komputer zainfekowany wirus spora

[qwer110]

Witam. Proszę o pomoc w usunięciu wirusa SPORA. Dołączam logi.Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[Miszel03]

Niestety, system jest zainfekowany przez złośliwe oprogramowanie z gatunku Ransomware. Na tą chwilę jestem w stanie powiedzieć, że to mogą być dwa warianty wirusa - Tesla 3 lub nowy (wykryty w styczniu) Spora.

Jeśli to wariant Spora to deszyfracja plików jest awykonalna, nie opracowano dotychczas skutecznego dekodera  Dane polecam skopiować na jakiś dysk i poczekać - może kiedyś będzie dekoder. Uprzedzam: szanse są znikome, praktycznie żadne.

 

Wykonaj diagnostykę uploudując jakikolwiek zaszyfrowany plik do analizy do usługi ID Ranosmware. Podaj wynik tej analizy. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.79\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.30.3\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.31.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.29.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.29.1\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.15\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku
HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun_KL_notset] 1
HKU\S-1-5-21-1722780723-3043351753-1960536026-1000\...\Run: [{C0A1C94A-A5AC-41D6-8978-3D61105F262D}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\TWTFGRB').LSEPNTY)));
Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\POA98-85OZH-KTKXH-TZTRX-TXZXT-XZKYY.html [2017-03-06] ()
Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2016-08-12] ()
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\POA98-85OZH-KTKXH-TZTRX-TXZXT-XZKYY.html
C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs
SearchScopes: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms}
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Usuń notatki z instrukcją dot. deszyfracji plików, w tym celu zastosuj RansomNoteCleaner. Dostarcz raport z tego działania.

 

3. Całościowo przeskanuj system przez Malwarebytes AntiMalware. Skasuj wszystkie wykryte przez niego infekcję z wyjątkiem zaszyfrowanych plików. Dostarcz raport z przeprowadzenia tego zadania.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.