Orange Cybertarcza Ransomware.Locky

[Salpsan]

Chyba nie muszę opisywać sytuacji, było tu już trochę takich tematów. O ile nie sądzę że mam Locky, tak warto sprawdzić, może coś jest na rzeczy.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[picasso]

Tak jak w przypadku innych tematów, zero oznak infekcji szyfrującej dane. Diagnoza tarczy jest wynikiem oceny IP a nie rzetelnego skanu systemu.

 

 

PS. Możesz wykonać drobne poboczne działania:

 

1. Odinstaluj zbędny "downloader" Akamai oraz stare wersje JDK: Akamai NetSession Interface, Java SE Development Kit 7 Update 79 (64-bit), Java SE Development Kit 8 Update 51 (64-bit).

 

2. W Firefox odinstaluj rozszerzenia: Auto Refresh (bardzo stara wersja z 2011 i nie działa poprawnie), BlockSite (to spyware marki Wips.com: KLIK), PopVideo (reklamy i problemy z prywatnością: KLIK), SkipScreen (wątpliwej reputacji i już dawno porzucone: KLIK), uBlock (to gorsza nierozwijana już wersja: KLIK). Adblock Plus też nie jest Ci potrzebny przy uBlock Origgin.

 

3. Usunięcie szczątkowych wpisów (w tym pustych skrótów) i czyszczenie Tempów. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Restriction 
HKU\S-1-5-21-2425397994-473716014-1509793327-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\02494708.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\29158755.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\02494708.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\29158755.sys => ""="Driver"
S3 dtlitescsibus; C:\Windows\System32\drivers\dtlitescsibus.sys [30264 2015-11-04] (Disc Soft Ltd)
S3 TesSafe; C:\Windows\system32\TesSafe.sys [1101024 2016-06-03] (TENCENT)
S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
MSCONFIG\Services: Disc Soft Lite Bus Service => 3
MSCONFIG\Services: BstHdAndroidSvc => 3
MSCONFIG\Services: BstHdLogRotatorSvc => 3
MSCONFIG\Services: BstHdUpdaterSvc => 3
MSCONFIG\Services: Droid4XService => 2
MSCONFIG\Services: SbieSvc => 2
MSCONFIG\Services: Service KMSELDI => 2
MSCONFIG\Services: TeamViewer => 2
HKLM\...\StartupApproved\Run32: => "Aeria Ignite"
HKLM\...\StartupApproved\Run32: => "BlueStacks Agent"
HKLM\...\StartupApproved\Run32: => "EaseUS EPM tray"
HKLM\...\StartupApproved\Run32: => "ISCT Tray"
HKLM\...\StartupApproved\Run32: => "VX1000"
HKLM\...\StartupApproved\Run32: => "EaseUS Cleanup"
HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\StartupFolder: => "CurseClientStartup.ccip"
HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\StartupFolder: => "AudioSwitch.lnk"
HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "DAEMON Tools Lite Automount"
HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "FlashGet 3"
HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "Akamai NetSession Interface"
HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "SandboxieControl"
HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "GalaxyClient"
HKU\S-1-5-21-2425397994-473716014-1509793327-1001\...\StartupApproved\Run: => "FlashPlayerUpdate"
C:\ProgramData\Microsoft\Windows\Start Menu\Black Desert Online.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Android Studio
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3\Extras\AutoItX\VBScript Examples.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black Desert Online
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberStep, Inc
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dark Souls III
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grand Theft Auto V\Play Grand Theft Auto V.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NARUTO SHIPPUDEN Ultimate Ninja STORM 4
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SQUARE ENIX\FINAL FANTASY XIV - A Realm Reborn
C:\Users\Adrian\AppData\Local\FluxSoftware
C:\Users\Adrian\AppData\Roaming\DAEMON Tools Lite
C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\BlueStacks.lnk
C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\b15f30ab853b7d31\Diablo III.lnk
C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AeriaGames
C:\Users\Adrian\AppData\Roaming\Mozilla\Firefox\Profiles\qhrxejcq.default\searchplugins
C:\Windows\system32\TesSafe.sys
C:\Windows\System32\drivers\dtlitescsibus.sys
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Na czas operacji wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

[Salpsan]

Dzięki, zrobiłem fixa, log w załączniku. Co do wtyczek do ff żadna nie była aktywna, po prostu ich nie usunąłem wcześniej, ale dzięki za info, już usunąłem wszystko które nie są mi niezbędne.

Fixlog.txt

[picasso]

Skrypt pomyślnie wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder "frst" z Pulpitu + pobrany GMER. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

To wszystko z mojej strony.