Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

W7x64 - CybeReason RansomFree - podejrzane katalogi wracają po usunięciu.

kuferekczasu 29 Lis 2017 12:20 1227 13
  • #1 29 Lis 2017 12:20
    kuferekczasu
    Poziom 31  

    Przypadkowo stwierdzam, że na dysku C: tworzone są dwa katalogi o losowej nazwie z tą samą zawartością, które ani Malwarebytes AntiMalware ani antywirus Microsoftu nie uznaje za zagrożenie.
    Katalogi odrastają, zaraz po ich usunięciu CybeReason stwierdza automatyczne usunięcie zagrożenia.
    Czy to sprawka samego CybeReason, bo wcześniej ich nigdy nie widziałem.
    Do firmy wysłąłem zapytanie w tej sprawie.

    W7x64 - CybeReason RansomFree - podejrzane katalogi wracają po usunięciu.

    0 13
  • #2 29 Lis 2017 12:44
    Kolobos
    Spec od komputerów

    Zamieść logi z FRST.

    0
  • #4 30 Lis 2017 07:54
    Kolobos
    Spec od komputerów

    Sadzac po datach wyglada na to, ze katalogi i pliki tworzy Cybereason RansomFree.
    2017-11-29 21:32 - 2017-11-29 21:32 - 000523543 ____N C:\Users\Uigqd\disaster.south.xlsx
    2017-11-29 21:32 - 2017-11-29 21:32 - 000513021 ____N C:\Users\Ak13l\dimensions_salvation_ford_items.xlsx
    2017-11-29 21:32 - 2017-11-29 21:32 - 000226149 ____N C:\Users\Uigqd\comingwildlifefaintfreight.mdb
    2017-11-29 21:32 - 2017-11-29 21:32 - 000217216 ____N C:\Users\Ak13l\tangent.beam.edward.mdb
    2017-11-29 21:32 - 2017-11-29 21:32 - 000069060 ____N C:\Users\Ak13l\devicecitizensless.xls
    2017-11-29 21:32 - 2017-11-29 21:32 - 000061652 ____N C:\Users\Uigqd\kennedy_beat_beauty_inward.xls
    2017-11-29 21:32 - 2017-11-29 21:32 - 000059061 ____N C:\Users\Ak13l\petitioner.depress.reality.member.pem
    2017-11-29 21:32 - 2017-11-29 21:32 - 000053007 ____N C:\Users\Uigqd\player.charged.pem
    2017-11-29 21:32 - 2017-11-29 21:32 - 000040931 ____N C:\Users\Ak13l\afternoon-summary.txt
    2017-11-29 21:32 - 2017-11-29 21:32 - 000021633 ____N C:\Users\Uigqd\maintenance.leaned.quality.txt
    2017-11-29 21:32 - 2017-11-29 21:32 - 000018836 ____N C:\Users\Uigqd\reserve-fun-stopped.sql
    2017-11-29 21:32 - 2017-11-29 21:32 - 000012314 ____N C:\Users\Ak13l\robert-famous.sql
    2017-11-29 21:32 - 2017-11-29 21:32 - 000000000 __SHD C:\Users\slawo\Desktop\0K, this directory is for Ransomware detection (just leave it here)
    2017-11-29 21:32 - 2017-11-29 21:32 - 000000000 ___HD C:\Users\Uigqd
    2017-11-29 21:32 - 2017-11-29 21:32 - 000000000 ___HD C:\Users\slawo\Documents\Xdate116
    2017-11-29 21:32 - 2017-11-29 21:32 - 000000000 ___HD C:\Users\slawo\Documents\Acmirror175
    2017-11-29 21:32 - 2017-11-29 21:32 - 000000000 ___HD C:\Users\Ak13l
    2017-11-29 21:32 - 2017-11-29 21:32 - 000000000 ____D C:\xvalue216
    2017-11-29 21:32 - 2017-11-29 21:32 - 000000000 ____D C:\91csetup184

    Mozesz go na probe odinstalowac, usunac pliki i sprawdzic czy nadal sie tworza.

    Wykonaj Fixlist.txt dla FRST:
    Task: {98DB5F77-0054-40D6-8A83-0515A68260B2} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku <==== UWAGA
    Task: {EDD87764-B54E-42AE-95B8-4BF399302FB7} - System32\Tasks\Tweaking.com - Windows Repair Tray Icon => C:\Program Files (x86)\Tweaking.com\Windows Repair (All in One)\WR_Tray_Icon.exe [2017-05-02] (Tweaking.com)
    AlternateDataStreams: C:\ProgramData\Reprise:jhqduwvxlctbqqijsf`usjbm`bwyqfh [0]
    HKU\S-1-5-21-4105336637-2794450856-2917643308-1000\...\MountPoints2: {1d0e0a1a-7c83-11e5-9404-806e6f6e6963} - E:\setup.exe
    HKU\S-1-5-21-4105336637-2794450856-2917643308-1000\...\MountPoints2: {add131eb-6647-11e7-9963-00508db78552} - F:\AutoRun.exe
    HKU\S-1-5-21-4105336637-2794450856-2917643308-1000\...\MountPoints2: {f4101a95-f417-11e6-98c3-aa9d24db6746} - E:\AutoRun.exe
    HKU\S-1-5-21-4105336637-2794450856-2917643308-1000\...\MountPoints2: {f4101a9c-f417-11e6-98c3-aa9d24db6746} - F:\AutoRun.exe
    GroupPolicy: Ograniczenia <==== UWAGA
    Tcpip\..\Interfaces\{AE4EF81A-769F-4309-A75D-39280A33AAF1}: [NameServer] 0.0.0.0 0.0.0.0
    FF HKLM-x32\...\Firefox\Extensions: [WSVCU@Wondershare.com] - C:\ProgramData\Wondershare\Video Converter Ultimate\WSVCU@Wondershare.com => nie znaleziono
    CHR HKU\S-1-5-21-4105336637-2794450856-2917643308-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [cmaiofennmphjldldcpphcechfnnohja] - C:\Program Files (x86)\AdTrustMedia\PrivDog\PrivDog_chrome.crx <nie znaleziono>
    U3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfoX64.sys [X]
    2017-11-29 21:42 - 2017-11-29 21:42 - 000000000 ____D C:\Users\slawo\Desktop\FRST-OlderVersion
    2017-11-01 11:11 - 2017-11-01 11:11 - 000000000 _____ C:\ProgramData\cisF57D.exe
    2017-11-29 21:31 - 2016-01-18 10:44 - 000000000 ____D C:\AdwCleaner

    0
  • #5 30 Lis 2017 08:03
    kuferekczasu
    Poziom 31  

    To dziwne zatem, że nie odpowiedzieli na Facebooku, jeśli mieli cel umieszczać swoje pliki, to dlaczego o takich dziwnych podejrzanych nazwach, mi się skojarzyło z CryptoWall etc.?
    Czy ta aplikacja generalnei ma dobrą reputację?

    0
  • #6 30 Lis 2017 08:11
    Kolobos
    Spec od komputerów

    Nie wiem, nigdy o niej nie slyszalem. Ale mozesz poczytac opinie na google.

    0
  • #7 30 Lis 2017 10:08
    kuferekczasu
    Poziom 31  

    Kolobos napisał:
    Sadzac po datach wyglada na to, ze katalogi i pliki tworzy Cybereason RansomFree.


    Miałeś rację, uruchomiłem tryb awaryjny i nagle zniknęły.
    Jaki jest cel, bo tworzenie takich katalogów zawsze kojarzy się źle, może to taka praktyka firmy po prostu.

    0
  • #8 30 Lis 2017 10:25
    Kolobos
    Spec od komputerów

    Nie mam pojecia, moze jakies infekcje tworza takie pliki i program probuje to blokowac przez tworzenie wlasnych, ale to tylko przypuszczenia.

    Ja bym sie go pozbyl na Twoim miejscu.

    0
  • #9 30 Lis 2017 15:19
    kuferekczasu
    Poziom 31  

    Kolobos napisał:

    Ja bym sie go pozbyl na Twoim miejscu.


    Doczekałem się odpowiedzi od nich:

    Cybereason napisał:


    Hey! Strange, I only now got alerted to your message. Yes, these are folders created by RansomFree to catch ransomware encrypting files "in the act".
    You can find more information here- https://ransomfree.cybereason.com/faq/

    [...]
    Yeah
    If you try to delete these files, does ransomfree pop up?

    0
  • #10 30 Lis 2017 15:20
    Kolobos
    Spec od komputerów

    Zostaw program albo usuń, decyzja należy do Ciebie.

    0
  • #11 03 Gru 2017 08:01
    kuferekczasu
    Poziom 31  

    Czy Eset Online Scanner to wartościowa pozycja?

    0
  • #12 03 Gru 2017 09:07
    Kolobos
    Spec od komputerów

    Mozesz skanowac co jakis czas, ale to tylko skaner online.

    0
  • #13 03 Gru 2017 16:42
    kuferekczasu
    Poziom 31  

    Przed zamknięciem tematu: Malwarebytes Anti-Malware nie jest powiązane z WMI i nie pokazuje na liście ostrzeżeń Centrum Akcji. Jeśli MSE jest jedynym antywirusem i działą poprawnie, czy ignorowac ostrzeżenia o braku antywirusa i antyszpiega (Windows Defender nie używam). Ostrzeżenia w Centrum Akcji zawsze znikają, gdy MSE ma zaktualizowaną bazę danych, lecz wraca po restarcie. Nie ma lepszego antyszpiega niż Malwarebytes albo każdy nowszy antywirus współpracuje z Centrum Akcji Windowsa?

    0
  • #14 03 Gru 2017 18:01
    Kolobos
    Spec od komputerów

    To tylko informacja, mozna to w ogole wylaczyc zeby sie nie wyswietlalo.

    0