Ransomware STOP extensión LEZP

Hola @Daniel_Hipo_Martinez

Paso 1:

Ejecutaste FRST desde un lugar incorrecto:

  • Ejecutado desde C:\Windows\System32\config\systemprofile\Desktop

Corta el ejecutable y pegalo en tu escritorio <<< Esto es Muy Importante.

La ubicación en tu caso del escritorio seria:

  • C:\Users\Administrador ^_^\Desktop

Paso 2:

Con mucha atención sigue estos pasos:

1.- Muy Importante >>> Realizar nuevamente una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start
CloseProcesses:
HKLM\...\Run: [] => [X]
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig]  <==== ATENCIÓN
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restricción <==== ATENCIÓN
HKU\S-1-5-21-3138747884-1039529220-317751832-1000\...\MountPoints2: F - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3138747884-1039529220-317751832-1000\...\MountPoints2: {28a25174-0a6e-11ea-ba97-1c7508b258e0} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3138747884-1039529220-317751832-1000\...\MountPoints2: {9838fea9-a52e-11e7-aca6-1c7508b258e0} - F:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3138747884-1039529220-317751832-1000\...\MountPoints2: {9838ff02-a52e-11e7-aca6-1c7508b258e0} - F:\HiSuiteDownLoader.exe
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files\Google\Chrome\Application\81.0.4044.129\Installer\chrmstp.exe [2020-04-28] (Google LLC -> Google LLC)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{A6EADE66-0000-0000-484E-7E8A45000000}] -> C:\Program Files\Adobe\Acrobat Reader DC\Esl\AiodLite.dll [2019-05-02] (Adobe Inc. -> Adobe Systems, Inc.)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{AFE6A462-C574-4B8A-AF43-4CC60DF4563B}] -> C:\Program Files\BraveSoftware\Brave-Browser\Application\81.1.8.86\Installer\chrmstp.exe [2020-04-30] (Brave Software, Inc.) [Archivo no firmado]
GroupPolicy: Restricción - Chrome <==== ATENCIÓN
GroupPolicy\User: Restricción ? <==== ATENCIÓN
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restricción <==== ATENCIÓN
CHR HKLM\SOFTWARE\Policies\Google: Restricción <==== ATENCIÓN
Task: {7B4C501D-6F0E-4C94-9540-118CF77AE858} - System32\Tasks\AdwCleaner_onReboot => F:\adwcleaner_7.4.1.exe
Task: {9BC0C502-511D-4742-AA6A-D2E96ADCBCAC} - System32\Tasks\EOSv3 Scheduler onLogOn => C:\Windows\system32\config\systemprofile\Desktop\ESETOnlineScanner_ESL.exe [14562400 2020-04-28] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: {FB3D6AA5-165A-44C3-83FF-89F1E09B6969} - System32\Tasks\EOSv3 Scheduler onTime => C:\Windows\system32\config\systemprofile\Desktop\ESETOnlineScanner_ESL.exe [14562400 2020-04-28] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: C:\Windows\Tasks\AdwCleaner_onReboot.job => C:\Windows\system32\config\systemprofile\Desktop\adwcleaner_8.0.4.exe
SearchScopes: HKU\S-1-5-21-3138747884-1039529220-317751832-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Plugin: @videolan.org/vlc,version=2.2.2 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=2.2.6 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.3 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.4 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
FF Plugin: @videolan.org/vlc,version=3.0.7.1 -> C:\Program Files\VideoLAN\VLC\npvlc.dll [2019-08-14] (VideoLAN -> VideoLAN)
CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2020-04-29 00:04 - 2020-04-29 05:17 - 000000000 ____D C:\KVRT_Data
2020-04-28 23:38 - 2020-04-28 23:38 - 000003788 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onLogOn
2020-04-28 23:38 - 2020-04-28 23:38 - 000003348 _____ C:\Windows\system32\Tasks\EOSv3 Scheduler onTime
2020-04-27 22:13 - 2020-04-27 22:13 - 000000336 _____ C:\Windows\Tasks\AdwCleaner_onReboot.job
2020-04-27 16:14 - 2020-04-27 16:14 - 000000000 ____D C:\ProgramData\QH2PLZAXXV7S7WSUTWYE1YEST
2020-04-25 02:47 - 2020-04-28 00:20 - 000000000 ____D C:\Windows\system32\%LOCALAPPDATA%
2020-04-25 02:36 - 2020-04-25 02:36 - 000000000 __SHD C:\Windows\system32\%APPDATA%
2020-04-25 03:01 - 2020-04-25 15:59 - 000320054 _____ C:\Users\Administrador ^_^\Desktop\Firefox Installer.exe.lezp
2020-04-25 00:44 - 2020-04-27 22:05 - 000000000 ____D C:\Users\Administrador ^_^\AppData\Roaming\injb3p1spx2
2020-04-25 00:24 - 2020-04-27 22:05 - 000000000 ____D C:\Users\Administrador ^_^\AppData\Roaming\wwsr1kuj4hd
2020-04-24 23:50 - 2020-04-27 22:05 - 000000000 ____D C:\Users\Administrador ^_^\AppData\Roaming\ubgc4sq0wgo
2020-04-24 23:31 - 2020-04-27 22:05 - 000000000 ____D C:\Users\Administrador ^_^\AppData\Roaming\odo5vey2zby
2020-04-24 21:50 - 2020-04-27 22:05 - 000000000 ____D C:\Users\Administrador ^_^\AppData\Roaming\7217ac98eb6e
2020-04-24 21:46 - 2020-04-24 23:31 - 001884310 _____ C:\Users\Administrador ^_^\Desktop\MBSetup-090357.090357.exe.lezp
2020-04-24 21:05 - 2020-04-27 22:05 - 000000000 ____D C:\Windows\system32\yzugcxoq
2020-04-24 21:04 - 2020-04-27 22:05 - 000000000 ____D C:\Users\Administrador ^_^\AppData\Roaming\k1bsd1lxkik
2020-04-06 02:28 - 2020-04-06 02:28 - 000000000 ____D C:\Users\Administrador ^_^\AppData\LocalLow\Google
2020-03-31 17:17 - 2020-03-31 17:17 - 000000000 ____D C:\Users\Administrador ^_^\AppData\Roaming\mkvtoolnix
2020-04-28 01:05 - 2016-03-19 01:38 - 000000000 ____D C:\Program Files\Google
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00020812-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00020821-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00020830-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00020832-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00020900-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00020906-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00020906-0000-4b30-A977-D214852036FF}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00020907-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{000209F0-0000-4b30-A977-D214852036FF}\InprocServer32 ->  => Ningún archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{000209FE-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{000209FF-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00024500-0000-0000-C000-000000000046}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{00024512-0000-0000-C000-000000000046}\InprocServer32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{45540003-5750-5300-4B49-4E47534F4655}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{4D4E0078-1386-4536-BD05-3E1013F17116}\InprocServer32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{64818D10-4F9B-11CF-86EA-00AA00B929E8}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{64818D11-4F9B-11CF-86EA-00AA00B929E8}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{70239788-4DAE-49B8-9270-5D8614384B49}\InprocServer32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{75D01070-1234-44E9-82F6-DB5B39A47C13}\localserver32 -> no ruta de acceso de archivo
CustomCLSID: HKU\S-1-5-21-3138747884-1039529220-317751832-1000_Classes\CLSID\{91493443-94BF-4940-926D-4F38FECF2A48}\InprocServer32 ->  => Ningún archivo
AlternateDataStreams: C:\Windows\system32\config\systemprofile:.repos [616631]
AlternateDataStreams: C:\Windows\system32\config\systemprofile:.repos [616631]
FirewallRules: [{BC20A19A-591A-47EC-ABE8-4CA94D2BA34C}] => (Allow) C:\Users\Administrador ^_^\AppData\Roaming\BitTorrent\BitTorrent.exe Ningún archivo
FirewallRules: [{8FB3EC36-ED41-459B-908E-AF8FA9DCD451}] => (Allow) C:\Users\Administrador ^_^\AppData\Roaming\BitTorrent\BitTorrent.exe Ningún archivo
FirewallRules: [{82F28FAD-0ECD-450C-8F6F-9CCBAB593FE0}] => (Allow) C:\Users\Administrador ^_^\AppData\Roaming\BitTorrent\BitTorrent.exe Ningún archivo
FirewallRules: [{942C37EE-E538-4599-ACA4-4B433C2767D9}] => (Allow) C:\Users\Administrador ^_^\AppData\Roaming\BitTorrent\BitTorrent.exe Ningún archivo
FirewallRules: [{9BE43EA6-7EE5-4035-BFBA-7AFEA6EC4C02}] => (Allow) C:\Users\Administrador ^_^\AppData\Roaming\BitTorrent\BitTorrent.exe Ningún archivo
FirewallRules: [{1F50FAE3-1E6D-49C3-8314-C2C6D34B5F9C}] => (Allow) C:\Users\Administrador ^_^\AppData\Roaming\BitTorrent\BitTorrent.exe Ningún archivo
FirewallRules: [{22E474E9-3C4B-4713-BE8D-720E4CDF51E6}] => (Allow) C:\Users\Administrador ^_^\AppData\Roaming\BitTorrent\BitTorrent.exe Ningún archivo
FirewallRules: [{D84762F5-7D7D-4E38-9A2F-3551B117A038}] => (Allow) C:\Users\Administrador ^_^\AppData\Roaming\BitTorrent\BitTorrent.exe Ningún archivo

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.- Inicie su ordenador en >>> Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Paso 3:

Luego de reiniciar, recuerda que aun tienes muchos archivos con extensión .LEZP en tu escritorio, debes pasarlos a una Unidad Externa para guardarlos, ya que por el momento no se pueden desencriptar.

Nos comentas…

Salu2