blazej30 Opublikowano 4 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2016 Witam czytałem już kilka podobnych wątków i w sumie we wszystkich okazało się że to fałszywy alarm, jednak wolę upewnić się że wszystko jest w porządku. Mam w sieci 3 komputery, żaden z nich nie wykazuje dziwnych objawów, nie ma "na oko" podejrzanych procesów, obciążenie procesora standardowo 0-5% podczas bezczynności. Bardzo proszę jednak o przejrzenie logów z tych komputerów. Z góry dziękuję za pomoc PS. Czy ten wirus może dotyczyć także smartfonów z Androidem i warto coś sprawdzić także na nich? PS2. Mam problem z wysłaniem logu z GMER z jednego z komputerów, zajmuje aż 2,2MB i przekracza limit forum, co mogę zrobić? Addition_K1.txt FRST_K1.txt Shortcut_K1.txt FRST_K2.txt Shortcut_K2.txt Shortcut_K3.txt Addition_K2.txt Addition_K3.txt FRST_K3.txt GMER_K2.txt Odnośnik do komentarza
picasso Opublikowano 9 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2016 (edytowane) czytałem już kilka podobnych wątków i w sumie we wszystkich okazało się że to fałszywy alarm, jednak wolę upewnić się że wszystko jest w porządku. W żadnych raportach nie widać oznak infekcji Locky. W obliczu braku jakichkolwiek śladów tego rodzaju infekcji komunikat może być związany z aktywnością infekcji ogólnie w sieci Orange. Skan Cybertarczy z tego co rozumiem nie skanuje konkretnie wybranego systemu lecz stawia diagnozę na podstawie IP. Orange przypisuje zmienne adresy IP, mogło być i tak że przydzielony Ci adres IP należał wcześniej do innego rzeczywiście zainfekowanego komputera. Można to przetestować wymuszając rozłączenie/reset urządzenia Orange, by przypisało inny adres IP. PS2. Mam problem z wysłaniem logu z GMER z jednego z komputerów, zajmuje aż 2,2MB i przekracza limit forum, co mogę zrobić? Spakować do ZIP, shostować na jakimś serwisie zewnętrznym i dostarczyć link. Ale wątpię, by log GMER dodał coś do obrazu. PS. Czy ten wirus może dotyczyć także smartfonów z Androidem i warto coś sprawdzić także na nich? Są owszem infekcje ransomware szyfrujące dane na Androidach, ale raczej byś się zorientował, że urządzenie jest zainfekowane (brak dostępu do danych, zmieniony PIN, etc). Nie ma narzędzi na Androida zdolnych pracować na podobieństwo FRST, więc nie jestem w stanie sprawdzić urządzenia w taki sposób jak Windows. Ale są różne skanery mobilne od producentów adresujące Android. Możesz wykonać tylko poboczne działania podane poniżej, związane z usuwaniem szczątkowych wpisów (w tym na K1 i K3 stare ślady adware) i dziurawych programów. K1 1. Odinstaluj dziurawe programy Apple i Java: Apple Software Update, Bonjour, Java 8 Update 45, Obsługa programów Apple, QuickTime. Krytyczne luki Apple, które nie zostaną już załatane, Apple zarzuciło support Windows, o czym jest w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\...\Run: [] => [X] HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\...\Run: [AdobeBridge] => [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3700019395-1246411445-3785929609-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.00000&barid={3FE643FC-5C4D-11E2-846F-BC5FF45CC00C} SearchScopes: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&crg=3.1010000.00000&barid={3FE643FC-5C4D-11E2-846F-BC5FF45CC00C} BHO: Brak nazwy -> {f1abf166-ad38-4bcf-9844-c22b50874909} -> Brak pliku BHO-x32: Brak nazwy -> {f1abf166-ad38-4bcf-9844-c22b50874909} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku Toolbar: HKLM - Brak nazwy - {f1abf166-ad38-4bcf-9844-c22b50874909} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku Toolbar: HKLM-x32 - Brak nazwy - {f1abf166-ad38-4bcf-9844-c22b50874909} - Brak pliku Toolbar: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> Brak nazwy - {EEE6C35B-6118-11DC-9C72-001320C79847} - Brak pliku Toolbar: HKU\S-1-5-21-3700019395-1246411445-3785929609-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku Handler: CDS300 - {AD43AA67-6860-4531-AC8A-0E68F9CF023E} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [bacmhbpcpggpejckjicbghlgdlhgelbc] - C:\Program Files (x86)\ZappAddon\chrome\ZappAddon.crx [2014-05-02] CHR HKLM-x32\...\Chrome\Extension: [jcdgjdiieiljkfkdcloehkohchhpekkn] - C:\Users\Błażej\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetFB.crx CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Users\Błażej\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847}\SweetNT.crx S3 VGPU; System32\drivers\rdvgkmd.sys [X] Task: {5E7821E9-A7C3-4F36-9623-1117DF06A890} - System32\Tasks\{8422CD23-BB53-4DF7-89A9-13208E46482F} => E:\DiRT\DiRT.exe Task: {90628630-C5BC-4595-BE60-238DEF15577C} - System32\Tasks\{51B659C8-5EE3-4D93-8C26-B1AE30178DAC} => I:\Player\setup.exe Task: {976F738E-319A-48F4-A951-EB554389CCDA} - System32\Tasks\{E81B60D1-16C3-4C5F-BF01-07568D50BD3B} => I:\Player.EXE Task: {B02820FF-1935-41EF-B84C-CB93BFC59556} - System32\Tasks\{7B09849A-21DB-4A4F-82B8-54E7B85B4636} => D:\FREE Word and Excel password recovery Wizard\FreeWordExcel.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\autoRunTest DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpadeCast DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\ZappAddon C:\ProgramData\Microsoft\Windows\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DivX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HD Tune Pro\HD Tune Pro on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\Aktualizacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\Users\Błażej\_-112452660.dat C:\Users\Błażej\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\Setup Audio.lnk C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\Setup QuickStart.lnk C:\Users\Błażej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VirtualDJ\User Guide.lnk C:\Users\Błażej\Desktop\Programy\TeamViewer 9.lnk C:\Users\Błażej\Documents\Visual Studio 2012\Projects\Kalkulator klientów\Skrót do Kalkulator klientów.exe.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz Comodo, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. K2 Tu tylko drobne akcje. Odinstaluj starą wersję Java 8 Update 73. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i uruchom w taki sam sposób jak opisane powyżej. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zbędne. K3 1. Podobnie jak wyżej, do deinstalacji Java 8 Update 71. 2. W Operze jest widoczne rozszerzenie adware Jungle Net. Odinstaluj je (o ile widoczne), poniższy skrypt na wszelki wypadek przetworzy folder tego rozszerzenia gdyby nie było jednak widoczne. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {3F673C5F-971E-488D-8563-852A94732CFC} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {F344C5CB-0F21-4E0F-90A7-C8506562F86F} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Users\Mróz\AppData\Roaming\Opera Software\Opera Stable\Extensions\pijnalchgkhohdglibpjeebomodiccgh EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i uruchom w taki sam sposób jak opisane powyżej. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zbędne. Edytowane 14 Września 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi