Problem po usunięciu wirusa Ukash - dokumenty zmieniły rozszerzenie

[urban199409]

Hej, dostałem laptopa od kuzynki bo nie moze sobie z nim poradzic, mianowicie miala wirus ukash (ten za ktory niby trzeba zaplacic) dala laptopa jakiemus koledze. Usunal to ale praktycznie wszystkie pliki doc pdf itp zmienily rozszerzenie na .mfjfdmn i nie wiem co mam teraz zrobic. dodaje logi, z gory dziekuje za pomoc 

http://wklej.org/id/1644299/

http://wklej.org/id/1644300/

http://wklej.org/id/1644305/?hl=

http://wklej.org/id/1644309/

http://wklej.org/id/1644710/

[picasso]

To infekcja CTB-Locker. Opis infekcji: KLIK. Odszyfrowanie danych bez opłaty uiszczonej cyberprzestępcom jest niemożliwe technicznie. Dane te zostały utracone, soft do odzyskiwania danych prawdopodobnie też nic nie zaradzi (w systemie zresztą były liczne zapisy na dysku). Na forum dużo tematów tego rodzaji, dobry przykład to ten: KLIK.

 

 

Jedyne więc co leży w mojej gestii, to doczyszczenie systemu, bo robiono to niedokładnie i trzeba nanieść korekty, w tym na adware. Nie jestem też pewna co tu się działo, ale przeprowadzone naprawy wyglądają "podejrzanie" i prawdopodobnie uszkodzono pewne sfery systemu nieumiejętnym czyszczeniem. Dwie rzeczy rzucają się w oczy:

- Uszkodzenia w Harmonogramie zadań od obiektów które są zainstalowane, co wygląda jakby na oślep usuwano z dysku powiązane pliki zadań.

- Wyprodukowano tu problem tego rodzaju: KLIK. Ktoś (ręcznie lub via tweaker z funkcją resetu uprawnień) rozwalił linki symboliczne, gdyż w Shortcut widać zapętlenie Danych aplikacji (w normalnych okolicznościach w systemie jest Odmowa dostępu i nie następuje zwrotne rozwinięcie):

 

Shortcut: C:\ProgramData\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Dane aplikacji\Menu Start\Programy\Accessories\Math Input Panel.lnk -> C:\Program Files\Common Files\Microsoft Shared\ink\mip.exe (Microsoft Corporation)

 

Używany tu był "Tweaking.com - Windows Repair (All in One)", który owszem ma resety uprawnień i możliwe, że to on zepsuł te specjalne obiekty otwierając je. Na razie problem uszkodzonych linków zostawiam. W Dzienniku zdarzeń jest następujący zestaw błędów:

 

Application errors:

==================

Error: (02/21/2015 05:59:40 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: )

Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -550.
 

Error: (02/21/2015 05:58:01 PM) (Source: ESENT) (EventID: 104) (User: )

Description: Catalog Database (1448) Catalog Database: Aparat bazy danych zatrzymał wystąpienie (0) z błędem (-1090).
 

Error: (02/21/2015 05:34:32 PM) (Source: ESENT) (EventID: 471) (User: )

Description: Catalog Database (1448) Catalog Database: Nie można cofnąć operacji nr 11182 na bazie danych C:\Windows\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb. Błąd: -510. Wszystkie przyszłe aktualizacje bazy danych będą odrzucane.
 

Error: (02/21/2015 05:34:31 PM) (Source: ESENT) (EventID: 492) (User: )

Description: Catalog Database (1448) Catalog Database: Sekwencja pliku dziennika w "C:\Windows\system32\CatRoot2\" została zatrzymana z powodu błędu krytycznego. Przyszłe aktualizacje nie są możliwe w wypadku baz danych używających tej sekwencji pliku dziennika. Usuń problem i ponownie uruchom bazę danych lub przywróć ją z kopii zapasowej.
 

Error: (02/21/2015 05:34:31 PM) (Source: ESENT) (EventID: 418) (User: )

Description: Catalog Database (1448) Catalog Database: Wystąpił błąd -1811 (0xfffff8ed) podczas otwierania nowo utworzonego pliku dziennika C:\Windows\system32\CatRoot2\edb.log.

 

I nawet się nie przymierzaj do uruchomienia tego archaizmu:

 

C:\Users\asus\Downloads\avast! Home Edition 4.8 [1].exe

 

 

---

Działania do przeprowadzenia:

 

1. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2 wskazywanej w błędach Dziennika.

 

2. Odinstaluj przez Panel sterowania:

- Szczątki adware: PriceFountain (remove only), Softonic for Windows.

- Stare programy: Adobe Flash Player 11 ActiveX, Adobe Reader 9.1 - Polish, Java 7 Update 67, Spybot - Search & Destroy.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HomePage: Default -> ?type=hppppp
CHR StartupUrls: Default -> "?type=hppppp"
CHR DefaultSearchURL: Default -> web/?type=dspp&q={searchTerms}
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-2927441721-3693689410-853391107-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ?type=hppppp
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = ?type=hppppp
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = web/?type=dspp&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ?type=hppppp
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = ?type=hppppp
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = web/?type=dspp&q={searchTerms}
HKU\S-1-5-21-2927441721-3693689410-853391107-1000\Software\Microsoft\Internet Explorer\Main,Start Page = ?type=hppppp
HKU\S-1-5-21-2927441721-3693689410-853391107-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421662973&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421662973&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2927441721-3693689410-853391107-1000 -> {FC2865F2-365B-4B32-A000-8628FA9410DD} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=WDCXWD2500BEVS-22UST0_WD-WXE308A5612956129&ts=1421663052&type=default&q={searchTerms}
Task: {2196903F-8F5E-4FC4-900A-CF9995A55B52} - \ATKOSD2 No Task File 
Task: {25EAFE83-F64F-46D7-87F7-4F2306BFB6F5} - \ACMON No Task File 
Task: {2BDE8D3D-C67C-4E3B-8332-EF8BCC470AF5} - \AdobeFlashPlayerUpdate 2 No Task File 
Task: {2E8A8835-D23A-4157-BF17-2E01B7740D19} - \ASUS SmartLogon Console Sensor No Task File 
Task: {B2EA972F-B21F-4465-8224-44989D1694D6} - \AdobeFlashPlayerUpdate No Task File 
Task: {B5FDBD48-0B7B-49AC-981F-024236F70937} - \CCleanerSkipUAC No Task File 
Task: {D91BABE5-67D3-4D82-B22D-50655951A8D8} - \SidebarExecute No Task File 
Task: {DCCD271D-6C1C-4F24-A95D-10463F45F86E} - \ASUS P4G No Task File 
Task: {DCF7B89E-F0DF-40FD-A98F-32E8B2C249AE} - \CPU Grid Computing No Task File 
Task: {E9BFCC4C-4506-414E-A557-D5EEF6AEDD5A} - \nxbdxtc No Task File 
Task: {F208B584-A854-48F2-BC93-EBF99561B964} - \windealistSWU No Task File 
CustomCLSID: HKU\S-1-5-21-2927441721-3693689410-853391107-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\asus\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2927441721-3693689410-853391107-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\asus\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2927441721-3693689410-853391107-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\asus\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
S3 ASUSProcObsrv; \??\E:\I386\AsPrOb64.sys [X]
S3 massfilter; system32\DRIVERS\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
C:\Program Files (x86)\PhraseFinder_1.10.0.9
C:\ProgramData\utlqdob.html
C:\Users\asus\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\asus\AppData\Local\Mobogenie
C:\Users\asus\AppData\Local\PriceFountain
C:\Users\asus\Downloads\avast! Home Edition 4.8 [1].exe
C:\Windows\system32\Drivers\pfnfd_1_10_0_9.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Zrób nowy log FRST z opcji Scan, zazacz ponownie opcję Addition. Dołącz też plik fixlog.txt. Wszystkie logi proszę umieść w postaci załączników forum (oryginalne pliki a nie przeklejki).

[urban199409]

Czyli te pliki sa juz nie do odzyskania :<? 

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Niestety z plikami nic nie da się zrobić. Na wszelki wypadek skopiuj te ważne na jakiś inny nośnik, bo i tak będzie tu rekursywne usuwanie wszystkich zaszyfrowanych plików z wszystkich katalogów. Czyli po skopiowaniu ważnych zaszyfrowanych kopii na inny nośnik:

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic for Windows
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
BootExecute: autocheck autochk * sdnclean64.exe
Handler: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\Windows\system32\urlmon.dll (Microsoft Corporation)
HKU\S-1-5-21-2927441721-3693689410-853391107-1000\...\MountPoints2: {75579b69-0bb2-11e2-993c-c0188519075a} - F:\AutoRun.exe
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\OpenOffice.org 3
RemoveDirectory: C:\Program Files (x86)\Opera
RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2
RemoveDirectory: C:\ProgramData\Adobe
RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy
RemoveDirectory: C:\Users\asus\AppData\Local\Adobe
RemoveDirectory: C:\Users\asus\AppData\Local\Opera Software
RemoveDirectory: C:\Users\asus\AppData\Roaming\Opera Software
RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking
CMD: attrib -r -h -s C:\*mfjfdmn* /s
CMD: del /q /s C:\*mfjfdmn*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

2. Przeprowadź skanowanie za pomocą Hitman Pro. Dostarcz wynikowy raport.