Wirus .weui: Zmiana rozszerzeń plików, skuteczność antywirusów i metody odzyskiwania danych

Witam.

Pobierałem plik z internetu, był spakowany winrarem, ale po otwarciu zainfekował mi komputer.

Generalnie na początku bardzo spowolnił pracę komputera, nawet połączenia z internetem nie było - z tym już sobie poradziłem.

Teraz zdjęcia, filmy, pliki tekstowe, skróty do programów - mają rozszerzenie . weui
Nawet jak ręczenie zmienię plik ze zdjęciem na rozszerzenie jpg to i tak nie da się otworzyć.
Skanowałem komputer antywirusem AVG, MALWAREBYTES, Spybot - znalazły jakieś wirusy, usunąłem ale nie zmieniło to rozszerzeń plików.
Próbowałem przez strony online naprawić uszkodzone pliki ale bezskutecznie.

Na każdej partycji oraz w każdym folderze jest plik z notatnika readme.txt z informacjami, że mogę kupić program deszyfrujący za 980$, a jeśli to zrobie w przeciągu 72 h to cena spada o 50%. Są podane jakieś linki do video, adresy @ itd.

Ratuje mnie tylko reinstalacja systemu ?
Spotkał ktoś się z takim wirusem, są programy do naprawy tych plików ?

Załączam pliki FRST oraz Addition.

Pliki zostały zaszyfrowane. Marna szansa na ich odzyskanie

Odinstaluj:
Spybot - Search & Destroy
CCleaner

Otwórz notatnik i wklej:

CloseProcesses:
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118]
AlternateDataStreams: C:\Users\ja\Ustawienia lokalne:02-12-2020 [383]
AlternateDataStreams: C:\Users\ja\AppData\Local:02-12-2020 [383]
AlternateDataStreams: C:\Users\ja\AppData\Local\Dane aplikacji:02-12-2020 [383]
AlternateDataStreams: C:\Users\Public\AppData:CSM [466]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3971647585-3408122749-3243710178-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
SearchScopes: HKU\S-1-5-21-3971647585-3408122749-3243710178-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-3971647585-3408122749-3243710178-1000\...\MountPoints2: {140c3d81-45fe-11e8-8868-00e04c4d0b2c} - J:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3971647585-3408122749-3243710178-1000\...\MountPoints2: {140c3db1-45fe-11e8-8868-00e04c4d0b2c} - J:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3971647585-3408122749-3243710178-1000\...\MountPoints2: {140c3db8-45fe-11e8-8868-00e04c4d0b2c} - J:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3971647585-3408122749-3243710178-1000\...\MountPoints2: {3ee41401-6da4-11e4-b0a6-bc5ff4f04c44} - H:\Start.exe
HKU\S-1-5-21-3971647585-3408122749-3243710178-1000\...\MountPoints2: {437978f6-b68e-11e9-ae3f-00e04c4d0b2c} - J:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3971647585-3408122749-3243710178-1000\...\MountPoints2: {9cc06e35-c71b-11e3-ab31-806e6f6e6963} - F:\SETUP.EXE
HKU\S-1-5-21-3971647585-3408122749-3243710178-1000\...\MountPoints2: {c6d25ee7-b79b-11e9-bc99-00e04c4d0b2c} - J:\HiSuiteDownLoader.exe
HKU\S-1-5-21-3971647585-3408122749-3243710178-1000\...\MountPoints2: {cbcaa778-c94c-11e3-af7b-bc5ff46ba9d6} - G:\Autorun.exe
HKU\S-1-5-21-3971647585-3408122749-3243710178-1000\...\MountPoints2: {dd1d3782-6211-11e9-8af6-00e04c4d0b2c} - J:\HiSuiteDownLoader.exe
BootExecute: autocheck autochk * sdnclean64.exe
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {089053DE-7A81-4021-A651-9C9454A15B2E} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe [6189624 2020-04-26] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
Task: {15376FCF-550D-4E55-A95C-3E24FE7B7EB5} - System32\Tasks\Opera scheduled Autoupdate 1426022968 => C:\Program Files (x86)\Opera\launcher.exe [1529880 2020-11-25] (Opera Software AS -> Opera Software)
Task: {17C6971D-7312-4834-B5A2-29666523771F} - System32\Tasks\Opera scheduled assistant Autoupdate 1582736865 => C:\Program Files (x86)\Opera\launcher.exe [1529880 2020-11-25] (Opera Software AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="C:\Program Files (x86)\Opera\assistant" $(Arg0)
Task: {35865FAE-C3FA-4BF4-A1D4-8028EC28FECB} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [5723640 2019-09-04] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
Task: {6F328FBF-9D34-4F9F-AD54-D2711C1B9231} - System32\Tasks\{6D957CFA-228C-4C19-99E4-1DCF7CDD230B} => C:\Windows\system32\pcalua.exe -a F:\crack\noob\Windows.Loader.v2.1.4.by.Daz.exe -d F:\crack\noob
Task: {B27C719D-6E7B-4A24-AD12-21CB0846EED8} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [7177168 2020-04-26] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
Task: {BF13B78E-B5EA-4641-B080-2679B74D7516} - System32\Tasks\DriverEasy Scheduled Scan => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe
Task: {E0DE1E46-C371-434D-93C3-0F972FF61571} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [686384 2020-11-10] (Piriform Software Ltd -> Piriform Software Ltd)
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(1): schtasks.exe -> /Change /TN "\Adobe Acrobat Update Task" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(2): schtasks.exe -> /Change /TN "\Adobe Flash Player PPAPI Notifier" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(3): schtasks.exe -> /Change /TN "\AMD Updater" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(4): schtasks.exe -> /Change /TN "\AMDInstallLauncher" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(5): schtasks.exe -> /Change /TN "\AMDLinkUpdate" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(6): schtasks.exe -> /Change /TN "\Antivirus Emergency Update" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(7): schtasks.exe -> /Change /TN "\CCleaner Update" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(8): schtasks.exe -> /Change /TN "\CCleanerSkipUAC" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(9): schtasks.exe -> /Change /TN "\DriverEasy Scheduled Scan" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(10): schtasks.exe -> /Change /TN "\ModifyLinkUpdate" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(11): schtasks.exe -> /Change /TN "\Opera scheduled assistant Autoupdate 1582736865" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(12): schtasks.exe -> /Change /TN "\Opera scheduled Autoupdate 1426022968" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(13): schtasks.exe -> /Change /TN "\StartCN" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(14): schtasks.exe -> /Change /TN "\StartDVR" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(15): schtasks.exe -> /Change /TN "\{23B55D13-0CE5-4A50-9C14-6824F9D1B384}" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(16): schtasks.exe -> /Change /TN "\{3D3FAA80-337F-4B63-A4C5-3917ADFBC52C}" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(17): schtasks.exe -> /Change /TN "\{4D1645E7-A58D-48B9-B4BE-C744FC2E67CB}" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(18): schtasks.exe -> /Change /TN "\{6D957CFA-228C-4C19-99E4-1DCF7CDD230B}" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(19): schtasks.exe -> /Change /TN "\{8A88AB16-00A3-4DAF-AE07-5AC1FD0F5FFD}" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(20): schtasks.exe -> /Change /TN "\{C3C2508E-A677-4977-8FA1-5452DD28410B}" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(21): schtasks.exe -> /Change /TN "\{F055073D-7648-4D19-B6D2-0C872A2A9ACE}" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(22): schtasks.exe -> /Change /TN "\{F3FB9A4E-218D-4406-B9E2-EA84F4D66187}" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(23): schtasks.exe -> /Change /TN "\{F9A56273-5758-4108-82FC-23F92C109B69}" /ENABLE
Task: {E53FF849-2559-48FE-836B-E9807F5856E1} - System32\Tasks\AVAST Software\Gaming mode Task Scheduler recovery => Command(24): schtasks.exe -> /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE
Task: {F2B2596D-16FD-4681-854E-ECCDDA2B2746} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [26781880 2020-11-10] (Piriform Software Ltd -> Piriform Software Ltd)
Task: C:\Windows\Tasks\DriverEasy Scheduled Scan.job => C:\Program Files\Easeware\DriverEasy\DriverEasy.exe
U3 a6kyb4xz; C:\Windows\System32\Drivers\a6kyb4xz.sys [0 0000-00-00] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
U3 aao2tgyx; C:\Windows\System32\Drivers\aao2tgyx.sys [0 0000-00-00] (Microsoft Corporation) <==== UWAGA (zerobajtowy plik/folder)
S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X]
S3 MBfilt; system32\drivers\MBfilt64.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
S3 SWDUMon; system32\DRIVERS\SWDUMon.sys [X]
2020-12-04 18:54 - 2020-12-04 18:54 - 000001395 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk
2020-12-04 18:54 - 2020-12-04 18:54 - 000001383 _____ C:\Users\Public\Desktop\Spybot-S&D Start Center.lnk
2020-12-04 18:54 - 2020-12-04 18:54 - 000001383 _____ C:\ProgramData\Desktop\Spybot-S&D Start Center.lnk
2020-12-04 18:54 - 2020-12-04 18:54 - 000000000 ____D C:\Windows\system32\Tasks\Safer-Networking
2020-12-04 18:54 - 2020-12-04 18:54 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
2020-12-04 18:54 - 2019-06-21 08:34 - 000019904 _____ (Windows (R) Win 7 DDK provider) C:\Windows\system32\Drivers\Spybot3ELAM.sys
2020-12-04 18:54 - 2018-02-06 19:04 - 000032168 _____ (Safer-Networking Ltd.) C:\Windows\system32\sdnclean64.exe
2020-12-04 18:53 - 2020-12-20 11:28 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
2020-12-04 18:53 - 2020-12-04 19:43 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie masz FRST.exe.
Uruchom FRST i kliknij w Fix/Napraw.

krzychupar zrobiłem, mam wstawić Fixlog ? Sporo miejsca zyskałem.

Macie jeszcze jakieś pomysły ?

Fixlog niepotrzebny. Plików zaszyfrowanych nie odzyskasz.

Radzisz ręcznie je usuwać czy reinstall systemu ?

Patrząc na to że ściągasz i uruchamiasz cokolwiek z internetu,

to zrób format C i instalkę od nowa, i zrób sobie obraz takiego czystego systemu na inny nośnik.
Wygląda że się szybko przyda...