LOCKY w rejestrze, Bitdefender Anti-Ransomware zadziałał?

[airborne82]

Witam
 
Otóż sprawdzając sobie co jakis czas system CCleanerem zauważyłem coś takiego ... LOCKY !! ( foto1)
 
Sprawdzając rejestr wyszukałem kilka takich z LOCKY .
Lecz troszku inne niż w przypadku infekcji i szyfrowania LOCKY . (foto2)

Czyli jest tylko : HKCU\Software\Locky
 
a brak tych :
HKCU\Software\Locky\id
HKCU\Software\Locky\pubkey
HKCU\Software\Locky\paytext
HKCU\Software\Locky\completed
HKCU\Control Panel\Desktop\Wallpaper
 
I teraz pytanie : Jako że mam zainstalowane Bitdefender Anti-Ransomware , to czy on zadziałał ?
Czy też poprostu on zrobił te klucze i są chronione nie do modyfikacji przez szyfrujące LOCKY ??
 
I prosiłbym o sprawdzenie czy jest coś nieprawidłowego i kosmetyke.
 
Pozdrawiam

 

EDIT1:

No i zauważyłem też w procesach że co jakiś czas proces SVCHOST zzera mi 25 %
Ale podejrzewam że to przez Windows Update gdyż wtedy jest tez proces TRUSTED INSTALLER . (foto3)

 

EDIT2:

GMER: http://www.wklej.org/id/2406427/

Addition.txt

FRST.txt

Shortcut.txt

Edytowane 18 Maja 2016 przez Rucek
Posty scalam.

[picasso]

Sprawdzając rejestr wyszukałem kilka takich z LOCKY .

Lecz troszku inne niż w przypadku infekcji i szyfrowania LOCKY . (foto2)(...)

 

I teraz pytanie : Jako że mam zainstalowane Bitdefender Anti-Ransomware , to czy on zadziałał ?

Czy też poprostu on zrobił te klucze i są chronione nie do modyfikacji przez szyfrujące LOCKY ??

Ten klucz wstawia do rejestru właśnie szczepionka BitDefender. U mnie po uruchomienie programu także powstały te dwa klucze:

 

HKEY_CURRENT_USER\Software\9BHj2gdsQ0

HKEY_CURRENT_USER\Software\Locky

 

Tak więc wyniki w CCleaner do zignorowania.

 

 

No i zauważyłem też w procesach że co jakiś czas proces SVCHOST zzera mi 25 %

Ale podejrzewam że to przez Windows Update gdyż wtedy jest tez proces TRUSTED INSTALLER . (foto3)

Prawy klik na ten svchost, opcja Przejdź do usług, potwierdź w podświetlonych wynikach, że figuruje tam pozycja "Windows Update".

 

 

I prosiłbym o sprawdzenie czy jest coś nieprawidłowego i kosmetyke.

W raportach brak oznak infekcji, ale są tu owszem rzeczy do interwencji. Widzę pośrednie znaki uszkodzenia zmiennej środowiskowej Path, wyłączone za dużo usług via msconfig (niektóre nie powinny zostać wyłączone), niepoprawnie odinstalowany McAfee, a także inne odpadkowe wpisy, stare 32-bitowe sterowniki programów zewnętrznych blokowane przez system (poniżej błędy z Dziennnika), niekompletnie zaktualizowany system (stoi stara niewspierana już wersja IE10 zamiast IE11).

 

Dziennik System:

=============

Error: (05/18/2016 10:10:28 PM) (Source: Service Control Manager) (EventID: 7026) (User: )

Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:

nvport
 

Error: (05/18/2016 10:10:17 PM) (Source: Application Popup) (EventID: 1060) (User: )

Description: Ładowanie sterownika \SystemRoot\SysWow64\drivers\pfc.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika.
 

Error: (05/18/2016 10:10:15 PM) (Source: Application Popup) (EventID: 1060) (User: )

Description: Ładowanie sterownika \??\C:\Windows\SysWow64\Drivers\nvport.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika.

 

Poza tym, masz zainstalowane różne stare programy, a także programy wątpliwej konduity (DLL-Files Fixer i Driver Booster IOBit). Marka IOBit w ogóle nie jest tu polecana ze względu na reputację producenta. Swoją drogą, to ten "Driver Booster" niby w wersji portable, tylko że w Harmonogramie zadań utworzył obiekty rozruchowe (będę je usuwać), co przeczy naturze "portable" (utworzone dodatkowe wpisy rejestru oraz obiekty na dysku poza katalogiem programu).

 

 

---

 

Czyli wstępnie:

 

1. W msconfig w karcie Usługi odwróć poprzednie działania, tzn. zaznacz odznaczone usługi Microsoftu.

 

2. Zastosuj McAfee Consumer Product Removal Tool.

 

3. Odinstaluj stare niebezpieczne wersje Java 7 Update 76 (64-bit), Java 7 Update 76. Natomiast DLL-Files Fixer i Driver Booster "portable" usuń z dysku.

 

4. W przeglądarkach:

- W Firefox w menedżerze dodatków odinstaluj trupa CoolPreviews. Od lat rozszerzenie martwe, nie podpisane cyfrowo i nie będzie akceptowane w najnowszym FF.

- W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

5. Posługujesz się starą wersją FRST z 27-02-2016. Trzeba pobrać ręcznie najnowszą z przyklejonego tematu, gdyż Twoja się samoistnie już nie zaktualizuje (zmiany w linkach aktualizacji, stare wersje FRST nie rozpoznają ich). Po aktualizaji FRST otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 ATITool; C:\Windows\System32\DRIVERS\ATITool64.sys [30720 2006-11-10] () [brak podpisu cyfrowego]
S3 GenericMount; C:\Windows\System32\DRIVERS\GenericMount.sys [54320 2009-09-21] (Symantec Corporation)
S1 nvport; C:\Windows\SysWOW64\Drivers\nvport.sys [4608 2006-05-05] (NVIDIA Corporation.) [brak podpisu cyfrowego]
S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [9856 2006-03-29] (Padus, Inc.) [brak podpisu cyfrowego]
S3 PortTalk; C:\Windows\SysWOW64\Drivers\PortTalk.sys [3567 2002-01-12] (Beyond Logic hxxp://www.beyondlogic.org) [brak podpisu cyfrowego]
S3 cpuz132; \??\C:\Users\Dudek\AppData\Local\Temp\cpuz132\cpuz132_x64.sys [X]
Task: {6302761C-F4EE-45B9-848B-B34F8F5F31E5} - System32\Tasks\Driver Booster SkipUAC (Dudek) => D:\IObit Driver Booster Pro\App\Driver Booster\DriverBooster.exe [2015-10-16] (IObit)
Task: {7633AB18-18D4-4F40-8954-02A3E73F5347} - System32\Tasks\{DAFCE646-E615-4D45-B7CB-48106FB7974E} => pcalua.exe -a "D:\FreeRapid Downloader\frd.exe" -d "D:\FreeRapid Downloader"
Task: {9D308604-70AC-406D-932A-50B0356E7425} - System32\Tasks\Driver Booster Scheduler => D:\IObit Driver Booster Pro\App\Driver Booster\Scheduler.exe [2015-10-16] (IObit)
Task: {E2F10B0B-D9A5-4D0C-989D-14E5166C431E} - System32\Tasks\Opera scheduled Autoupdate 1445176897 => D:\Opera\launcher.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service"
HKLM-x32\...\Winlogon: [userinit] [X]
HKU\S-1-5-21-3109523066-2476599016-3366156518-1000\Software\Classes\.exe: => 
ProxyServer: [s-1-5-21-3109523066-2476599016-3366156518-1000] => localhost:8080
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RealProtect
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files (x86)\GUT1BAB.tmp
C:\ProgramData\Microsoft\Windows\GameExplorer\{11BCFDD7-21E9-4B70-A512-F56A5066AFEE}
C:\ProgramData\Microsoft\Windows\GameExplorer\{8146C1DF-E311-4B6F-B348-3AC31EA1DF60}
C:\ProgramData\Microsoft\Windows\GameExplorer\{BA590910-03EC-4F7B-8760-DDB39076496C}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Engelmann Media
C:\Users\Dudek\AppData\Local\Microsoft\Windows\GameExplorer\{AFEA67F0-6FAE-4F68-845B-AC6DFF6C4363}
C:\Users\Dudek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Cinema HD 2.0.lnk
C:\Users\Dudek\Desktop\PROGRAMY\Odtwarzacze\Total Video Player.lnk
C:\Windows\System32\Drivers\ATITool64.sys
C:\Windows\System32\Drivers\GenericMount.sys
C:\Windows\SysWOW64\Drivers\nvport.sys
C:\Windows\SysWOW64\Drivers\pfc.sys
C:\Windows\SysWOW64\Drivers\PortTalk.sys
CMD: netsh advfirewall reset
CMD: set
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. O nowy skan FRST to dopiero poproszę po korekcie Path, która się odbędzie na podstawie wyników Fixlog.

[airborne82]

Ten klucz wstawia do rejestru właśnie szczepionka BitDefender. U mnie po uruchomienie programu także powstały te dwa klucze:

 

HKEY_CURRENT_USER\Software\9BHj2gdsQ0

HKEY_CURRENT_USER\Software\Locky

 

Tak więc wyniki w CCleaner do zignorowania.

 

 

 

Prawy klik na ten svchost, opcja Przejdź do usług, potwierdź w podświetlonych wynikach, że figuruje tam pozycja "Windows Update".

 

 

 

O czyli miałem przeczucie że szczepionka z Bitdefender tak to zabezpiecza .

Co do svchost to faktycznie było tam też od Windows Update .

 

Fixlog w załączniku .

 

PROBLEM :  po zastosowaniu fixlist zniknął napęd i nie da się go spowrotem zainstalowac !!!

 

Fixlog.txt

[picasso]

Jeśli chodzi o napęd, to pewnie filtry sprzętowe. Dodaj mi skan informacyjny pod tym kątem (zanim przejdę do napraw). Tzn. do Notatnika wklej:

 

Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /s

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy log fixlog.txt.

[airborne82]

Po zastosowaniu tego .Fixlog.txt

 

 

Zaś drzewko w rejestrze przedstawia się tak

 

 

 

Czyli brak nawet klucza UpperFilters

 

Sprawdzane wedle tej porady : 

 

Wejdź do rejestru, przejdź do:
HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318},

odszukaj tam dwa klucze:
UpperFilters
oraz
LowerFilters

 

Oczywiście powyższego jeszcze nie stosowałem , tylko sprawdzałem czy są te wpisy

 

[picasso]

Fixlog pokazuje błąd, bo zapomniałam, że masz rozwalone Zmienne środowiskowe i nie zadziała komenda "reg query" bez pełnej ścieżki. A filtry to na dłoni widać (LowerFilters po usuniętym starym sterowniku pfc.sys uprzednio zgłaszanym w Dzienniku zdarzeń jako niekompatybilny). Kolejne poprawki:

 

1. W powyższym kluczu pokazanym na obrazku skasuj wartość LowerFilters.

 

2. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Zastąp widoczny tam ciąg tym blokiem:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SystemRoot%\System32\WindowsPowerShell\v1.0\

 

Zresetuj system.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut.

[airborne82]

napęd się pojawił

 

LOGI

Addition.txt

FRST.txt

[picasso]

Po naprawie zmiennej Path ustąpiły rekordy "Brak pliku" i "Nie można uzyskać dostępu do BCD" w raporcie FRST. Prawie wszystkie pozostałe akcje też pomyślnie wykonane. Natomiast nie została wykonana operacja w msconfig, nadal widać multum wyłączonych usług Microsoftu:

 

==================== MSCONFIG/TASK MANAGER - Wyłączone elementy ==
 

MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3

MSCONFIG\Services: AppIDSvc => 3

MSCONFIG\Services: AppMgmt => 3

MSCONFIG\Services: AxInstSV => 3

MSCONFIG\Services: BDESVC => 3

MSCONFIG\Services: BrYNSvc => 3

MSCONFIG\Services: Creative ALchemy AL6 Licensing Service => 3

MSCONFIG\Services: defragsvc => 2

MSCONFIG\Services: dot3svc => 3

MSCONFIG\Services: EFS => 3

MSCONFIG\Services: ehRecvr => 3

MSCONFIG\Services: ehSched => 3

MSCONFIG\Services: FDResPub => 3

MSCONFIG\Services: hkmsvc => 3

MSCONFIG\Services: HomeGroupListener => 3

MSCONFIG\Services: HomeGroupProvider => 3

MSCONFIG\Services: IDriverT => 3

MSCONFIG\Services: IPBusEnum => 3

MSCONFIG\Services: KtmRm => 3

MSCONFIG\Services: lltdsvc => 3

MSCONFIG\Services: MBAMService => 2

MSCONFIG\Services: MozillaMaintenance => 3

MSCONFIG\Services: msiserver => 3

MSCONFIG\Services: PerfHost => 3

MSCONFIG\Services: pla => 3

MSCONFIG\Services: PolicyAgent => 3

MSCONFIG\Services: ProtectedStorage => 3

MSCONFIG\Services: QWAVE => 3

MSCONFIG\Services: RasAuto => 3

MSCONFIG\Services: RasMan => 3

MSCONFIG\Services: SDRSVC => 2

MSCONFIG\Services: SharedAccess => 3

MSCONFIG\Services: SkypeUpdate => 2

MSCONFIG\Services: sppuinotify => 3

MSCONFIG\Services: SstpSvc => 3

MSCONFIG\Services: StorSvc => 3

MSCONFIG\Services: SwitchBoard => 3

MSCONFIG\Services: swprv => 3

MSCONFIG\Services: TapiSrv => 3

MSCONFIG\Services: TBS => 3

MSCONFIG\Services: THREADORDER => 3

MSCONFIG\Services: TrustedInstaller => 3

MSCONFIG\Services: UI0Detect => 3

MSCONFIG\Services: VaultSvc => 3

MSCONFIG\Services: vds => 3

MSCONFIG\Services: VSS => 3

MSCONFIG\Services: W32Time => 3

MSCONFIG\Services: wbengine => 2

MSCONFIG\Services: wcncsvc => 3

MSCONFIG\Services: wercplsupport => 3

MSCONFIG\Services: WwanSvc => 3

[airborne82]

Ślicznie dziękuję

Co do usług to tak zgadza się , niektóre są wyłączone gdyż korzystając z jakiegoś tematu 2-3 lata temu na jednym forum z optymalizacją wyłączyłem niektóre bo za dużo ich startowało .

Niektóre wyłączone , niektóre są dane jako ręczne uruchomienie .

 

Rzecz jasna jeśli trzeba to mogę wkleić tutaj screeny jak się to przedstawia .

Czy koniecznie trzeba wszystkie usługi wtedy wyłączone włączyć ??

Bo z tego co tam czytałem to niektóre są zbędne .

[Rucek]

Też mam listę usług, które można wyłączyć, przedstawiam poniżej:

 

USŁUGI - services.msc - wyłaczyć-zbędne-wylaczone
Agent ochrony dostepu do sieci
Diagnostics Tracking Service
Faks
Karta inteligentna
Logowanie pomocnicze
Netlogon
Parental Controls
Pomoc IP ( bylo wlaczone)
Rejestr zdalny
Usługa geolokalizacji - win10
Usługa inicjatora iSCSI firmy Microsoft
usługa udostepniania w sieci programy Windows Media Player
usługa harmonogramu programu Windows Media Center
Usługa zasad diagnostyki (bylo wlaczone)
Windows Defender - niepotrzebny jeak jest kaspersky
WebClient
Zasady usuwania karty inteligentnej

 

oraz te:

MSCONFIG\Services: Adobe LM Service => 3
MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3
MSCONFIG\Services: Autodesk Content Service => 2
MSCONFIG\Services: gupdate => 2
MSCONFIG\Services: gupdatem => 3
MSCONFIG\Services: IAStorDataMgrSvc => 2
MSCONFIG\Services: NvNetworkService => 2
MSCONFIG\Services: NvStreamSvc => 2
MSCONFIG\Services: nvsvc => 2
MSCONFIG\Services: nvUpdatusService => 2
MSCONFIG\Services: RemoteRegistry => 3
MSCONFIG\Services: ScrybeUpdater => 2
MSCONFIG\Services: ServiceLayer => 3
MSCONFIG\Services: SkypeUpdate => 2
MSCONFIG\Services: SpliCamService => 2
MSCONFIG\Services: Stereo Service => 2
MSCONFIG\Services: WMPNetworkSvc => 2

[airborne82]

O dziękuję

 

Rucek a co z tymi ??

 

MSCONFIG\Services: Adobe LM Service => 3
MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3
MSCONFIG\Services: Autodesk Content Service => 2
MSCONFIG\Services: gupdate => 2
MSCONFIG\Services: gupdatem => 3
MSCONFIG\Services: IAStorDataMgrSvc => 2
MSCONFIG\Services: NvNetworkService => 2
MSCONFIG\Services: NvStreamSvc => 2
MSCONFIG\Services: nvsvc => 2
MSCONFIG\Services: nvUpdatusService => 2
MSCONFIG\Services: RemoteRegistry => 3
MSCONFIG\Services: ScrybeUpdater => 2
MSCONFIG\Services: ServiceLayer => 3
MSCONFIG\Services: SkypeUpdate => 2
MSCONFIG\Services: SpliCamService => 2
MSCONFIG\Services: Stereo Service => 2
MSCONFIG\Services: WMPNetworkSvc => 2

[Rucek]

Też, już poprawiłem.

[picasso]

Co do usług to tak zgadza się , niektóre są wyłączone gdyż korzystając z jakiegoś tematu 2-3 lata temu na jednym forum z optymalizacją wyłączyłem niektóre bo za dużo ich startowało .

 

Niektóre wyłączone, niektóre są dane jako ręczne uruchomienie .

Dla porównania układy z BlackViper, konfiguracje typu "Tweaked" i "Bare-Bones" dla kaskaderów: KLIK.

 

 

Jeśli zaś chodzi o czyszczenie / naprawianie systemu, to skończyliśmy. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST i E:\FRST. Następnie wyczyść foldery Przywracania systemu: KLIK. I załaduj łatkę do Adobe Reader (też pod linkiem), obecnie posiadasz wersję 11.0.00.