Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Cybertarcza Ransomware Locky - Logi FRST

elessar87 13 Sie 2016 15:57 783 1
  • #1 13 Sie 2016 15:57
    elessar87
    Poziom 33  

    Cybertarcza Orange twierdzi że wykrywa zagrożenie ransomware.locky. Pliki są w porządku, nie ma śladu tego typu infekcji. Przeskanowałem system programami Adwcleaner, który znalazł i usunął nieco śmieci oraz MBAM, który już niczego nie znalazł.

    Dodatkowo usunąłem w Firefoxie opcję wykrywania serwera proxy. Ustawienia DNS w systemie są ok.

    Dla pewności proszę o analizę logów.

    Pozdrawiam,
    elessar.

    0 1
  • Pomocny post
    #2 13 Sie 2016 18:03
    krzychupar
    Poziom 41  

    Odinstaluj:
    AVG i te inne dodatki a zainstaluj jakiegoś dobrego antywirusa.
    Otwórz notatnik i wklej:
    Task: {2AA7A067-4A97-445D-9846-AC59CA97F2BE} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {2AC401F0-9921-4491-9C98-5BBACA47A746} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
    Task: {34DE1CCB-A0C3-4075-B8F3-6B12784FCFB8} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {4703EBDE-2863-4CFA-A5CD-D8E1EAEB31BF} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA
    Task: {5AD4EC61-4FDD-4B2C-80EC-7C91C8943562} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
    Task: {68CC83A3-3CAB-4358-9271-029E6D7B6416} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {83954913-C6BF-4C61-84E9-CF73AE88B833} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {84F66ACA-7D11-42A9-95CE-395126F9CAED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {A6F42BC1-A252-477C-9ABA-F0C6DC00A982} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {AEB9A096-F87A-41E6-A5CE-B287E352E1D8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {C5256C74-D4FF-4BAB-876E-0C8DEED294DF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {C5EBA45A-3A5B-4780-BA2A-E29436A8F279} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
    Task: {CFCE12CB-E478-48AF-84D8-4006AC624982} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {D0CB46B6-66C2-452A-A029-310EF1E65822} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku <==== UWAGA
    Task: {FA66C90D-4AD3-4DB9-B954-49EF86DC2971} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Hosts:
    Winlogon\Notify\igfxcui: igfxdev.dll [X]
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku==================
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/HPALL14/175
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPALL14/175
    HKU\S-1-5-21-3146784658-2303551766-3459256443-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPALL14/175
    HKU\S-1-5-21-3146784658-2303551766-3459256443-1002\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://g.uk.msn.com/HPALL14/175




    SearchScopes: HKLM -> {A0DC54AD-A3FD-4FC7-B86F-B72E32DD68D9} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    SearchScopes: HKLM-x32 -> {A0DC54AD-A3FD-4FC7-B86F-B72E32DD68D9} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    SearchScopes: HKU\S-1-5-21-3146784658-2303551766-3459256443-1002 -> {A0DC54AD-A3FD-4FC7-B86F-B72E32DD68D9} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    FF DefaultSearchEngine: AVG Secure Search
    FF DefaultSearchUrl: hxxp://www.bing.com/search
    FF SearchEngineOrder.1: Microsoft (Bing)
    FF SelectedSearchEngine: Microsoft (Bing)
    FF Homepage: about:home
    FF Keyword.URL: hxxp://www.bing.com/search
    FF NetworkProxy: "type", 0
    CHR HKLM-x32\...\Chrome\Extension: [fidikogfgleiaefnjbmnjaplmgknppkg] - hxxps://clients2.google.com/service/update2/crx
    2016-08-13 06:30 - 2016-08-13 06:30 - 01592010 _____ C:\Users\Agnieszka\Desktop\ransomwareLocky.pdf
    2016-08-09 23:30 - 2016-08-09 23:30 - 00000000 ____D C:\Users\Default\AppData\Roaming\TuneUp Software
    2016-08-09 23:30 - 2016-08-09 23:30 - 00000000 ____D C:\Users\Default User\AppData\Roaming\TuneUp Software
    2016-07-30 13:10 - 2016-08-09 23:30 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG
    2016-07-30 13:10 - 2016-07-30 13:10 - 00000000 ___HD C:\$AVG
    2016-07-30 13:10 - 2016-07-30 13:10 - 00000000 ____D C:\Users\Agnieszka\AppData\Roaming\TuneUp Software
    2016-07-30 13:06 - 2016-08-06 13:26 - 00000943 _____ C:\Users\Public\Desktop\AVG.lnk
    2016-07-30 13:06 - 2016-08-06 13:26 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG Zen
    2016-07-30 13:05 - 2016-07-30 13:09 - 00000000 ____D C:\Program Files (x86)\AVG
    2016-07-30 13:03 - 2016-07-30 21:23 - 00000000 ____D C:\Users\Agnieszka\AppData\Local\Avg
    2016-07-30 13:03 - 2016-07-30 21:22 - 00000000 ____D C:\Users\Agnieszka\AppData\Local\AvgSetupLog
    2016-07-30 13:03 - 2016-07-30 13:10 - 00000000 ____D C:\ProgramData\Avg
    2016-07-29 23:33 - 2016-07-29 23:33 - 00000000 ____D C:\Program Files (x86)\TeaTimer (Spybot - Search & Destroy)
    2016-07-29 23:33 - 2016-07-29 23:33 - 00000000 ____D C:\Program Files (x86)\SDHelper (Spybot - Search & Destroy)
    2016-07-29 23:33 - 2016-07-29 23:33 - 00000000 ____D C:\Program Files (x86)\Misc. Support Library (Spybot - Search & Destroy)
    2016-07-29 23:33 - 2016-07-29 23:33 - 00000000 ____D C:\Program Files (x86)\File Scanner Library (Spybot - Search & Destroy)
    2016-07-29 23:31 - 2016-07-30 00:09 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
    2016-07-29 23:27 - 2016-07-29 23:27 - 00000000 ____D C:\SpybotSDPortable
    2016-07-20 08:46 - 2016-07-20 08:46 - 00313088 _____ (AVG Technologies CZ, s.r.o.) C:\WINDOWS\system32\Drivers\avgwfpa.sys
    2016-07-19 12:27 - 2016-07-19 12:27 - 00261888 _____ (AVG Technologies CZ, s.r.o.) C:\WINDOWS\system32\Drivers\avgmfx64.sys
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw.

    0