Pomoc, infekcja CTBLocker

[pewd]

Witam,

Niestety załapałam trojana CTBLocker . W systemie zainstalowany był darmowy avast. Na początku był robiony skan mbam i usunęło wszystko co pokazało. Potem cure it, tutaj znalazło adware, ale nie usunęło wszystkiego. Na końcu norton power eraser, ale także nie usunął wszystkich zagrożeń.

Oto logi:

FRST

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Cóż na zaszyfrowane pliki nic nie poradzimy,relatywnie zostaną one usunięte z partycji systemowej. Odzyskiwanie z kopii cieniowych też mija się to z celem,bo infekcja pierwsze co robi to usuwa wszelkie punkty przywracania. Można spróbować jedynie odzyskać za pomocą programu jakiegoś do odzyskiwania danych ale też będzie to zależeć od operacji na dysku We/Wy i nadpisania istniejących danych.


Do notatnika wklej i zapisz jako fixlist.txt

Kod:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> 
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> 
HKU\S-1-5-21-2985902915-3152715469-324727896-1000\...\Run: [msnmsgr] => C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe [3883856 2009-07-26] (Microsoft Corporation)
HKU\S-1-5-21-2985902915-3152715469-324727896-1000\...\Run: [Google Update] => C:\Users\Jola\AppData\Local\Google\Update\GoogleUpdate.exe [116648 2012-03-26] (Google Inc.)
HKU\S-1-5-21-2985902915-3152715469-324727896-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\EMACHI~1.SCR [453152 2009-12-24] ()
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
Startup: C:\Users\Jola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk [2013-06-16]
ShortcutTarget: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk -> C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-2985902915-3152715469-324727896-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/
HKU\S-1-5-21-2985902915-3152715469-324727896-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
URLSearchHook: HKU\S-1-5-21-2985902915-3152715469-324727896-1000 - (No Name) - {f4c28532-b9d0-4950-a2df-e83f9929242b} - C:\Program Files (x86)\MyFunCards_5m\bar\1.bin\5mSrcAs.dll No File
SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW
SearchScopes: HKLM-x32 -> {acbd5593-e5ee-4c15-b48f-1823ce819dec} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZUxpt200YYpl&ptnrS=ZUxpt200YYpl&ptb=CA3550AA-98BD-4197-989F-711833601223&ind=2012071017&n=77edc469&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = 
SearchScopes: HKU\S-1-5-21-2985902915-3152715469-324727896-1000 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW_plPL428PL428
SearchScopes: HKU\S-1-5-21-2985902915-3152715469-324727896-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW_plPL428PL428
SearchScopes: HKU\S-1-5-21-2985902915-3152715469-324727896-1000 -> {acbd5593-e5ee-4c15-b48f-1823ce819dec} URL = http://search.mywebsearch.com/mywebsearch/GGmain.jhtml?id=ZUxpt200YYpl&ptnrS=ZUxpt200YYpl&ptb=CA3550AA-98BD-4197-989F-711833601223&ind=2012071017&n=77edc469&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKU\S-1-5-21-2985902915-3152715469-324727896-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = 
Toolbar: HKU\S-1-5-21-2985902915-3152715469-324727896-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
DPF: HKLM-x32 {0D9392CD-A784-4FCA-9342-0F75F7D7C8CB} http://www.cltnet.de/login/dplaunch.cab
CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1419367004&from=wpm12233&uid=WDCXWD3200BPVT-22ZEST0_WD-WX71A80Y6680Y6680"
CHR DefaultSearchKeyword: Default -> delta-homes
CHR Extension: (No Name) - C:\Users\Jola\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh [2015-04-30]
CHR HKLM-x32\...\Chrome\Extension: [mhfdcmehmjcclgopdodkjdicohagipid] - C:\Users\Jola\AppData\Local\Temp\crxAECA.tmp [Not Found]
S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X]
S3 k57nd60a; system32\DRIVERS\k57nd60a.sys [X]
C:\Users\Jola\Desktop\cryptolocker
C:\Users\Jola\Desktop\CTBLocker
C:\ProgramData\eeubzak.html
CustomCLSID: HKU\S-1-5-21-2985902915-3152715469-324727896-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Jola\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2985902915-3152715469-324727896-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Jola\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2985902915-3152715469-324727896-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Jola\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2985902915-3152715469-324727896-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Jola\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2985902915-3152715469-324727896-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Jola\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {3A327AD5-5730-472D-BCCB-094969E85BC0} - System32\Tasks\{CDC73062-E4F8-4ED2-B744-B0F55F13089C} => pcalua.exe -a C:\Users\Jola\Desktop\eMule0.50a-Installer-[www.legalne.info].exe -d C:\Users\Jola\Desktop
Task: {44B052EE-9827-4FB2-9B96-477BA73CE433} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-04-20] (Google Inc.)
Task: {56C9DE39-A897-4AF3-B570-637F4E0C1210} - System32\Tasks\{8C0AE495-DA8C-46FF-87E1-DC6128A07001} => pcalua.exe -a "C:\Program Files\Alwil Software\Avast5\aswRunDll.exe" -c "C:\Program Files\Alwil Software\Avast5\Setup\setiface.dll" RunSetup
Task: {6D91C387-B793-4759-AC5C-515252ECAFC3} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2985902915-3152715469-324727896-1000UA => C:\Users\Jola\AppData\Local\Google\Update\GoogleUpdate.exe [2012-03-26] (Google Inc.)
Task: {8B439264-463A-4D53-B454-DC7B03BA8B2A} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2985902915-3152715469-324727896-1000Core => C:\Users\Jola\AppData\Local\Google\Update\GoogleUpdate.exe [2012-03-26] (Google Inc.)
Task: {900CE25E-C95E-4DA8-85D0-FF9EB9C3AD3A} - System32\Tasks\avast! Emergency Update => C:\Program Files\Alwil Software\Avast5\AvastEmUpdate.exe [2014-09-16] (AVAST Software)
Task: {98C986C0-3AEC-4668-80C8-A1FABD9493D7} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2011-04-20] (Google Inc.)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2985902915-3152715469-324727896-1000Core.job => C:\Users\Jola\AppData\Local\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2985902915-3152715469-324727896-1000UA.job => C:\Users\Jola\AppData\Local\Google\Update\GoogleUpdate.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: del /q /s C:\*ohkabzd*
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
CMD: netsh int tcp reset all
CMD: netsh int ipv4 reset all
CMD: netsh int isatap reset all
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Odinstaluj:


Acrobat.com
Adobe AIR
Adobe Flash Player 10 Plugin
Adobe Flash Player 14 ActiveX
Adobe Reader 9.2 MUI
Adobe Shockwave Player 11.6
avast! Free Antivirus (stara wersja)
eMachines Registration
eMachines ScreenSaver
eMachines Updater 
McAfee Security Scan Plus
Odkurzacz Packages
SweetIM for Messenger 3.6
SweetPacks Toolbar for Internet Explorer 4.6
Update Manager for SweetPacks 1.0
V9 Homepage Uninstaller
WinZipper

Google Chrome
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję "Zresetuj ustawienia przeglądarki".

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Szukaj i następnie Usuń

Pokaż raport z niego.


Zrób nowe logi i przedstaw z FRST.txt > Addition.txt

[pewd]

Hej,
Jeśli chodzi o zaszyfrowane pliki to nie ma wielkiej tragedii, była zrobiona kopia na dysku zewnętrznym.
Po zrobionym fixliście komputer się zrestartował i folder z programem... wyparował, więc nie mam jak wkleić raportu.

Raport Adw:

[Aby zobaczyć linki, zarejestruj się tutaj]

Frst:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Do notatnika wklej i zapisz jako fixlist.txt

Kod:

DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Users\Jola\Downloads\Folder.JPG.ohkabzd
C:\Users\Jola\Downloads\AlbumArt_{7C534EE5-CE60-4E1B-B3A9-29403D75313E}_Large.JPG.ohkabzd
C:\Users\Jola\Downloads\AlbumArtSmall.JPG.ohkabzd
C:\Users\Jola\Downloads\AlbumArt_{7C534EE5-CE60-4E1B-B3A9-29403D75313E}_Small.JPG.ohkabzd
C:\Users\Jola\Desktop\~$http.DOC.ohkabzd
RemoveDirectory: C:\AdwCleaner
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.

Ściągnij

[Aby zobaczyć linki, zarejestruj się tutaj]

Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.

Adobe Flash Playera zainstalujesz z tej strony 

[Aby zobaczyć linki, zarejestruj się tutaj]

Co do wyboru programu zabezpieczającego można zaglądnąć 

[Aby zobaczyć linki, zarejestruj się tutaj]

[pewd]

Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

I jak? Jest ok?

[tachion]

Tak to wszystko.

[pewd]

Dziękuję za pomoc!