Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Proszę o analizę logów - Zagrożenie locky.ransomware

olgales 15 Lip 2016 11:06 1500 11
  • #1 15 Lip 2016 11:06
    olgales
    Poziom 8  

    Cześć

    jestem abonentem Neostrady w Orange. Wczoraj przeglądarka wyświetliła mi komunikat i odcięła net (nazywa się to "cybertarcza Orange"), że z mojego komputera następują podejrzane połączenia, które wskazują na groźnego wirusa locky.ransomware. W związku z tym rozpocząłem szeroko zakrojoną akcję poszukiwawczą. Programy antywirusowe nic nie wykazują, ale mój router od tego czasu zwariował. Co kilka minut traci połączenie. Orange wymienił mi dziś sprzęt (było podejrzenie uszkodzenia po burzy), ale dalej jest to samo - router gubi co kilka minut połączenie, a ja dostałem znowu komunikat o wirusie. Nie otwieram pierwszych lepszych załączników więc trochę mnie ta sytuacja dziwi.

    Rzuciłem się zatem do skanów bo zagrożenie wydaje się bardzo duże. Poproszę o pomoc.

    FRST: http://www.wklej.org/id/2743930/
    GMER: http://www.wklej.org/id/2743931/
    OTL: http://wklej.org/id/2743952/
    OTL EXTRAS http://www.wklej.org/id/2743929/

    0 11
  • #2 15 Lip 2016 11:08
    Domino_2
    Pomocny dla użytkowników

    Wymagane są logi z FRST. W podanych przez Ciebie brakuje Addition.txt.

    Załącz je normalnie jako załączniki txt na forum, zamiast umieszczać je na stronach.

    0
  • #3 15 Lip 2016 11:11
    Kolobos
    Spec od komputerów

    Wymagane sa logi z FRST, brakuje addition.txt.

    0
  • Pomocny post
    #5 15 Lip 2016 11:32
    Domino_2
    Pomocny dla użytkowników

    Cytat:

    Task: {057F1DE4-8B16-486D-8D53-9359034BB378} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku <==== UWAGA
    Task: {11863DCC-364C-49A0-84C8-F2245E908FD4} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {1E441E4E-3310-42F7-8408-FB9227F821E5} - System32\Tasks\{5A98A273-E87F-4D90-A5D8-0A9DE8604A0A} => pcalua.exe -a C:\trener\downloD\irfanview_plugins_438_setup.exe -d C:\trener\downloD
    Task: {24CFE67D-2952-47AF-8A2C-D4E69BBB4323} - System32\Tasks\{86329AAA-34AE-470C-A4E9-F71F097C6F24} => pcalua.exe -a F:\folder-lock-en.exe -d F:\
    Task: {27899854-C22F-44A7-9D0A-07C74761B240} - System32\Tasks\{019DE2AF-B080-47F1-831C-52F0B6EE4C5E} => pcalua.exe -a "C:\Program Files (x86)\NewSoftware's\Folder Lock\uninstall.exe" -c -u
    Task: {2FD87759-CD05-4E52-992B-0A075B60C2D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {3177D2A9-7351-437C-9415-AB320CE4B9CE} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
    Task: {3EBF21A7-DA31-4010-9DAC-6FA8D1B3D586} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {5B32D087-613F-4B58-95CB-BA38CAAF53F2} - System32\Tasks\{A10A305B-D3A1-4E8D-B4AD-5333D8F4369F} => pcalua.exe -a "C:\trener\downloD\DRIVER KONICA\MC2530DLGDIWinx86_2200PL\DriverSetup.exe" -d "C:\trener\downloD\DRIVER KONICA\MC2530DLGDIWinx86_2200PL"
    Task: {5E6E9E89-3136-4A0C-924E-E659DBFB1FAD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {602A0D43-EB91-46BF-B3C9-0B093313DE61} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {726BFE23-7518-42C0-99A8-73C35AC8B19E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {932BC6FD-B98C-4364-B96E-850E5076D68B} - \PCDoctorBackgroundMonitorTask -> Brak pliku <==== UWAGA
    Task: {A3B674A6-A2CF-4604-9A0F-D4B991ADEC7D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {A851327F-169E-428F-B696-5D7321CBC500} - \PCDEventLauncherTask -> Brak pliku <==== UWAGA
    Task: {C7F67872-A064-41C0-A7EC-E0B16F006D33} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
    Task: {C9115767-C790-4C1B-ADCE-195C0F2EFC52} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA
    Task: {E2449FE8-DFC9-4AEF-871B-10067DFE3E38} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {EA6D7BB9-D342-44BE-B8A5-240EE2E70706} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
    Task: {FA9F7005-ABE5-4EC7-8B71-BD7596463849} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {FEB73C1E-3B2B-434F-8087-72E40FC9C32D} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    HKLM\...\Run: [hshhsaaaws] => [X]
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-1322809636-3719341389-1593366197-1000\...\MountPoints2: {3fd96792-415b-11e6-9668-9cd21ee5bf84} - "F:\autorun.exe"
    HKU\S-1-5-21-1322809636-3719341389-1593366197-1000\...\MountPoints2: {3fd96ff1-415b-11e6-9668-9cd21ee5bf84} - "F:\autorun.exe"
    HKU\S-1-5-21-1322809636-3719341389-1593366197-1000\...\MountPoints2: {3fd97028-415b-11e6-9668-9cd21ee5bf84} - "F:\autorun.exe"
    HKU\S-1-5-21-1322809636-3719341389-1593366197-1000\...\MountPoints2: {6efa1bfd-ba84-11e5-83b0-9cd21ee5bf84} - "H:\autorun.exe"
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    R2 Amsp; "C:\Program Files\Trend Micro\AMSP\coreServiceShell.exe" coreFrameworkHost.exe -m=rb -dt=60000 -ad -bt=0 [X]
    S2 HuaweiHiSuiteService64.exe; "C:\ProgramData\HandSetService\HuaweiHiSuiteService64.exe" -/service [X]
    U3 idsvc; Brak ImagePath
    U2 TMAgent; Brak ImagePath
    U3 wpcsvc; Brak ImagePath
    2016-07-15 03:05 - 2016-07-15 03:05 - 00012113 _____ C:\Users\USER1\Desktop\gmer.txt
    2016-07-15 01:34 - 2016-07-13 20:02 - 05659622 _____ (Swearware) C:\Users\USER1\Desktop\ComboFix.exe
    2016-07-13 23:12 - 2014-11-18 20:21 - 00000000 ____D C:\AdwCleaner
    EmptyTemp:


    Wklej to do notatnika i zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się plik FRST.exe/FRST64.exe, odpal go i kliknij Fix/Napraw.

    0
  • #7 15 Lip 2016 15:34
    Domino_2
    Pomocny dla użytkowników

    W logach nie widać już nic ciekawego.

    1
  • #8 15 Lip 2016 15:36
    olgales
    Poziom 8  

    Ok, dziękuję.

    0
  • #9 15 Lip 2016 15:37
    Domino_2
    Pomocny dla użytkowników

    Możesz skasować folder C:\FRST.

    0
  • Pomocny post
    #11 15 Lip 2016 22:57
    krzychupar
    Poziom 40  

    Odinstaluj:
    COMODO Antivirus (Disabled - Up to date) {043803A5-4F86-4ef7-AFC5-F6E02A79969B}

    Otwórz notatnik i wklej:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-790525478-1454471165-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
    HKU\S-1-5-21-790525478-1454471165-725345543-1003\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= UWAGA
    FF Homepage: chrome://fastdial/content/fastdial.html
    FF NetworkProxy: "ftp", "200.84.110.219"
    FF NetworkProxy: "ftp_port", 8080
    FF NetworkProxy: "gopher", "200.84.110.219"
    FF NetworkProxy: "gopher_port", 8080
    FF NetworkProxy: "http", "200.84.110.219"
    FF NetworkProxy: "http_port", 8080
    FF NetworkProxy: "socks", "200.84.110.219"
    FF NetworkProxy: "socks_port", 8080
    FF NetworkProxy: "ssl", "200.84.110.219"
    FF NetworkProxy: "ssl_port", 8080
    FF NetworkProxy: "type", 0
    S3 catchme; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys [X]
    S2 DgiVecp; \??\C:\WINDOWS\system32\Drivers\DgiVecp.sys [X]
    S4 IntelIde; Brak ImagePath
    R1 cmderd; C:\WINDOWS\System32\DRIVERS\cmderd.sys [15576 2015-01-30] (COMODO)
    R1 cmdGuard; C:\WINDOWS\System32\DRIVERS\cmdguard.sys [620120 2015-01-30] (COMODO)
    R1 cmdHlp; C:\WINDOWS\System32\DRIVERS\cmdhlp.sys [29912 2015-01-30] (COMODO)
    2016-07-13 21:54 - 2016-07-13 21:54 - 00035289 _____ C:\ComboFix.txt
    2016-07-13 21:43 - 2014-09-12 01:47 - 00000000 ____D C:\Qoobox
    2016-07-13 21:42 - 2016-07-13 20:02 - 05659622 ____R (Swearware) C:\Documents and Settings\Administrator\Pulpit\ComboFix.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #12 16 Lip 2016 00:49
    olgales
    Poziom 8  

    Dziękuję za pomoc.

    0