Skocz do zawartości

Problem z rozszerzeniem .ccc


Rekomendowane odpowiedzi

Używam Windows 8 64Bit na laptopie Acer Aspire E15. Ostatnio mam problem z plikami ponieważ wiele z nich zmieniło rozszerzenie na .ccc i nie sposób je otworzyć. Do tego przegladarka często się zawiesza, otwierają się samoistnie strony internetowe. W menadżerze zadań jest kilka procesów które pierwszy raz widze na oczy.

FRST.txtPobieranie informacji ...

Addition.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

gmer.txtPobieranie informacji ...

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Pliki *.ccc to zaszyfrowane wersje utworzone przez infekcję TeslaCrypt: KLIK. Odszyfrowanie plików nie jest możliwe na własną rękę "sposobem domowym" i nie ma żadnego dekodera dostępnego publicznie. Jedyne możliwości odkodowania plików to opłata przestępcom (niepolecane działanie) lub zgłoszenie się bezpośrednio do supportu Kasperskiego z prośbą o pomoc: KLIK.

 

 

W mojej gestii jest jedynie doczyszczenie infekcji (ona jest aktywna) oraz innych śmieci, bo są tu też liczne obiekty adware, w tym infekcja pliku dnsapi.dll. I pod tym kątem:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe"
HKLM-x32\...\Run: [gmsd_pl_005010137] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010140] => [X]
HKLM-x32\...\Run: [rec_en_77] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010141] => [X]
HKLM-x32\...\Run: [gmsd_pl_005010142] => [X]
HKLM-x32\...\Run: [qewr2342] => C:\Users\fff\AppData\Roaming\yjexq-a.exe
HKLM-x32\...\Run: [Orange_Poland LINKS ModemListener] => C:\Program Files (x86)\Airbox\Y858_Poland\BackgroundService\ModemListener.exe start
HKLM-x32\...\Winlogon: [shell] Explorer.exe, [ ] () 
HKLM\...\Policies\Explorer\Run: [82120755] => C:\ProgramData\msuhqbqc.exe [78848 2014-10-29] ()
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Run: [GoogleChromeAutoLaunch_9A416E56DFA36904EDC88884BFAAD356] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Run: [qewr2342] => C:\Users\fff\AppData\Roaming\yjexq-a.exe
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Policies\Explorer: [HideSCAHealth] 1
S1 {1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64; C:\Windows\System32\drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys [48776 2015-12-19] (StdLib)
S1 {3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64; C:\Windows\System32\drivers\{3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64.sys [48776 2015-11-11] (StdLib)
S2 Update Hard Case; C:\Program Files (x86)\Hard Case\updateHardCase.exe [651504 2015-12-20] ()
S2 Util Hard Case; C:\Program Files (x86)\Hard Case\bin\utilHardCase.exe [651504 2015-12-20] ()
S2 WinNetSvc; C:\Users\fff\AppData\Roaming\WinNetSvc\WinNetSvc.exe [4845408 2015-12-16] ()
S3 Huawei E3372; "C:\ProgramData\MobileBrServ\mbbservice.exe" -service [X]
S3 RTSPER; \SystemRoot\system32\DRIVERS\RtsPer.sys [X]
S1 {078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64; system32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys [X]
S1 {27899312-155f-40f3-8661-fb6675d82b4b}Gw64; system32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys [X]
S1 {3abcaa2c-a48f-4cd5-9f1d-4ba001bc6de2}Gw64; system32\drivers\{3abcaa2c-a48f-4cd5-9f1d-4ba001bc6de2}Gw64.sys [X]
S1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; system32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [X]
S1 {8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64; system32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys [X]
S1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}w64; system32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}w64.sys [X]
S1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; system32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [X]
S1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; system32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [X]
S1 {ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64; system32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys [X]
S1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64; system32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys [X]
Task: {0ECCD5AE-8C19-436A-B061-1DD080EB956D} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro 3.11\OptProLauncher.exe 
Task: {20BAA76C-F3CF-4DE3-AE21-E49591D4E3DD} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-6 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.exe 
Task: {268AB0A1-19B9-4A2F-BDEC-7900C2322CBE} - System32\Tasks\GoogleUpdateTaskMachineCore1d00daa6028d803 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {2AB60FC6-90E4-4FD3-908D-1267DFCF01E3} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: {453CB28C-AE96-4414-A623-414878FE0ABE} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5_user => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe 
Task: {661242DA-FA5C-4CC6-842E-94E4CC92EEDD} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe 
Task: {6ACD8FBE-BD3B-484A-89CC-4E207C4F3E68} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-7 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.exe 
Task: {8477970E-D65C-45DE-AB31-459DA3E8B619} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.exe 
Task: {C5878A08-0B85-47F1-AE7F-617952B0E21F} - System32\Tasks\Q6lLXq4SUDC => C:\Users\fff\AppData\Roaming\Q6lLXq4SUDC.exe 
Task: {D1935FF5-7B96-4115-B289-0074FC712F7F} - System32\Tasks\Aeiajyu => C:\PROGRA~1\SHOPPE~1\Libdop.bat
Task: {D82C9CAE-20A5-469D-BC12-EE2C78996625} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.exe 
Task: {DA1C5239-7215-4FE5-A3F1-9D2D867F8991} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe 
Task: {DE93CFD7-CEB0-480B-BA5C-630934D5230B} - System32\Tasks\{9235CEFE-CA24-4387-B835-C8047937BA31} => pcalua.exe -a "C:\Program Files (x86)\Acer\Acer Portal\uninstall.exe"
Task: {E9442772-AB38-4E99-8AF7-AF2C3268C309} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: {F986DC5F-1820-47BC-82CF-5EB7412BEA40} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe 
Task: {FFD8A4A8-DA08-4F72-92C3-91215600F002} - System32\Tasks\AcerCloud => C:\Program Files (x86)\Acer\Acer Portal\AcerPortal.exe
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5_user.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.exe 
Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.exe 
Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe 
Task: C:\Windows\Tasks\Q6lLXq4SUDC.job => C:\Users\fff\AppData\Roaming\Q6lLXq4SUDC.exe 
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {6D32925A-EC0E-4E01-B14F-5C4D2AC47F99} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms}
BHO-x32: Hard Case 1.0.0.7 -> {129adec8-a002-44a1-880a-7bd8518798c3} -> C:\Program Files (x86)\Hard Case\HardCasebho.dll [2015-08-21] (Hard Case)
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1418328914&from=cor&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09
ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411
ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411
ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411
ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381
FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL [brak pliku]
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku]
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku]
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => nie znaleziono
FF HKLM\...\Firefox\Extensions: [{1004631C-2843-4B62-8C97-1A08E065D1F7}] - C:\Program Files\shopperz061120151826\Firefox\{1004631C-2843-4B62-8C97-1A08E065D1F7}.xpi => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [{1004631C-2843-4B62-8C97-1A08E065D1F7}] - C:\Program Files\shopperz061120151826\Firefox\{1004631C-2843-4B62-8C97-1A08E065D1F7}.xpi => nie znaleziono
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
C:\ProgramData\msuhqbqc.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\zf3i4r6e6f5o4x.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2
C:\Users\fff\AppData\Local\Google
C:\Users\fff\AppData\Roaming\WinNetSvc
C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk
C:\Users\fff\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK
C:\Users\fff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\avast! antivirus.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\abMedia.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\abPhoto.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Acer Portal.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Acer Remote Files.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Bin — skrót.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Booking.com.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Continue Microsoft Office Installation.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\CyberLink PowerDirector 10.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\CyberLink PowerDVD 12.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\eBay.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Huawei E3372.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\McAfee Security Scan Plus.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Avast Free Antivirus.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Opera.lnk
C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Optimizer Pro.lnk
C:\Users\fff\Pictures\page (2).ln
C:\Users\fff\Pictures\natalia\Gramblr.lnk
C:\Windows\system32\Conivew64.dll
C:\Windows\System32\drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys
C:\Windows\System32\drivers\{3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64.sys
C:\Windows\SysWOW64\Conivew.dll
CMD: bcdedit
CMD: netsh advfirewall reset
CMD: netsh winsock reset
CMD: attrib -r -h -s C:\howto_recover_* /s
CMD: del /q /s C:\howto_recover_*
Hosts:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Uruchom RepairDNS. Na Pulpicie powstanie raport RepairDNS.txt

 

3. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware GoHD, GUPlayer, Hard Case, Reimage Protector, Setup, SpaceSoundPro Service (dwa wejścia), WordAnchor 1.10.0.20 oraz starszą wersję Java 8 Update 51 (64-bit). Jeśli coś nie będzie widoczne lub zwróci błąd, nie szkodzi, kontynuuj.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej.

 

4. Wyczyść Firefox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść całą historię przeglądania.
5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt * i RepairDNS.txt. Odpowiedz mi też na pytanie czy Singapurski OpenDNS 208.67.220.220 został tu ustawiony celowo jako Zapasowy DNS.

 

* Plik fixlog.txt może być ogromny, ze względu na usuwanie rekursywne z dysku wszystkich plików typu howto_recover_* dorobionych przez TeslaCrypt. Jeśli nie wejdzie do załącznika, shostuj go gdzieś i podaj do niego link. Reszta raportów jako załączniki forum.

Odnośnik do komentarza

Wszystkie operacje wykonane, infekcje nie są już czynne. Kolejna porcja zadań:

 

1. Pod kątem Singapurskiego OpenDNS pobieranego z routera:

 

Tcpip\Parameters: [DhcpNameServer] 213.241.79.38 208.67.220.220

 

Zaloguj się do routera:

  • W ustawieniach DNS wymaż pole adresu Zapasowego (Secondary) kierujące na 208.67.220.220. Pole można zostawić puste lub zastąpić adesem Google 8.8.4.4
  • Zmień hasło oraz upewnij się, że jest zamknięty dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC}
Task: {DABE8C50-4D7A-4BA6-B8C6-2F0F5523E4EC} - System32\Tasks\{10A7449D-6C38-4704-89B4-86FCD2629ED7} => pcalua.exe -a "C:\Program Files (x86)\Hard Case\HardCaseUn.exe" -c OFS_
RemoveDirectory: C:\Adwcleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\FRST-OlderVersion
RemoveDirectory: C:\MATS
RemoveDirectory: C:\Program Files\Google
RemoveDirectory: C:\Program Files\Software Informer
RemoveDirectory: C:\Program Files\Common Files\mcafee
RemoveDirectory: C:\ProgramData\AVAST Software
RemoveDirectory: C:\ProgramData\Informer Technologies, Inc
RemoveDirectory: C:\ProgramData\Sun
RemoveDirectory: C:\ProgramData\Unchecky
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Software Informer
RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unchecky
RemoveDirectory: C:\uninst
RemoveDirectory: C:\Users\fff\AppData\Local\Adobe
RemoveDirectory: C:\Users\fff\AppData\Local\CyberLink
RemoveDirectory: C:\Users\fff\AppData\Local\Macromedia
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Adobe
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Company
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Oracle
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Sun
RemoveDirectory: C:\Users\fff\AppData\LocalLow\Microsoft\Silverlight\is\luhqr5vb.die
RemoveDirectory: C:\Users\fff\AppData\Roaming\Adobe
RemoveDirectory: C:\Users\fff\AppData\Roaming\CyberLink
RemoveDirectory: C:\Users\fff\AppData\Roaming\Macromedia
RemoveDirectory: C:\Users\fff\Desktop\Old Firefox Data
RemoveDirectory: C:\Users\fff\Documents\Optimizer Pro
RemoveDirectory: C:\Users\Public\Pokki
CMD: del /q C:\lhq11jj2.exe
CMD: del /q C:\Users\fff\Desktop\48z28tmn.exe
CMD: del /q C:\Users\fff\Desktop\AdwCleaner.exe
CMD: del /q C:\Users\fff\Desktop\RepairDNS.txt
CMD: del /q C:\Users\fff\Documents\fixlist.txt
CMD: del /q C:\Users\fff\Documents\gmer.txt
CMD: del /q C:\Users\fff\Downloads\adwcleaner_5.025.exe
CMD: del /q C:\Users\fff\Downloads\lhq11jj2.exe
CMD: del /q C:\Users\fff\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe
CMD: del /q C:\Users\fff\Downloads\RepairDNS.exe
CMD: del /q C:\Users\fff\Downloads\rkill.exe
CMD: del /q C:\Windows\system32\Drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys
CMD: ipconfig /flushdns
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

 

3. Zrób logi z Farbar Service Scanner oraz najnowszego AdwCleaner z opcji Skanuj.

Odnośnik do komentarza
  • 5 miesięcy temu...

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor.

 

* Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...