Cybertarcza orange i ransomware locky

zoom55a · 8 Sierpień 2016 19:21

Witam. 2 dni temu u mnie w domu połączenie internetowe zostało zablokowane przez Cybertarcze Orange. Wyczytałem jedynie, że wirus na jednym z pecetów o nazwie “ransomware locky” chyba tworzy botnet lub coś w tym rodzaju. Zainstalowałem “Malwarebytes’ Anti-Malware”, oraz “Emsisoft Anti-Malware”. Po przeskanowaniu usunąłem około 300 (z malwarebytesa) oraz 2 (z emsisofta) zainfekowanych plików. W emsisoft został mi jeden, znajdujący się w katalogu “C:\Windows\System32\Drivers”, jego nazwa to kilkanaście przypadkowych liczb i liter. Totalnie nie wiem jak się z tym uporać i nie wiem czy bezpiecznie jest usuwać coś z katalogu drivers.

Raport z:
FRST: http://www.wklej.org/id/2779965/

Addition: http://wklej.org/id/2779966/

Shortcut: http://wklej.org/id/2779967/

fiesta · 8 Sierpień 2016 19:54

zoom55a · 8 Sierpień 2016 20:02

Dzięki, już się dostosowałem.

Atis · 8 Sierpień 2016 20:50

Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt

zoom55a · 8 Sierpień 2016 22:06

http://wklej.org/id/2780035/

Jedyne, co wykryło, to ten dziwny plik w drivers, którego nie moge usunąć.

Atis · 8 Sierpień 2016 22:39

Uruchom TDSSKiller i tym razem wybierz opcję Delete. Zatwierdź restart w celu dokończenia usuwania.

Po restarcie kliknij Start scan i pokaż nowy log z TDSSKiller.

Pokaż nowy raport FRST i Addition.

zoom55a · 8 Sierpień 2016 23:06

Skończone, tu masz logi:
FRST: http://wklej.org/id/2780054/

Addition: http://wklej.org/id/2780055/

Shortcut: http://wklej.org/id/2780056/

TDSSKiller: http://wklej.org/id/2780059/

Atis · 8 Sierpień 2016 23:41

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-1436767254-3989216726-2723232838-1000…\Run: [{FCF9EC96-E87F-4B8B-A92F-CE6E9BB0E6FC}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp ‘HKCU:\Software\Classes\PFchSEgxhi’).CjCk))); 2016-08-09 00:56 - 2016-08-09 00:56 - 00000000 ____D C:\TDSSKiller_Quarantine 2016-08-08 13:58 - 2016-08-08 13:58 - 00000000 _____ C:\autoexec.bat 2016-08-08 13:48 - 2016-08-08 13:49 - 03237248 _____ (Enigma Software Group USA, LLC.) C:\Users\Rysiek\Downloads\sh-remover.exe 2016-08-04 08:27 - 2016-08-07 01:13 - 0341504 _____ () C:\Users\Rysiek\AppData\Roaming\wsrv_60f54397.dat testsigning: ==> Ustawiony “Tryb testu”. Sprawdź obecność niepodpisanego sterownika <===== UWAGA Task: {B6961C68-2F0F-40A1-95E7-53C67FF3D498} - System32\Tasks{110C3370-D288-4E30-94BA-468CB2D5AAC6} => pcalua.exe -a “C:\Program Files (x86)\InstallShield Installation Information{974C4B12-4D02-4879-85E0-61C95CC63E9E}\setup.exe” -c -runfromtemp -l0x0015 -removeonly Task: {E3F60BF8-CF12-4BFC-99C4-F8331B59FC4A} - System32\Tasks{84A90D5C-5D8D-4A27-A94B-5E9691F22EBE} => pcalua.exe -a C:\Users\Rysiek\Downloads\CH341SER.EXE -d C:\Users\Rysiek\Downloads HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\11533768.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79298015.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\11533768.sys => “”=“Driver” HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\79298015.sys => “”=“Driver” FirewallRules: [TCP Query User{28036C40-1694-44B9-9DD8-62FFCAFC1EBB}C:\windows\installer{d3dd3038-4645-edf9-0d07-1082ecdbc393}\syshost.exe] => (Block) C:\windows\installer{d3dd3038-4645-edf9-0d07-1082ecdbc393}\syshost.exe FirewallRules: [UDP Query User{9C7A85DC-FA21-40A2-88D3-F694381444A4}C:\windows\installer{d3dd3038-4645-edf9-0d07-1082ecdbc393}\syshost.exe] => (Block) C:\windows\installer{d3dd3038-4645-edf9-0d07-1082ecdbc393}\syshost.exe FirewallRules: [TCP Query User{915F2F13-895A-4887-86F2-B68C3F578FF2}C:\windows\installer{d3dd3038-4645-edf9-0d07-1082ecdbc393}\syshost.exe] => (Block) C:\windows\installer{d3dd3038-4645-edf9-0d07-1082ecdbc393}\syshost.exe FirewallRules: [UDP Query User{3328C6B5-601B-4357-BE96-E46CCC81F200}C:\windows\installer{d3dd3038-4645-edf9-0d07-1082ecdbc393}\syshost.exe] => (Block) C:\windows\installer{d3dd3038-4645-edf9-0d07-1082ecdbc393}\syshost.exe C:\windows\installer{d3dd3038-4645-edf9-0d07-1082ecdbc393} DeleteKey: HKCU\Software\Classes\PFchSEgxhi EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

zoom55a · 8 Sierpień 2016 23:53

Okej, fixlog: http://wklej.org/id/2780066/

oraz FRST: http://wklej.org/id/2780068/

Atis · 9 Sierpień 2016 00:07

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

DeleteKey: HKCU\Software\Classes\PFchSEgxhi HKU\S-1-5-21-1436767254-3989216726-2723232838-1000…\Run: [{FCF9EC96-E87F-4B8B-A92F-CE6E9BB0E6FC}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp ‘HKCU:\Software\Classes\PFchSEgxhi’).CjCk))); S3 dump_wmimmc; ??\C:\Program Files (x86)\GameforgeLive\Games\POL_pol\Metin2\GameGuard\dump_wmimmc.sys [X] 2016-08-09 01:07 - 2016-08-09 01:11 - 00202768 _____ C:\TDSSKiller.3.1.0.11_09.08.2016_01.07.05_log.txt 2016-08-09 00:59 - 2016-08-09 00:59 - 00004962 _____ C:\TDSSKiller.3.1.0.11_09.08.2016_00.59.28_log.txt 2016-08-09 00:45 - 2016-08-09 00:56 - 00347710 _____ C:\TDSSKiller.3.1.0.11_09.08.2016_00.45.45_log.txt 2016-08-09 00:42 - 2016-08-09 00:43 - 00002388 _____ C:\TDSSKiller.3.1.0.11_09.08.2016_00.42.51_log.txt 2016-08-09 01:44 - 2016-05-16 21:53 - 00000000 ____D C:\Users\Rysiek\AppData\LocalLow\Temp DeleteQuarantine:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.