Aplikacje nie działają, w każdym folderze pliki txt howto_recover_file_aajnc

[gregores]

mega problem :

 

połowa aplikacji nie dziala, caly explorer jest przeciazony, foldery otwieraja sie po znacznym opoznieniu, ich zawartosc pokazuje sie jeszcze dluzej, w kazdym folderze na kazdym dysku, nawet w zawartosci "moj komputer" znajduja sie 4 pliki tekstowe : "howto_recover_file_aajnc" "howto_recover_file_aajnc", "howto_recover_file_vddnr" "howto_recover_file_vddnr", dodatkowo duzo plikow na wszystkich dyskach ma dopisane nowe rozszerzenie "ccc" tuz po prawdziwym rozszerzeniu np "archiwum.zip.ccc".

 

z gory dziekuje za pomoc

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Sprawa ciężka, to infekcja TeslaCrypt i plików nie da się odkodować. Porównawczo ten temat: KLIK. Ona nadal jest czynna, więc należy ją szybko usunąć.

 

Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-4141441876-3601026287-570387324-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\wdigest.dll (HP) 
HKLM\...\Run: [openssl_32] => C:\ProgramData\openssl_32.exe [4096 2015-11-13] ()
HKU\S-1-5-21-4141441876-3601026287-570387324-1000\...\Run: [GoogleDriveSync] => "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart
HKU\S-1-5-21-4141441876-3601026287-570387324-1000\...\Run: [MSConfig] => C:\Users\Dirciak\zedgxlpq.exe [35893248 2015-11-13] (AhnLab, Inc. )
HKU\S-1-5-21-4141441876-3601026287-570387324-1000\...\RunOnce: [Report] => C:\AdwCleaner\AdwCleaner[C1].txt [1548 2015-11-14] ()
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => Brak pliku
Toolbar: HKU\S-1-5-21-4141441876-3601026287-570387324-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
Task: {2F9A2A64-856A-4724-B2F5-8F05C11FE4FD} - System32\Tasks\{1988B6A2-D827-4FBE-B61E-BA1EA266D630} => K:\KOPIA\INSTALKI\Instalki\winamp534_full_bundle_emusic-7plus.exe
Task: {A8EEC877-AE19-460C-8E82-8DBF59C6EB9B} - System32\Tasks\{D5B57EA3-BFDB-44B1-840E-0A3EA1E01545} => K:\KOPIA\INSTALKI\Instalki\winamp534_full_bundle_emusic-7plus.exe
Task: {B1A1E647-5CD4-4E27-9486-12B464E4157D} - System32\Tasks\{0520757E-D956-4A88-ACCE-53AF7617EB69} => K:\KOPIA\INSTALKI\Instalki\winamp534_full_bundle_emusic-7plus.exe
Task: {C0C4284E-CC7C-4E39-9FD2-282C7813AE64} - System32\Tasks\{BC03A4C7-D76C-4795-AB60-2EBF2C9111C8} => G:\SimCity\SimCity\SimCity.exe
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S0 PxHlpa64; System32\Drivers\PxHlpa64.sys [X]
U2 V2iMount; Brak ImagePath
AlternateDataStreams: C:\Users\Dirciak\Local Settings:init
C:\ProgramData\autobk.inc
C:\ProgramData\openssl_32.exe
C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}
C:\Users\Dirciak\zedgxlpq.exe
C:\Users\Dirciak\AppData\Roaming\msregsvv.dll
C:\Users\Dirciak\AppData\Roaming\update.dat
C:\Users\Dirciak\Downloads\SpyHunter 4 Key Generator.rar
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh advfirewall reset
CMD: attrib -r -h -s C:\howto_recover_file* /s
CMD: attrib -r -h -s D:\howto_recover_file* /s
CMD: attrib -r -h -s E:\howto_recover_file* /s
CMD: attrib -r -h -s G:\howto_recover_file* /s
CMD: attrib -r -h -s H:\howto_recover_file* /s
CMD: attrib -r -h -s I:\howto_recover_file* /s
CMD: attrib -r -h -s K:\howto_recover_file* /s
CMD: attrib -r -h -s R:\howto_recover_file* /s
CMD: attrib -r -h -s T:\howto_recover_file* /s
CMD: attrib -r -h -s W:\howto_recover_file* /s
CMD: del /q /s C:\howto_recover_file*
CMD: del /q /s D:\howto_recover_file*
CMD: del /q /s E:\howto_recover_file*
CMD: del /q /s G:\howto_recover_file*
CMD: del /q /s H:\howto_recover_file*
CMD: del /q /s I:\howto_recover_file*
CMD: del /q /s K:\howto_recover_file*
CMD: del /q /s R:\howto_recover_file*
CMD: del /q /s T:\howto_recover_file*
CMD: del /q /s W:\howto_recover_file*
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Fix może się długo wykonywać ze względu na rekursywne usuwanie wszystkich wystąpień howto_recover_file* z wszystkich dysków.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. On będzie baaaardzo duży, więc spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

[gregores]

Wielkie dzięki za pomoc! 

FIXLOG :
http://www70.zippyshare.com/v/lTapmYiK/file.html

Addition.txt

FRST.txt

[picasso]

Infekcja pomyślnie usunięta. Zostaje nierozwiązywalny problem zaszyfrowanych plików na wszystkich dyskach. Na dysku C dostało się także plikom programów i Windows, więc pewne ubytki odnotujesz np. w opcjach niektórych aplikacji. Jedyne co jest w mojej gestii, to ewentualne usunięcie zaszyfrowanych kopii z wybranych miejsc. Teraz na spokojnie wybierz który wariant wdrażamy dla dysku C:

 

- Usunięcie wszystkich zaszyfrowanych plików z dysku C. Nadal zostanie problem naruszonych programów i przy natknięciu się na taki kwiatek wymagana reinstalacja danego programu.

- Format partycji C.

 

Pliki na innych dyskach niż systemowy to osobna sprawa. To już do ewentualnego ręcznego posprzątania z zachowaniem na wszelki wypadek ważnych zaszyfrowanych kopii. Na teraz i tak nie ma żadnych szans, by je odkodować.

[picasso]

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.