Cybertarcza Orange - Ransomware.Locky

[watFiree]

Witam , wczoraj CyberTarcza Orange zablokowała mi internet ponieważ wykryła na którym PC locky .

Wykonałem skan Malwarabytes ale znalazło tylko jakieś pliki od Lenovo. Mógłby ktoś sprawdzić mi logi i doradzić co mogę jeszcze zrobić ?

 

EDIT:

Proszę o sprawdzenie tych nowych z FRST (GMER narazie szuka)

Addition_07-10-2016 15.02.43.txt

FRST_07-10-2016 15.02.43.txt

Shortcut_07-10-2016 15.02.43.txt

[picasso]

Na przyszłość: zabrakło obowiązkowych plików FRST Shortcut i GMER. Ale już to sobie darujmy, wątpliwe by w nich były dane wnoszące coś do sprawy. Skan Cybertarczy bazuje na IP a nie zawartości systemu, więc tu nie da się zrobić nic więcej niż wymusić zmianę IP (Orange przypisuje adresy zmienne) poprzez reset urządzenia sieciowego. W podanych tu raportach nie ma żadnych oznak tej infekcji. Znaleziska MBAM nie powiązane z problemem, MBAM wykrył świństwa adware/PUP preintegrowane na laptopach Lenovo. Przy próbie rozwiązywania problemów zainstalowałeś dodatkowe programy i obecnie jest za dużo antywirusów, co powinno być obrazowane problemami z wydajnością i długim startem Windows.

 

 

PS. Tylko poboczne działania:

 

1. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj nadwyżkę antywirusów AVG lub ESET Smart Security; preintegrowane na Lenovo aplikacje wątpliwej konduity z grupy Pokki Host App Service, Lenovo Web Start, Start Menu; sponsorowany przez adware YTD Video Downloader 4.9.1.

- Uruchom Program Install and Uninstall Troubleshooter i usuń za jego pomocą Metric Collection SDK 35.

 

2. Doczyszczanie wpisów odpadkowych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
AppInit_DLLs: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC64~1.DLL => Brak pliku
AppInit_DLLs-x32: C:\PROGRA~2\LENOVO~1\LENOVO~1\bin\SPVC32~1.DLL => Brak pliku
HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe"
HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe"
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-21-3820551375-3570498258-4154233937-1002\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe
Task: {2AA71A0C-0D67-49F4-9326-7DDC11F7E8BA} - System32\Tasks\{B6A8654D-5B77-4C80-9886-6718572962F5} => pcalua.exe -a E:\start.exe -d E:\
Task: {65608733-5F8A-45BF-A1F5-E4E2C6C4B3F9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo)
Task: {8623EECC-4F24-4ABC-BF69-4102B5C7FE38} - System32\Tasks\{63C94EBD-57EF-4B7E-8F79-8DB2A55E0C41} => pcalua.exe -a "C:\Program Files (x86)\OBS\uninstall.exe"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver"
SearchScopes: HKU\S-1-5-21-3820551375-3570498258-4154233937-1002 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={AB099386-04FE-44F2-810A-95AF5F4F5685}&mid=9c368062d5c247cca1e5013773c6ed99-1d8099c7bdd18409115ea547ae7cac683ec11f9a&lang=en&ds=AVG&coid=avgtbavg&cmpid=0216piz&pr=fr&d=2016-03-06 18:28:32&v=4.2.6.552&pid=wtu&sg=&sap=dsp&q={searchTerms}
BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

[watFiree]

Zainstalowałem ESET'a ponieważ tak było w ''poradniku'' od Orange.

[picasso]

Co nie zmienia nic w podanych przeze mnie instrukcjach. Nawisem mówiąc, zamiast instalować pełny pakiet ESET Smart Security, mogłeś się posłużyć minimalistyczną wersją ESET Online Scanner, by przeskanować system.