GrazynaPierzyna Opublikowano 9 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2016 Ahoj! Mam ten sam problem. Rzutem na tarczę, podłączam się pod temat, bo Cybertarcza też mnie dzisiaj nastraszyła, wykrywając Ransomware.Locky na dwóch komputerach. W panice zaczęłam przetrząsać internet, instalując oczywiście wpychanego na każdym kroku SpyHuntera, który rzecz jasna (dla mnie laika dopiero teraz) bez kasy (jak locky xD) nic nie zdziałał. Kiedy ochłonęłam, widząc że jeszcze nikt nie żąda ode mnie okupu^^, szukałam dalej. Trafiłam na FRST, a kiedy program wygenerował mi enigmatyczne dokumenty tekstowe, znalazłam się tu z nadzieją na pomoc doświadczonych, mądrych, życzliwych i szlachetnych użytkowników forum Uprzejmie zatem proszę o wsparcie w rozszyfrowaniu tych dokumentów tekstowych, które nazywacie logami Z poważaniem, ukłonami, pozdrowieniami, wyrazami szacunku i uznania, Grażyna Pierzyna znad klawiatury Addition_K1.txt Addition_K2.txt FRST_K1.txt FRST_K2.txt Shortcut_K1.txt Shortcut_K2.txt Odnośnik do komentarza
picasso Opublikowano 9 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 9 Sierpnia 2016 Brak oznak infekcji Locky, ani żadnej innej tego rodzaju. Jak co dopiero napisałam w innym temacie: W obliczu braku jakichkolwiek śladów tego rodzaju infekcji komunikat może być związany z aktywnością infekcji ogólnie w sieci Orange. Skan Cybertarczy z tego co rozumiem nie skanuje konkretnie wybranego systemu lecz stawia diagnozę na podstawie IP. Orange przypisuje zmienne adresy IP, mogło być i tak że przydzielony Ci adres IP należał wcześniej do innego rzeczywiście zainfekowanego komputera. Można to przetestować wymuszając rozłączenie/reset urządzenia Orange, by przypisało inny adres IP. SpyHunter to niepożądany program wątpliwej reputacji, z daleka od niego. Do wykonania tylko poboczne działania: K1: Jest tu trochę odpadków adware i szczątki SpyHunter. Działania do wykonania: 1. Odinstaluj zbędny program Samsunga MyFreeCodec oraz dziurawy QuickTime 7. W QuickTime obecnie krytyczne luki które już nie zostaną załatane, wycofano wsparcie dla Windows, o czym piszę w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [brak podpisu cyfrowego] S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-08-09] () AppInit_DLLs: C:\ProgramData\Quotenamron\Daltcom.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quotenamron\TinQvotop.dll => Brak pliku HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131030681043664997&GUID=94E87489-71B8-C553-88F9-4FEB135DC170 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131030681043672121&GUID=94E87489-71B8-C553-88F9-4FEB135DC170 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458216701&z=9f8eaf7e5e49264a5e53872g9z1w5b4o7g7q7qet1q&from=wpm0314&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458216701&z=9f8eaf7e5e49264a5e53872g9z1w5b4o7g7q7qet1q&from=wpm0314&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1458216701&z=9f8eaf7e5e49264a5e53872g9z1w5b4o7g7q7qet1q&from=wpm0314&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX&q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-4010930622-3350516167-3332150687-500\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {A9B2227C-647F-4D65-A84E-748E182B6B69} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> {A9B2227C-647F-4D65-A84E-748E182B6B69} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-4010930622-3350516167-3332150687-500 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} BHO-x32: Filter Results -> {dd4c66b8-f943-4b10-8053-7e9ee39bba4a} -> C:\Program Files (x86)\Filter Results\Extensions\dd4c66b8-f943-4b10-8053-7e9ee39bba4a.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursites123.com/?type=sc&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1450787658&z=f9bcd6d8645ace3ea653bdfg4z6w2e1m5b0m0qfw5m&from=wpm07173&uid=HGSTXHTS541010A9E680_JA1009D9G3GNGPG3GNGPX CHR HKU\S-1-5-21-4010930622-3350516167-3332150687-500\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [hegneaniplmfjcmohoclabblbahcbjoe] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\o3l09p6r.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Administrator\AppData\Roaming\Mozilla\Firefox\Profiles\smry8315.default-1450915760954\extensions\default_newtabff@gmail.com => nie znaleziono Task: {4463B99B-1883-49DE-ABD2-A9E4639032ED} - System32\Tasks\{7A7749B2-3FF9-4495-84DC-94A85E840BDB} => pcalua.exe -a C:\PROGRA~2\COMMON~1\INSTAL~1\Driver\9\INTEL3~1\IDriver.exe -c /M{DF57E946-4885-4EEA-A958-D5F82CB21B99} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "QuickTime Task" /f CMD: netsh advfirewall reset DisableService: PLAY INTERNET. RunOuc C:\autoexec.bat C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Logic Handler C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ByteScout BarCode Generator\ByteScout BarCode Generator on the Web.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EaseUS Partition Master 10.5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\Users\Administrator\AppData\Local\{6C6E5967-2405-4DE5-9E98-0E73070ADA79} C:\Users\Administrator\AppData\Roaming\*.* C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Windows\System32\drivers\EsgScanner.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware SafeFinder Search, Video Ad Blocker Plus (o ile nadal będą widoczne po wykonaniu punktu 2). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Mam też pytanie czy można usunąć cały folder C:\Users\Kuba - wygląda na odpadkowy folder po usuniętym i nieistniejącym już w systemie koncie. K2: Prócz szczątków SpyHunter, tu wszystko wygląda OK, ale można przeprowadzić następujące akcje: 1. Odinstaluj zbędny program zainstalowany jako sponsor Adobe Flash, czyli McAfee Security Scan Plus, oraz starą wersję Real Alternative 1.52. 2. W Firefox odmontuj niepodpisane cyfrowo i blokowane przez Firefox stare rozszerzenie PEKAO S.A. Sign Plugin. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-08-08] () C:\autoexec.bat C:\Users\Maria\Downloads\SpyHunter-Installer.exe C:\Windows\System32\drivers\EsgScanner.sys DisableService: PLAY INTERNET. RunOuc DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST i uruchom w taki sam sposób jak podane powyżej. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są potrzebne. Odnośnik do komentarza
GrazynaPierzyna Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Picasso dziękuję za pomoc! Wszystkie kroki wykonane. Mam też pytanie czy można usunąć cały folder C:\Users\Kuba - wygląda na odpadkowy folder po usuniętym i nieistniejącym już w systemie koncie. Udało się usunąć wszystko z wyjątkiem folderu AppData, w którym znajduje się folder Libraries, a przy nim wyskakuje błąd, że nie mam uprawnień. Załączam nowe logi i fixlog z K1, K2 dopiero w sobotę. Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 (edytowane) Wszystko wykonane. Teraz już tylko poprawki na K1: 1. Usunięcie m.in. opornego folderu Kuba. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\MyFree Codec RemoveDirectory: C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\Administrator\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Kuba Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Edytowane 14 Września 2016 przez picasso Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi