Problem z rozszerzeniem .ccc

[bruta1ity]

Używam Windows 8 64Bit na laptopie Acer Aspire E15. Ostatnio mam problem z plikami ponieważ wiele z nich zmieniło rozszerzenie na .ccc i nie sposób je otworzyć. Do tego przegladarka często się zawiesza, otwierają się samoistnie strony internetowe. W menadżerze zadań jest kilka procesów które pierwszy raz widze na oczy.

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[picasso]

Pliki *.ccc to zaszyfrowane wersje utworzone przez infekcję TeslaCrypt: KLIK. Odszyfrowanie plików nie jest możliwe na własną rękę "sposobem domowym" i nie ma żadnego dekodera dostępnego publicznie. Jedyne możliwości odkodowania plików to opłata przestępcom (niepolecane działanie) lub zgłoszenie się bezpośrednio do supportu Kasperskiego z prośbą o pomoc: KLIK.

 

 

W mojej gestii jest jedynie doczyszczenie infekcji (ona jest aktywna) oraz innych śmieci, bo są tu też liczne obiekty adware, w tym infekcja pliku dnsapi.dll. I pod tym kątem:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
HKLM-x32\...\Run: [gmsd_pl_005010137] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010140] => [X]
HKLM-x32\...\Run: [rec_en_77] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010141] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010142] => [X]
HKLM-x32\...\Run: [qewr2342] => C:\Users\fff\AppData\Roaming\yjexq-a.exe
HKLM-x32\...\Run: [Orange_Poland LINKS ModemListener] => C:\Program Files (x86)\Airbox\Y858_Poland\BackgroundService\ModemListener.exe start
HKLM-x32\...\Winlogon: [shell] Explorer.exe, [ ] () 
HKLM\...\Policies\Explorer\Run: [82120755] => C:\ProgramData\msuhqbqc.exe [78848 2014-10-29] ()
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Run: [GoogleChromeAutoLaunch_9A416E56DFA36904EDC88884BFAAD356] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Run: [qewr2342] => C:\Users\fff\AppData\Roaming\yjexq-a.exe
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Policies\Explorer: [HideSCAHealth] 1
S1 {1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64; C:\Windows\System32\drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys [48776 2015-12-19] (StdLib)
S1 {3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64; C:\Windows\System32\drivers\{3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64.sys [48776 2015-11-11] (StdLib)
S2 Update Hard Case; C:\Program Files (x86)\Hard Case\updateHardCase.exe [651504 2015-12-20] ()
S2 Util Hard Case; C:\Program Files (x86)\Hard Case\bin\utilHardCase.exe [651504 2015-12-20] ()
S2 WinNetSvc; C:\Users\fff\AppData\Roaming\WinNetSvc\WinNetSvc.exe [4845408 2015-12-16] ()
S3 Huawei E3372; "C:\ProgramData\MobileBrServ\mbbservice.exe" -service [X]
S3 RTSPER; \SystemRoot\system32\DRIVERS\RtsPer.sys [X]
S1 {078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64; system32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys [X]
S1 {27899312-155f-40f3-8661-fb6675d82b4b}Gw64; system32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys [X]
S1 {3abcaa2c-a48f-4cd5-9f1d-4ba001bc6de2}Gw64; system32\drivers\{3abcaa2c-a48f-4cd5-9f1d-4ba001bc6de2}Gw64.sys [X]
S1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; system32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [X]
S1 {8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64; system32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys [X]
S1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}w64; system32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}w64.sys [X]
S1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; system32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [X]
S1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; system32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [X]
S1 {ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64; system32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys [X]
S1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64; system32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys [X]
Task: {0ECCD5AE-8C19-436A-B061-1DD080EB956D} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro 3.11\OptProLauncher.exe 
Task: {20BAA76C-F3CF-4DE3-AE21-E49591D4E3DD} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-6 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.exe 
Task: {268AB0A1-19B9-4A2F-BDEC-7900C2322CBE} - System32\Tasks\GoogleUpdateTaskMachineCore1d00daa6028d803 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {2AB60FC6-90E4-4FD3-908D-1267DFCF01E3} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: {453CB28C-AE96-4414-A623-414878FE0ABE} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5_user => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe 
Task: {661242DA-FA5C-4CC6-842E-94E4CC92EEDD} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe 
Task: {6ACD8FBE-BD3B-484A-89CC-4E207C4F3E68} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-7 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.exe 
Task: {8477970E-D65C-45DE-AB31-459DA3E8B619} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.exe 
Task: {C5878A08-0B85-47F1-AE7F-617952B0E21F} - System32\Tasks\Q6lLXq4SUDC => C:\Users\fff\AppData\Roaming\Q6lLXq4SUDC.exe 
Task: {D1935FF5-7B96-4115-B289-0074FC712F7F} - System32\Tasks\Aeiajyu => C:\PROGRA~1\SHOPPE~1\Libdop.bat
Task: {D82C9CAE-20A5-469D-BC12-EE2C78996625} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.exe 
Task: {DA1C5239-7215-4FE5-A3F1-9D2D867F8991} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe 
Task: {DE93CFD7-CEB0-480B-BA5C-630934D5230B} - System32\Tasks\{9235CEFE-CA24-4387-B835-C8047937BA31} => pcalua.exe -a "C:\Program Files (x86)\Acer\Acer Portal\uninstall.exe"
Task: {E9442772-AB38-4E99-8AF7-AF2C3268C309} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: {F986DC5F-1820-47BC-82CF-5EB7412BEA40} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe 
Task: {FFD8A4A8-DA08-4F72-92C3-91215600F002} - System32\Tasks\AcerCloud => C:\Program Files (x86)\Acer\Acer Portal\AcerPortal.exe
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5_user.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.exe 
Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: C:\Windows\Tasks\Q6lLXq4SUDC.job => C:\Users\fff\AppData\Roaming\Q6lLXq4SUDC.exe 
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {6D32925A-EC0E-4E01-B14F-5C4D2AC47F99} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms}
BHO-x32: Hard Case 1.0.0.7 -> {129adec8-a002-44a1-880a-7bd8518798c3} -> C:\Program Files (x86)\Hard Case\HardCasebho.dll [2015-08-21] (Hard Case)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1418328914&from=cor&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09
ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411
ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411
ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411
ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL [brak pliku]
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku]
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku]
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => nie znaleziono
FF HKLM\...\Firefox\Extensions: [{1004631C-2843-4B62-8C97-1A08E065D1F7}] - C:\Program Files\shopperz061120151826\Firefox\{1004631C-2843-4B62-8C97-1A08E065D1F7}.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [{1004631C-2843-4B62-8C97-1A08E065D1F7}] - C:\Program Files\shopperz061120151826\Firefox\{1004631C-2843-4B62-8C97-1A08E065D1F7}.xpi => nie znaleziono
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
C:\ProgramData\msuhqbqc.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\zf3i4r6e6f5o4x.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2
C:\Users\fff\AppData\Local\Google
C:\Users\fff\AppData\Roaming\WinNetSvc
C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk
C:\Users\fff\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK
C:\Users\fff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\avast! antivirus.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\abMedia.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\abPhoto.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Acer Portal.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Acer Remote Files.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Bin — skrót.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Booking.com.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Continue Microsoft Office Installation.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\CyberLink PowerDirector 10.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\CyberLink PowerDVD 12.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\eBay.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Huawei E3372.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\McAfee Security Scan Plus.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Avast Free Antivirus.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Opera.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Optimizer Pro.lnk
C:\Users\fff\Pictures\page (2).ln
C:\Users\fff\Pictures\natalia\Gramblr.lnk
C:\Windows\system32\Conivew64.dll
C:\Windows\System32\drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys
C:\Windows\System32\drivers\{3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64.sys
C:\Windows\SysWOW64\Conivew.dll
CMD: bcdedit
CMD: netsh advfirewall reset
CMD: netsh winsock reset
CMD: attrib -r -h -s C:\howto_recover_* /s
CMD: del /q /s C:\howto_recover_*
Hosts:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom RepairDNS. Na Pulpicie powstanie raport RepairDNS.txt

 

3. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware GoHD, GUPlayer, Hard Case, Reimage Protector, Setup, SpaceSoundPro Service (dwa wejścia), WordAnchor 1.10.0.20 oraz starszą wersję Java 8 Update 51 (64-bit). Jeśli coś nie będzie widoczne lub zwróci błąd, nie szkodzi, kontynuuj.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej.

 

4. Wyczyść Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt * i RepairDNS.txt. Odpowiedz mi też na pytanie czy Singapurski OpenDNS 208.67.220.220 został tu ustawiony celowo jako Zapasowy DNS.

 

* Plik fixlog.txt może być ogromny, ze względu na usuwanie rekursywne z dysku wszystkich plików typu howto_recover_* dorobionych przez TeslaCrypt. Jeśli nie wejdzie do załącznika, shostuj go gdzieś i podaj do niego link. Reszta raportów jako załączniki forum.

[bruta1ity]

Nie, DNS nie był ustawiany docelowo. LogFix jest zbyt duży więc : http://speedy.sh/wrMn6/Fixlog.txt
 

RepairDNS.txt

FRST.txt

Addition.txt

[picasso]

Wszystkie operacje wykonane, infekcje nie są już czynne. Kolejna porcja zadań:

 

1. Pod kątem Singapurskiego OpenDNS pobieranego z routera:

 

Tcpip\Parameters: [DhcpNameServer] 213.241.79.38 208.67.220.220

 

Zaloguj się do routera:

• W ustawieniach DNS wymaż pole adresu Zapasowego (Secondary) kierujące na 208.67.220.220. Pole można zostawić puste lub zastąpić adesem Google 8.8.4.4
• Zmień hasło oraz upewnij się, że jest zamknięty dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}
Task: {DABE8C50-4D7A-4BA6-B8C6-2F0F5523E4EC} - System32\Tasks\{10A7449D-6C38-4704-89B4-86FCD2629ED7} => pcalua.exe -a "C:\Program Files (x86)\Hard Case\HardCaseUn.exe" -c OFS_
RemoveDirectory: C:\Adwcleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\FRST-OlderVersion
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Program Files\Google
RemoveDirectory: C:\Program Files\Software Informer
RemoveDirectory: C:\Program Files\Common Files\mcafee
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\ProgramData\Informer Technologies, Inc
RemoveDirectory: C:\ProgramData\Sun
RemoveDirectory: C:\ProgramData\Unchecky
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Software Informer
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unchecky
RemoveDirectory: C:\uninst
RemoveDirectory: C:\Users\fff\AppData\Local\Adobe
RemoveDirectory: C:\Users\fff\AppData\Local\CyberLink
RemoveDirectory: C:\Users\fff\AppData\Local\Macromedia
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Adobe
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Company
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Oracle
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Sun
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Microsoft\Silverlight\is\luhqr5vb.die
RemoveDirectory: C:\Users\fff\AppData\Roaming\Adobe
RemoveDirectory: C:\Users\fff\AppData\Roaming\CyberLink
RemoveDirectory: C:\Users\fff\AppData\Roaming\Macromedia
RemoveDirectory: C:\Users\fff\Desktop\Old Firefox Data
RemoveDirectory: C:\Users\fff\Documents\Optimizer Pro
RemoveDirectory: C:\Users\Public\Pokki
CMD: del /q C:\lhq11jj2.exe
CMD: del /q C:\Users\fff\Desktop\48z28tmn.exe
CMD: del /q C:\Users\fff\Desktop\AdwCleaner.exe
CMD: del /q C:\Users\fff\Desktop\RepairDNS.txt
CMD: del /q C:\Users\fff\Documents\fixlist.txt
CMD: del /q C:\Users\fff\Documents\gmer.txt
CMD: del /q C:\Users\fff\Downloads\adwcleaner_5.025.exe
CMD: del /q C:\Users\fff\Downloads\lhq11jj2.exe
CMD: del /q C:\Users\fff\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe
CMD: del /q C:\Users\fff\Downloads\RepairDNS.exe
CMD: del /q C:\Users\fff\Downloads\rkill.exe
CMD: del /q C:\Windows\system32\Drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys
CMD: ipconfig /flushdns
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

 

3. Zrób logi z Farbar Service Scanner oraz najnowszego AdwCleaner z opcji Skanuj.

[picasso]

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Edytowane 11 Lipca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso