USUNIĘTO PUSTE WPISY - - - -

 

AddRemove-{8CFA9151-6404-409A-AF22-4632D04582FD} - c:\program files\InstallShield Installation Information\{8CFA9151-6404-409A-AF22-4632D04582FD}\setup.exe

 

 

 

**************************************************************************

skanowanie ukrytych procesów ...

 

skanowanie ukrytych wpisów autostartu ...

 

skanowanie ukrytych plików ...

 

skanowanie pomyślnie ukończone

ukryte pliki:

 

**************************************************************************

.

--------------------- ZABLOKOWANE KLUCZE REJESTRU ---------------------

 

[HKEY_USERS\S-1-5-21-1715567821-1078145449-725345543-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:8b,54,e9,b8,9a,40,a8,11,5a,46,f9,d0,c8,10,f4,96,79,8d,0b,7f,c5,98,77,

d7,33,72,5c,c2,53,46,fe,64,5b,dc,16,47,c6,74,59,f8,3c,3c,71,5a,0a,9f,53,bd,\

"??"=hex:e3,95,5f,52,b8,36,5b,ff,09,7c,1e,3c,06,a8,73,f2

 

[HKEY_USERS\S-1-5-21-1715567821-1078145449-725345543-1003\Software\SecuROM\License information*]

"datasecu"=hex:a4,46,f8,9a,99,c1,74,fe,6c,e2,88,dc,0e,4f,66,d7,e9,f2,36,2d,5f,

d9,bc,28,62,ba,fd,87,7a,a1,9c,ba,46,79,36,29,71,a6,1b,c5,fa,46,e2,aa,da,e8,\

"rkeysecu"=hex:6f,b8,a4,7d,46,5b,81,cf,d0,7f,10,6f,4e,30,bf,5e

.

Czas ukończenia: 2009-11-20 00:35

ComboFix-quarantined-files.txt 2009-11-19 23:34

 

Przed: 1 367 818 240 bajtów wolnych

Po: 3 361 763 328 bajtów wolnych

 

Current=3 Default=3 Failed=1 LastKnownGood=4 Sets=1,2,3,4

- - End Of File - - DD3B3E3831F08AAC98E5D110030EA30B

 

» Naciśnij aby pokazać/ukryć tekst oznaczony jako spoiler « - "hijackthis log"

Logfile of HijackThis v1.99.1

Scan saved at 00:47:14, on 2009-11-20

Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Telefonica\bin\sprtsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

F:\programy\antywirusy\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: &Download by Arles Download Manager - C:\Documents and Settings\bob\Ustawienia lokalne\Dane aplikacji\Ariel Download Manager\DownloadManager.htm

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - Unknown owner - C:\Program Files\Telefonica\bin\sprtsvc.exe" /service /p Telefonica (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

[Kolobos]

Uzyj CFScript.txt z combofix:

 

Driver::

amd64si

 

File::

c:\windows\system32\config\systemprofile\Dane aplikacji\zxcvbd.dat

c:\documents and settings\bob\Dane aplikacji\avdrn.dat

 

Zrob tez skan przy pomocy Dr.Web CureIt oraz Malwarebytes Anti-Malware.

 

> od dwóch dni nie mogę wybrać pieniedzy kartą (a środki sa na koncie)

 

Zglos sie do banku, powinni odblokowac. Infekcji juz nie ma.

Edytowane 20 Listopada 2009 przez Kolobos