Zaszyfrowany komputer .no_ransom_more, problemy z Windows

[atasuke]

Witam 

Mam problem z komputerem którego otrzymałem od znajomego po nie umiejętnym "raczej" . usuwaniu ransome . Zastosował Combofix oraz adcleaner komputer przestał szyfrować pliki ale działanie pozostawia wiele do życzenia.

Ja wykonałem tylko skanowanie FRST bo zniszczenia są ogromne jeżeli chodzi o dane ale chciałbym  spróbować przynajmniej przywrócić system do stanu używalności jeżeli jest to możliwe.Co sie dzieje 

nie działają przeglądarki zrywa połączenie i nie można zapisać żadnego pliku na dysku.

nie działa lewy klawisz myszy wszystko odpalam albo z klawiatury albo z prawym otwórz

utworzone jest około 6 kont użytkownika których raczej nie powinno być 

przesyłam logi z FRST :

FRST.txt

Addition.txt

Shortcut.txt

Z góry dziękuje za pomoc

 

 

 

[jessica]

Na zaszyfrowane pliki nic Ci nie poradzę, to beznadziejna sprawa.

 

Cytat

Date: 2016-10-04 06:00:35.919
Description:
Podczas skanowania produktu Windows Defender wykryto program szpiegujący lub inne potencjalnie niechciane oprogramowanie.
Aby uzyskać więcej informacji, zobacz:
http://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:Win32/Necurs&threatid=182438
Nazwa:Trojan:Win32/Necurs

Data jest stara, ale infekcja chyba aktualna, bo ten sam plik jest w logach.

 

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Task: {9FBD6DFF-4D3C-4503-B0D4-5793E8DB8B16} - System32\Tasks\WspólneGummerShotgunsV2 => rundll32.exe CoxswainsMaverick.dll,main 7 1 <==== UWAGA
Task: {BE06AC68-1977-4E16-8E3D-AEBA10289204} - System32\Tasks\Encrypter => C:\Users\Wspólne\AppData\Roaming\info.exe <==== UWAGA
Task: {BFA9A593-3425-4400-AEAD-DF0C0C50E63D} - \AdobeFlashPlayerUpdate -> Brak pliku <==== UWAGA
Task: {CD4B15A7-F43A-4C09-91F4-5D67C5F48DF1} - \AdobeFlashPlayerUpdate 2 -> Brak pliku <==== UWAGA
C:\Users\Wspólne\AppData\Roaming\info.exe
FirewallRules: [TCP Query User{1A8EB08B-8AA3-43DE-935E-0D9C5340D25D}C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
FirewallRules: [UDP Query User{179A8A3E-45F1-4ECC-86BC-AB037923F437}C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
FirewallRules: [TCP Query User{E72491ED-C6D2-4249-9F01-5A47974C9591}C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
FirewallRules: [UDP Query User{F9518066-B240-4F87-943B-18A0E147C6EB}C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
C:\users\wspólne\appdata\local\{8cb5e9f8-1dfd-9215-17c9-0489f7b4c276}\syshost.exe
FirewallRules: [TCP Query User{1FE97D91-DB11-44EB-B6F1-A26E904FBC15}C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
FirewallRules: [UDP Query User{2EC4DAFC-9768-437D-9E68-97C2B2421F84}C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
FirewallRules: [TCP Query User{032F8899-3B00-481C-9789-916CEC6DE0BE}C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
FirewallRules: [UDP Query User{011C9C67-92F4-45C3-A614-D56B74431DCF}C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
C:\users\wspólne\appdata\local\{bbabbeef-f1ae-dadd-506b-57c43056f527}\syshost.exe
FirewallRules: [TCP Query User{4089706E-1EA7-4F1A-B4B4-3A86ECFFB6EF}C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe] => (Block) C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
FirewallRules: [UDP Query User{45BF246B-E32D-42DD-9A2B-8AD0698A355B}C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe] => (Block) C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
FirewallRules: [TCP Query User{988E9588-8394-410E-B096-BCE93BC82904}C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe] => (Block) C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
FirewallRules: [UDP Query User{91D6EC54-9A43-4900-A42D-41EE0D1135F8}C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe] => (Block) C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
C:\users\johny\appdata\local\{7ee20a4e-3c5e-fb4b-9c61-76287c4c3de6}\syshost.exe
FirewallRules: [TCP Query User{538562CD-6A03-418D-9C20-EC51C95499AF}C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe
FirewallRules: [UDP Query User{E501FFCD-F41C-494C-84D2-84EE686936D7}C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe] => (Block) C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe
C:\users\wspólne\appdata\local\{8aa02751-5d3a-4f5d-2fcb-5edf0fb6e357}\syshost.exe
HKLM\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [NoInternetOpenWith] 1
HKU\S-1-5-21-31920782-221104248-2988025778-1007\...\Run: [Akgworks] => C:\Windows\System32\regsvr32.exe C:\Users\Wspólne\AppData\Local\Ozics\qwhnehzk.dll <==== UWAGA
HKU\S-1-5-21-31920782-221104248-2988025778-1007\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\Wspólne\AppData\Local\Ozics\mtcqawpc.dll UWAGA
ShortcutTarget: HP Button Manager.lnk -> C:\Program Files\Hewlett-Packard\HP Webcam HD 2300 Software\BM.exe (Brak pliku)
Startup: C:\Users\Wspólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\C.lnk [2017-07-15]
ShortcutTarget: C.lnk -> C:\Users\Wspólne\AppData\Roaming\eeTclu3CLG.exe (Brak pliku)
Startup: C:\Users\Wspólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Milouz95.vbs [2016-06-21] ()
Startup: C:\Users\Wspólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\z.lnk [2017-08-31]
ShortcutTarget: z.lnk -> C:\Users\Wspólne\AppData\Roaming\eeMVenw5E9.exe (Brak pliku)
StartMenuInternet: Google Chrome.S23TS2ZOPWMXNL7TUOPE46KXZM - C:\Users\Kasiuleńka\AppData\Local\Google\Chrome\Application\chrome.exe
S3 catchme; \??\C:\Users\WSPLNE~1\AppData\Local\Temp\catchme.sys [X] <==== UWAGA
S3 eapihdrv; \??\C:\Users\WSPLNE~1\AppData\Local\Temp\ehdrv.sys [X] <==== UWAGA
2018-10-22 10:36 - 2018-10-22 10:36 - 000000215 _____ C:\Users\Dżony\AppData\Local\How Recovery Files.txt
2018-10-22 10:30 - 2018-10-22 10:30 - 000000215 _____ C:\Users\Dżony\AppData\LocalLow\How Recovery Files.txt
2018-10-22 10:28 - 2018-10-22 10:28 - 000000215 _____ C:\Users\Wspólne\AppData\Local\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Public\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Public\Documents\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Dżony\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Dżony\Documents\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Dżony\Desktop\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:47 - 000000215 _____ C:\ProgramData\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:28 - 000000215 _____ C:\Users\Dżony\Downloads\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:28 - 000000215 _____ C:\Users\Dżony\AppData\Roaming\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:27 - 000000215 _____ C:\Users\Wspólne\AppData\LocalLow\How Recovery Files.txt
2018-10-22 10:27 - 2018-10-22 10:27 - 000000215 _____ C:\Users\Public\Downloads\How Recovery Files.txt
2018-10-22 10:19 - 2018-10-22 10:19 - 000000215 _____ C:\Users\Wspólne\AppData\Roaming\How Recovery Files.txt
2018-10-22 10:16 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Wspólne\Desktop\How Recovery Files.txt
2018-10-22 10:03 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Wspólne\Documents\How Recovery Files.txt
2018-10-22 10:02 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Wspólne\Downloads\How Recovery Files.txt
2018-10-22 10:01 - 2018-10-22 10:47 - 000000215 _____ C:\Users\Wspólne\How Recovery Files.txt
C:\ProgramData\msvrdu.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MH_Kart_Thunder\Manual.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MH_Kart_Thunder\Play MH_Kart_Thunder.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MH_Kart_Thunder\Uninstall MH_Kart_Thunder.lnk
CustomCLSID: HKU\S-1-5-21-31920782-221104248-2988025778-1007_Classes\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InprocServer32 -> C:\Users\Wspólne\AppData\Local\Ozics\mtcqawpc.dll => Brak pliku
ContextMenuHandlers1: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP\System\aimp_menu32.dll -> Brak pliku
C:\Users\Wspólne\AppData\Local\Ozics
ContextMenuHandlers4: [AIMP] -> {1F77B17B-F531-44DB-ACA4-76ABB5010A28} => C:\Program Files\AIMP\System\aimp_menu32.dll -> Brak pliku
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
FolderExtensions: [ShellFolder for CD Burning] -> {fbeb8a05-beee-4442-804e-409d6c4515e9} => C:\Users\Wspólne\AppData\Local\Ozics\mtcqawpc.dll -> Brak pliku
Task: {99E94889-92A8-43D0-A227-37C8D61FE961} - System32\Tasks\AdwCleaner_onReboot => E:\adwcleaner_7.2.4.0.exe [2018-10-29] (Malwarebytes)
ShortcutWithArgument: C:\Users\Wspólne\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

jessi