trejner Opublikowano 15 Lipca 2016 Zgłoś Udostępnij Opublikowano 15 Lipca 2016 cześć jestem abonentem Neostrady w Orange. Wczoraj przeglądarka wyświetliła mi komunikat, że z mojego komputera następują podejrzane połączenia, które wskazują na groźnego wirusa locky.ransomware. W związku z tym rozpocząłem szeroko zakrojoną akcję poszukiwawczą. Programy antywirusowe nic nie wykazują, ale mój router od tego czasu zwariował. Co kilka minut traci połączenie. Orange wymienił mi dziś modem i dalej jest to samo. Nie otwieram pierwszych lepszych załączników więc trochę mnie ta sytuacja dziwi. Rzuciłem się zatem do skanów bo zagrożenie wydaje się bardzo duże. Poproszę o pomoc. FRST.txt gmer.txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2016 Zgłoś Udostępnij Opublikowano 15 Lipca 2016 Logi z OTL usuwam, to przestarzały program i na nim się już nie pracuje, FRST posiada o wiele więcej skanów i poprawek. Zestaw podanych raportów FRST niekompletny - brak plików Addition i Shortcut. Wróć do konfiguracji i dorób te dwa logi: KLIK. Jeszcze w Addition może się coś ewentualnie pokazać, ale póki co to w głównym FRST są tylko polityki Chrome wprowadzone przypuszczalnie przez adware i jakiś jeden dziwny pusty wpis, żadnych aktywnych śladów ingerencji infekcji szyfrującej dane. Odnośnik do komentarza
trejner Opublikowano 15 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2016 Ok, dzięki. Być może to jednak centrala Orange szwankuje. Logi w załączniku na wszelki. Pozdrawiam Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2016 Zgłoś Udostępnij Opublikowano 15 Lipca 2016 Jak mówiłam, nie widać tu infekcji tego typu wcale. Możesz przeprowadzić tylko kosmetyczne działania polegające na usunięciu odpadkowych i pustych wpisów (wliczając te po aktualizacji z Windows 7 do Windows 10) i czyszczeniu Temp: 1. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis ZoneAlarm Antivirus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [hshhsaaaws] => [X] HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia S2 HuaweiHiSuiteService64.exe; "C:\ProgramData\HandSetService\HuaweiHiSuiteService64.exe" -/service [X] U3 idsvc; Brak ImagePath U2 TMAgent; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {05906CF1-1D46-4CFE-B90F-7C179FFD1366} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {05CF6E1A-9DC8-4BC2-9594-E91EB1BED40F} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe Task: {0C097C32-AF0D-45E7-B562-AF1B9EC87EAF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {2F3B95D3-3655-4259-8FD1-BF6211E13C73} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {2FD43D47-D340-4304-80D6-50BDDC58F2E7} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {34603196-FA3F-4943-9934-FEA8EE087176} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {4011FD5C-4601-456C-8F83-D557389F1B9D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {48AD75A2-780A-4970-836A-C45E993C2A66} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {5C590155-A6AC-49A6-B010-FC16FFB36AC7} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {720FA242-3D85-4FF9-820F-6C9F47E70C6B} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {74CA2B9B-1742-4708-8418-98270B4CE557} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {75006CB1-EB61-4CF8-BEBB-FC7AD426A8E3} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {88DA89A8-BC90-4BB9-A3BE-6287ECE25F1C} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {923187E1-45CF-4069-8D81-B426C8C35509} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {AFD05202-286A-425F-8679-341035347953} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {B09BB8B2-873D-4E69-93D0-F75E956A7F00} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {BDEC0A04-3AE2-494A-AC9B-148B328A53AC} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {C84A0CA3-D781-43FD-954C-21419FA993F7} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {C9A87FFB-98D1-45AD-BF63-5E55E4650A5B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {C9AA7CCD-F47A-45EB-83FC-5703B892BC0E} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {EE22889A-51EA-419C-BD7C-4A10D7CE028F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {F027B635-D954-48BB-BAA2-68CAD1DDB01B} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {F177E0B5-525B-4D56-8CF0-B9B0A01CFAB2} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {FF10316E-34A0-4555-81AA-67A1471B6EAA} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v hshhsaaaws /f C:\$360Section C:\Program Files (x86)\360 C:\ProgramData\360Quarant C:\ProgramData\CheckPoint C:\ProgramData\Lavasoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\Drivers\360AvFlt.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne. Odnośnik do komentarza
trejner Opublikowano 15 Lipca 2016 Autor Zgłoś Udostępnij Opublikowano 15 Lipca 2016 Dzięki! Odnośnik do komentarza
picasso Opublikowano 15 Lipca 2016 Zgłoś Udostępnij Opublikowano 15 Lipca 2016 (edytowane) A gdzie plik fixlog.txt dokumentujący zmiany? Edytowane 14 Września 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi