Ransomware sadogo en mi pc

Hola @irving_cedeno1

Lamentablemente no existe una herramienta que pueda desencriptar los archivos, siempre recomendamos que pasen los archivos encriptados a una USB por si algún día aparece algún desencriptador.

Ya veremos. En tu reporte se puede ver que tienes algunos archivos de sistema encriptados…:thinking:

Creo que por tu seguridad y la estabilidad de tu Sistema, luego de hacer los pasos que te voy a indicar seria conveniente que reinstalaras el Sistema Operativo desde 0.

Paso 1:

Ejecutaste FRST desde un lugar incorrecto:

  • Ejecutado desde C:\Users\DATA-Link\Downloads

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.

Paso 2:

Con mucha atención sigue estos pasos:

1.- Muy Importante >>> Realizar nuevamente una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start
CloseProcesses:
(Google LLC -> Google LLC) C:\Windows\Temp\CR_162CB.tmp\setup.exe <2>
(Google LLC -> Google) C:\Users\DATA-Link\AppData\Local\Google\Chrome\User Data\SwReporter\81.233.200\software_reporter_tool.exe <4>
HKLM-x32\...\Run: [] => [X]
HKLM\...\Winlogon: [Shell] C:\Windows\explorer.exe [2872320 2010-11-21] (Microsoft Corporation) [Archivo no firmado]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Policies\Explorer: [] 
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\...\Winlogon: [Shell] explorer.exe, "C:\ProgramData\ErrorResponder\errorResponder.exe" <==== ATENCIÓN
Startup: C:\Users\DATA-Link\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fjbcvttb.lnk.[25C73809].Encrypted [2020-04-24]
Task: {2679524A-E13D-448E-94C2-136E94135497} - System32\Tasks\UsbFix Monitor => C:\ProgramData\SosVirus\UsbFix\Modules\UsbFixMonitor.exe [1239160 2020-03-23] (Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado]
Task: {5367FD5F-6B71-42B9-9F1F-742301217D14} - System32\Tasks\UsbFix Boot Scan => C:\ProgramData\SosVirus\UsbFix\UsbFix.exe [2053240 2020-03-23] (Sosvirus (Le Bozec Cedric, Dominique, Marie ) -> ) [Archivo no firmado]
Task: {95F37A35-66EF-4997-89D2-29E9F4C813F1} - System32\Tasks\{C4B92F7D-FAF0-41C2-9FC2-A30D6EC8310D} => C:\Windows\system32\pcalua.exe -a "C:\Program Files\Malwarebytes\Anti-Malware\mbemsg.exe" -d "C:\Program Files\Malwarebytes\Anti-Malware"
Task: {D8150C83-0ACD-4856-83ED-711EE23087A5} - System32\Tasks\Baidu LiveUpdate => C:\Program [Argument = Files (x86)\Baidu WiFiHotspot\liveupdate.exe]
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=AE190201&iDate=2020-04-12 12:06:27&bName=
S2 MBAMChameleon; \SystemRoot\System32\Drivers\MbamChameleon.sys [X]
2020-04-26 17:13 - 2020-04-26 17:13 - 000003216 _____ C:\Windows\system32\Tasks\UsbFix Monitor
2020-04-26 17:13 - 2020-04-26 17:13 - 000003214 _____ C:\Windows\system32\Tasks\UsbFix Boot Scan
2020-04-24 10:24 - 2020-05-17 18:57 - 000000000 ____D C:\ProgramData\ErrorResponder
ShellServiceObjects: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
ShellServiceObjects-x32: Sin Nombre -> {900c0763-5cad-4a34-bc1f-40cd513679d5} => 
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
HKU\S-1-5-21-499082674-3892550817-2984342719-1000\Software\Classes\.scr: AutoCADScriptFile => C:\Windows\system32\notepad.exe "%1"
VirusTotal: C:\Windows\kffee.exe

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro con Red>>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas…

Salu2