Infekcja CryptoWall 3.0

[kolegamich]

Zostałem zainfekowany CryptoWallem 3.0 oraz innymi śmieciami. Na szczęście jestem całkiem niedawno po formacie,więc nie straciłem nic ważnego. Nie byłem w stanie zrobić niczego w GMER ponieważ podczas skanu program się zawiesza, dlatego mam tylko logi z FRST. 

FRST.txt

Shortcut.txt

Addition.txt

[picasso]

Istotnie, jest tu bagno infekcyjne tej konkretnej grupy CryptoWall, w tym trojan Sathurbot. Przymierzałeś się do uruchomienia SpyHunter - to program z czarnej listy!

 

Działania wstępne:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
ShellIconOverlayIdentifiers: [0WinSecurityProvider] -> {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} => C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll ()
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [ubqjmedia] => C:\Users\PC\AppData\Local\Ubqjmedia\tmp175A.exe [430080 2015-02-23] (Fly Project Blood)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [uPHmedia] => regsvr32.exe C:\Users\PC\AppData\Local\UPHmedia\WMP.DLL 
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Ofvics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\PC\AppData\Local\Ubqjmedia\mDNSResponder.dll
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [rasautou] => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [290304 2009-07-14] (©Wyebugur)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Console Protect Service] => C:\Users\PC\AppData\Roaming\Microsoft\Protect\conhost.exe [360960 2015-02-24] (©Ceysajolxofat)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [Actisapi] => C:\Users\PC\AppData\Local\Temp\DHCPplay.exe 
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Run: [68668FD2] => C:\Users\PC\AppData\Roaming\68668FD2\bin.exe [77824 2015-02-25] (ForceCausally # CockiestDisassociateDisarmament FireguardConviction)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\RunOnce: [rasautou] => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [290304 2009-07-14] (©Wyebugur)
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Policies\Explorer: [Run] "C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe"
HKU\S-1-5-21-2334750493-3877686894-2274872293-1000\...\Command Processor: "C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe" 
Startup: C:\Users\PC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rasautou.lnk
Task: {8697A8EF-869D-49AA-9C39-E35B7CFE3349} - System32\Tasks\rasautou => C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate\rasautou.exe [2009-07-14] (©Wyebugur)
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{9a1954fa-5db4-40e5-8397-013295993819} 
CMD: del /q /s C:\HELP_DECRYPT.*
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\APN
C:\ProgramData\Microsoft\Security
C:\Users\PC\AppData\Local\{75A2DCDF-222F-4890-AC46-4C6C3C589A80}
C:\Users\PC\AppData\Local\BITD91F.tmp
C:\Users\PC\AppData\Local\Ubqjmedia
C:\Users\PC\AppData\Local\UPHmedia
C:\Users\PC\AppData\Roaming\20dc23ac.dat
C:\Users\PC\AppData\Roaming\68668FD2
C:\Users\PC\AppData\Roaming\Microsoft\Protect\conhost.exe
C:\Users\PC\AppData\Roaming\Microsoft\Windows\IEUpdate
C:\Users\PC\AppData\Roaming\System
C:\Users\PC\Downloads\C5D8D000
C:\Users\PC\Downloads\pobierz_*.exe
C:\Users\PC\Downloads\SpyHunter-Installer.exe
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows.. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Opuść Tryb awaryjny. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pole Addition). Sprawdź czy możesz uruchomić GMER. Dołącz też plik fixlog.txt .