Problem z Ransomware Locky

Kermit32L · 14 Sierpień 2016 19:20

Piszę bo mam taki sam problemem jaki miał w Poniedziałek Zoom55a, dotyczący Cybertarczy Orange. Ten sam komunikat dotyczący Ransomware Locky. Tylko że ja mam dwa komputery w sieci i nie wiem dokładnie na którym jest ten wirus. Jeden to Windows 7 32 bity, a drugi to Windows 10 64 bity.

Już robiłem te czynności o których pisał Atis do Zoom55a na komputerze z Win 7, ale doszedłem do tego miejsca z wklejaniem danych do fixlisty i nie bardzo wiem co dalej. Z tego co tam zauważyłem to te dane z cytatu tam zawartego są pisane pod konkretny komputer na podstawie wygenerowanych logów z Farbara, chociaż nie bardzo się na tym znam więc mogę się mylić. Mam ogromną prośbę o pomoc w tej sprawie…

Tutaj są Logi z Fabara:

FRST.txt

Addition.txt

anon96572732 · 14 Sierpień 2016 19:29

Pobierz najnowszą wersję FRST a dopiero później wstaw logi, po drugie jeżeli posiadasz dwa komputery w sieci to wstaw logi z jednego i drugiego.

Kermit32L · 14 Sierpień 2016 20:01

Ok. tutaj są najświeższe logi z Fabara z Win 7:

A tutaj z Win 10:

Atis · 14 Sierpień 2016 20:15

Każdemu z osobna trzeba zwracać uwagę, że na tym forum nie dodaje się logów w postaci załączników.

Po co stosujesz porady z innego tematu skoro nie masz żadnej infekcji. W tamtym temacie nie było żadnego Locky. To nie jest prawdziwy wirus tylko wymysł Orange.

W7

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-811205089-1238349870-4200760397-1000…\InprocServer32: [Default-pngfilt] <==== UWAGA GroupPolicyUsers\S-1-5-21-811205089-1238349870-4200760397-1004\User: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF SelectedSearchEngine: Yahoo! FF Keyword.URL: hxxps://search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&ilc=12&type=435371&p= 2016-08-14 20:23 - 2016-08-14 20:31 - 00000000 ____D C:\AdwCleaner 2016-08-14 17:46 - 2016-08-14 17:46 - 00000000 ____D C:\TDSSKiller_Quarantine 2016-08-14 17:48 - 2016-08-14 17:49 - 00199164 _____ C:\TDSSKiller.3.1.0.5_14.08.2016_17.48.40_log.txt 2016-08-14 17:40 - 2016-08-14 17:46 - 00391370 _____ C:\TDSSKiller.3.1.0.5_14.08.2016_17.40.32_log.txt 2016-08-11 09:37 - 2016-02-03 13:29 - 00000000 ___SD C:\Users\Grzegorz\AppData\LocalLow\Temp EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST

Na Windows 10 włącz przywracanie systemu dla dysku systemowego C.

http://www.tenforums.com/tutorials/4533-system-protection-turn-off-drives-windows-10-a.html

Kermit32L · 14 Sierpień 2016 21:01

Dziękuje za pomoc.

Wszelkie zalecenia wprowadziłem w życie.

Pozdrawiam.