Reklamy, przekierowania, ctb-locker...

[ryszardbanana]

Kłaniam się,

 

znajomy żali się na zły stan komputera, którego ewidentnie nie umie prowadzić; niemniej na własną rękę zastosowałem FRST chcąc pozbyć się banalnego problemu reklam. Dopiero później zorientowałem się, że w kompie gmerał ctb-locker, dlatego przestałem kozaczyć i serdecznie proszę was o zerknięcie na poniższe logi.

 

Co zrobiłem:

1. Pousuwałem to, co widoczne z poziomu Programy i Funkcje + Chrome wersji developerskiej

2. CCleanerem, który już był wcześniej zainstalowany, pousuwałem nieco więcej + oczyściłem rejestr.

3. Wykonałem logi FRST, skomponowałem sobie fixlist, który z pewnością da się odczytać z załącznika.

 

No i na tym poprzestałem, bo zaszyfrowanych plików bez haraczu i tak nie odzyskam

Fixlog wynika z tego co żem uczynił na własną rękę. Reszta jest najnowsza.

 

GMERa dorzucę, gdy się w końcu zeskanuje; czekam ponad godzinę.

Fixlog.txt

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

niemniej na własną rękę zastosowałem FRST chcąc pozbyć się banalnego problemu reklam

Usunąłeś poprawne niewybrakowane wpisy:

 

ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Jarek\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll (Dropbox, Inc.)

BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)

BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> c:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

R2 DCService.exe; C:\ProgramData\DatacardService\DCService.exe [229376 2010-08-19] () [File not signed]

R2 UI Assistant Service; C:\Program Files (x86)\PLAY ONLINE\AssistantServices.exe [260976 2011-05-31] ()

S3 TVICHW32; C:\Windows\system32\DRIVERS\TVICHW32.SYS [21200 2013-11-25] (EnTech Taiwan)

S3 TVICHW32; C:\Windows\SysWOW64\DRIVERS\TVICHW32.SYS [29536 2013-11-25] (EnTech Taiwan)

 

Niektóre szkody nieistotne (będzie i tak deinstalacja określonych rzeczy), Dropboxa przeinstalujesz, usunięte usługi zaś będą rekonstruowane z kopii zapasowej FRST. Dodatkowa uwaga: skoro usuwasz w całości klucze MozillaPlugins, to nie ma sensu przetwarzać wpisów typu "FF Plugin" kierujących w to miejsce, bo i tak zostaną usunięte.

 

Próbowałeś też przetwarzać poprawne adresy DNS UPC. To się i tak nie wykonało, bo nie jest sensowne. To wartość dynamiczna pobierana z routera, nie da się jej zmodyfikować na stałe z poziomu Windows, i tak będzie przywracana z routera:

 

Tcpip\Parameters: [DhcpNameServer] 62.179.1.62 62.179.1.63

 

 

---

W mojej mocy są tylko poprawki, zaszyfrowanych danych niestety nie ma jak odzyskać. Do usunięcia będą szczątki adware i programów, artefakty wstawione przez ComboFix (np. martwa usługa AppMgmt nie występująca na edycjach Home), pliki pomocnicze CTB-Locker oraz zaszyfrowane dane (to krok na potem).

 

1. Deinstalacje:

- Przez Panel sterowania odinstaluj stare wersje Adobe Reader X MUI, Adobe Shockwave Player 12.0, Java™ 7 Update 1 (64-bit), Java™ 7 Update 1 oraz zbędnik przypuszczanie instalowany nieintencjonalnie Smart File Advisor.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei odpadkowe wpisy Update Installer for WildTangent Games App, WildTangent Games App > Dalej.

- Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator. Wyszukaj pozycję avast! Firewall NDIS Filter Miniport, odinstaluj i zresetuj system.

 

2. Otwórz Notatnik i wklej w nim:

 

U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [45856 2013-08-22] (AVG Technologies)
S4 GamesAppService; "C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe" [X]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
CHR HKU\S-1-5-21-2876413115-476791588-3789803701-1000\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
Task: {24504EEB-9805-4081-99F6-9FAC96018FD3} - System32\Tasks\{363F7A12-B195-4882-A45E-0177088DD5F1} => pcalua.exe -a D:\blueconnect\Setup.exe -d D:\blueconnect
Task: {E9D2EEFD-3FF2-43C5-8865-E7A6D874A797} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe 
Task: {F2AA8173-817D-403D-BCE2-9ACBB457BB58} - \AdobeFlashPlayerUpdate No Task File 
Task: {F560B843-4495-47C1-955B-F47D5339CA85} - \AdobeFlashPlayerUpdate 2 No Task File 
Task: {FC035E5E-4222-49D5-83C0-ABC03029922C} - \dpcewba No Task File 
HKU\S-1-5-21-2876413115-476791588-3789803701-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
C:\Program Files\Enigma Software Group
C:\Program Files\Google
C:\Program Files\Java
C:\Program Files (x86)\Common Files\Java
C:\Program Files (x86)\Common Files\McAfee
C:\Program Files (x86)\IsaVeer
C:\Program Files (x86)\Java
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Temp
C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
C:\ProgramData\3872871776
C:\ProgramData\50Cuoupons
C:\ProgramData\7875723679439a5a
C:\ProgramData\8679969435114773082
C:\ProgramData\AnySend
C:\ProgramData\AVAST Software
C:\ProgramData\c406ba16000042c6
C:\ProgramData\DeEaalExpress
C:\ProgramData\EEnjooYCouppon
C:\ProgramData\Evernote
C:\ProgramData\InstallMate
C:\ProgramData\iolo
C:\ProgramData\McAfee
C:\ProgramData\Mini - Adblocker
C:\ProgramData\Sun
C:\ProgramData\The AdBlocker
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Player Classic - Home Cinema\Changelog.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAIO Smart Network.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk
C:\ProgramData\Sony Corporation\VAIO Partners\yandex.url
C:\Users\Jarek\AppData\Local\avgchrome
C:\Users\Jarek\AppData\Local\Comodo
C:\Users\Jarek\AppData\Local\CrashDumps
C:\Users\Jarek\AppData\Local\DM
C:\Users\Jarek\AppData\Local\enchant
C:\Users\Jarek\AppData\Local\Evernote
C:\Users\Jarek\AppData\Local\javasharedresources
C:\Users\Jarek\AppData\Local\TrafficSpaceLLC
C:\Users\Jarek\AppData\LocalLow\Evernote
C:\Users\Jarek\AppData\LocalLow\Sun
C:\Users\Jarek\AppData\LocalLow\Temp
C:\Users\Jarek\AppData\Roaming\appdataFr3.bin
C:\Users\Jarek\AppData\Roaming\AnySend
C:\Users\Jarek\AppData\Roaming\EditPlus 3
C:\Users\Jarek\AppData\Roaming\FreeFLVConverter
C:\Users\Jarek\AppData\Roaming\HD Tune Pro
C:\Users\Jarek\AppData\Roaming\iolo
C:\Users\Jarek\AppData\Roaming\Mozilla
C:\Users\Jarek\AppData\Roaming\Systweak
C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk
C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Viber.lnk
C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\SendTo\AnySend.lnk
C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player
C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sonoris\DDP_Player\License_Agreement.lnk
C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sonoris\DDP_Player\Sonoris_DDP_Player.lnk
C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk
C:\Users\Jarek\AppData\Roaming\Microsoft\Word\graal%202304248003248754775\graal%202.docx.lnk
C:\Users\Jarek\Desktop\kraków delegacja.lnk
C:\Users\Jarek\Desktop\michael marcus (1).lnk
C:\Users\Jarek\Desktop\Nowy folder\*.lnk
C:\Users\Jarek\Downloads\!Decrypt-All-Files-ipeqgvm.bmp
C:\Users\Jarek\Downloads\!Decrypt-All-Files-ipeqgvm.txt
C:\Users\Jarek\Downloads\CCleaner 5.02.5101.exe
C:\Users\Jarek\Downloads\Download*.exe
C:\Users\Jarek\Downloads\Java*.exe
C:\Users\Jarek\Downloads\Renata%20Zar%3Fbska%20-%20Noc%20z%20Renat%3F.mp3.exe
C:\Windows\system32\drivers\avgtpx64.sys
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GamesAppService" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Hoolapp Android" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Viber" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
CMD: for /d %f in (C:\ProgramData\Microsoft\Windows\GameExplorer\{*}) do rd /s /q "%f"
CMD: for /d %f in (C:\Users\Jarek\AppData\Local\{*}) do rd /s /q "%f"
CMD: for /d %f in (C:\Users\Jarek\AppData\LocalLow\{*}) do rd /s /q "%f"
Reg: reg load HKLM\TEMP C:\FRST\Hives\SYSTEM
Reg: reg export HKLM\TEMP\CurrentControlSet\Services\DCService.exe C:\Users\Jarek\Desktop\DCService.reg
Reg: reg export HKLM\TEMP\CurrentControlSet\Services\TVICHW32 C:\Users\Jarek\Desktop\TVICHW32.reg
Reg: reg export "HKLM\TEMP\CurrentControlSet\Services\UI Assistant Service" C:\Users\Jarek\Desktop\UIAssistant.reg
Reg: reg unload HKLM\TEMP

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

3. Na Pulpicie powinny powstać trzy pliki REG: DCService.reg, TVICHW32.reg, UIAssistant.reg. Otwórz każdy w Notatniku i zamień:

 

HKEY_LOCAL_MACHINE\TEMP

 

... na:

 

HKEY_LOCAL_MACHINE\SYSTEM

 

Po korekcie pliki zaimportuj do rejestru.

 

4. Uruchom FRST, w polu Search wklej:

 

*ipeqgvm*

 

Klik w Search files i przedstaw wynikowy log. Log będzie gruby. Gdyby się nie zmieścił w załączniku, shostuj na innym serwisie i podaj link.