Ransomware.Locky oraz Cyber Starcza Orange

Hakushi · 7 Październik 2016 09:08

Witam.

Dziś przy uruchomieniu komputera i próbie wejścia na strone internetową pojawił mi się komunikat, że cyberTarcza Orange wykryła “Ransomware.Locky” odłączyłem internet natychmiast, uruchomiłem 'malwarebaytes-Anti malware" który wykrył 5 zagrożen (nie było nic podobnego do nazwy Ransomware.Locky) w między czasie zadzowniłem na infolinie CyberTarczy (CERT) w Orange, pani stwierdziła że tarcza się włączyła i wyłączyła a virus znikł, w co jakoś nie specjalnie wierze. Następnie zaktualizowałem Adobe Flash Playera, jave, Silverlight’a, sprawdziłem Windows Defendera, dodam iż cały ten czas Avast był włączony i nic nie wykrył.

Byłbym bardzo wdzięczny za pomoc z usunięciem tego czegoś

spandaupol · 7 Październik 2016 09:59

W tym dziale obowiązują raporty FRST wykonane i zaprezentowane zgodnie z instrukcją

Hakushi · 7 Październik 2016 10:20

tutaj są wszystkie raporty jakie program wykonał:

FIRST: http://www.wklej.org/id/2886875/

ADDITION: http://www.wklej.org/id/2886876/

SHORTCUT: http://www.wklej.org/id/2886877/

Atis · 7 Październik 2016 11:41

W panelu sterowania odinstaluj Akamai NetSession Interface i WinRAR Packages.
Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Oczyść (Clean).
Kliknij Skanuj (Scan) i pokaż nowy raport FRST i Addition.

Hakushi · 7 Październik 2016 12:02

@AtisWięc tak Akamai odinstalował się, wcześniej strasząc mnie że strace połączenie z internetem(mam nadzieję że tak nie będzie :D) , natomiast winrara packages wyskoczyły że nie można odinstalowac, i że być może tego już nie ma, jedyna opcja to było usunięcie z listy z panelu sterowania.

Tutaj skany z

(robiony przed ADW i odinstalowaniem Akamai etc.)TSSDKILLER: http://wklej.org/id/2886913/

Raport z ADW (wykrył 32 zagrożenia) :http://wklej.org/id/2886915/

FRST: http://wklej.org/id/2886917/

ADDITION: http://wklej.org/id/2886918/

SHORTCUT:http://wklej.org/id/2886919/

Edit: wlaśnie zmienił się status na stronie Orange, nie mam już informacji o tym syfie

"

CyberTarcza Orange

Wszystko w porządku!

Zweryfikowaliśmy Twój adres IP: 8*.**.***.**7.
Nie wykryliśmy zagrożeń w urządzeniach korzystających obecnie z Twojej domowej sieci."

bachus · 7 Październik 2016 12:29

Ta aplikacja dokładnie tak działa - po zakończeniu działania (zaszyfrowaniu plików), albo przy próbie jej usunięcia sama znika z systemu zacierając ślady.

Atis · 7 Październik 2016 15:21

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-734337594-2659559286-1052360567-1000…\Run: [Akamai NetSession Interface] => “C:\Users\Sebastian\AppData\Local\Akamai\netsession_win.exe” CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA CHR HKU\S-1-5-21-734337594-2659559286-1052360567-1000\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA SearchScopes: HKU.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKU\S-1-5-21-734337594-2659559286-1052360567-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2960672 2016-07-20] (IObit) U3 idsvc; Brak ImagePath 2016-10-07 13:41 - 2016-10-07 13:43 - 00268020 _____ C:\TDSSKiller.3.1.0.11_07.10.2016_13.41.01_log.txt 2016-10-07 13:50 - 2015-01-03 21:36 - 00000000 ____D C:\AdwCleaner 2014-06-19 08:26 - 2014-06-19 08:26 - 0000024 _____ () C:\Users\Sebastian\AppData\Roaming\temp.ini 2016-08-07 10:42 - 2016-08-07 10:42 - 0000016 _____ () C:\ProgramData\mntemp Task: {1B080E4F-F61A-41E6-B5BA-E23098F763F3} - System32\Tasks{0E083BE7-E2DC-4D10-A585-F982389351A7} => pcalua.exe -a “C:\Program Files (x86)\Glyph\GlyphClient.exe” -c -uninstall -game 120 Task: {306CB677-DD0A-4FA3-991F-C6F6E25553F5} - System32\Tasks{50FE2697-F1BA-45E0-A156-1E1E0081DC25} => pcalua.exe -a “C:\ProgramData\Battle.net\Agent\Blizzard Uninstaller.exe” -c --lang=plPL --uid=battle.net --displayname=“Battle.net” Task: {45405AAC-09A9-47F4-96B3-93E9D9FFDFEB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {4B312FF9-19B7-4284-B32D-841EBDE50A8F} - \CCleanerSkipUAC -> Brak pliku <==== UWAGA Task: {4C19687C-4392-4502-846D-7FE81E3E0CD3} - System32\Tasks{B56B74A8-160E-4B68-AA77-EE5709E9A8F6} => pcalua.exe -a C:\Users\Sebastian\Downloads\mostwanted.exe -d C:\Users\Sebastian\Downloads Task: {5737C872-68CC-4D60-ABD4-A8E574D8033F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {6230C7E6-EF45-4CC4-804F-36F9F5538111} - System32\Tasks{4DFDAE46-92A7-48E0-A785-C4EF3CE4F0A1} => pcalua.exe -a C:\Users\Sebastian\AppData\Roaming\qone8\UninstallManager.exe -c -ptid=smt Task: {866FAF97-F2C1-47F4-904E-129143EB1998} - System32\Tasks{90D64DE4-3D3C-4C80-AA8D-ACA0B95193CB} => pcalua.exe -a F:\Setup.exe -d F:\ Task: {992AEF30-C823-4910-8941-F300EEB410D8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {99769143-5348-4638-87CA-C77536863A0D} - \avast! Emergency Update -> Brak pliku <==== UWAGA Task: {CF21560D-0138-4854-B84E-3D81950C170D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {DF551C98-79C7-43F3-9A50-C504B8B8E80D} - System32\Tasks{98A0FCDD-655C-4E77-BB49-A19157793906} => pcalua.exe -a “C:\Program Files (x86)\JoWooD\Gothic II\System\GothicStarter.exe” -d “C:\Program Files (x86)\JoWooD\Gothic II\System” Task: {DFFEBFFE-C0FA-4AC2-9D44-51DFF5754B05} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

Hakushi · 7 Październik 2016 18:24

@Atis

fixlog: http://wklej.org/id/2887177/

FRST: http://wklej.org/id/2887175/

Atis · 7 Październik 2016 20:16

Skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

Odinstaluj Adobe Reader X i zainstaluj Adobe Reader XI 11.0.17

Hakushi · 8 Październik 2016 15:52

@AtisZrobiłem wszystko jak napisałeś, ale teraz tak, pojawiło mi się dziś na Cyber Tarczy Orange, że zostałem podłączony do bot netu, jako że mam 2 komputery to prosiłbym Cię o pomoc jak mogę sprawdzić ten komputer aby mieć ewentualnie 100% pewności że to ten drugi jest zainfekowany? Gdyby okazało się że tutaj nic nie znajdziemy.

Atis · 8 Październik 2016 16:06

Przecież w większości przypadków to nie jest prawdziwy wirus tylko wymysł Orange.

Na wszystkich forach dziesiątki tematów i praktycznie nigdy nie ma tego wirusa.

Hakushi · 8 Październik 2016 16:08

Sprawdziłem na obu komputerach procesy i nie widziałem nic dziwnego, pingu wysokiego też nie mam, procesory wogóle nie obciążone. Zrobiłem jeszcze szybkie skany Avastem i też nic. Wiesz, wole się upewnić że nie popełniłem blędu podczas przeszukiwania tego wirusa.

Acorus · 8 Październik 2016 16:32

Musiałeś dostać IP które miał wcześniej ktoś z zainfekowanym systemem.

Hakushi · 8 Październik 2016 16:34

Wbiłem przed chwilą na strone orange żeby sprawdzić czy coś się zmieniło i nagle widze że znowu mam Locky. tutaj fotka bezpieczna z Screen Shu http://scr.hu/0xlz/4alfw

Zrobie jeszcze raz skany Eset online scanner, Avastem, Antimalwarem, i adw cleanerem. na obu komputerach, jak nic nie wykryją a ze strony orange się nic nie zmieni to mam to gdzieś, nie bede wiecej głowy zawracać.

Hakushi · 9 Październik 2016 08:00

@AtisCześć, wrzucam logi z FRST z drugiego komputera, jak znajdziesz chwile to sprawdz. Wielkie dzięki

ADW cleaner: http://wklej.org/id/2889114/

FRST: http://wklej.org/id/2889120/

Addition: http://wklej.org/id/2889121/

Shorcut: http://wklej.org/id/2889122/

Atis · 9 Październik 2016 08:31

Nie widać infekcji. Odinstaluj Akamai NetSession Interface i McAfee WebAdvisor.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKU\S-1-5-21-3525920077-2031746100-3182623637-1001…\Run: [Akamai NetSession Interface] => C:\Users\Kacper1234\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA SearchScopes: HKU\S-1-5-21-3525920077-2031746100-3182623637-1001 -> DefaultScope {F01F4280-BAE0-4424-8955-F53882790B31} URL = CHR Extension: (Virtus.Pro) - C:\Users\Kacper1234\AppData\Local\Google\Chrome\User Data\Default\Extensions\iamgecknilaefpihdedoikhgcclbcklk [2016-08-22] CHR HKLM…\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32…\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32…\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32…\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx S4 McAfee SiteAdvisor Service; C:\Program Files (x86)\McAfee\SiteAdvisor\McSACore.exe [161536 2016-08-29] (McAfee, Inc.) S3 FairplayKD; Brak ImagePath S3 cpuz138; ??\C:\Users\KACPER~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] 2016-10-09 09:52 - 2016-10-09 09:55 - 00220828 _____ C:\TDSSKiller.3.1.0.11_09.10.2016_09.52.46_log.txt 2016-10-09 09:46 - 2016-10-09 09:47 - 00000000 ____D C:\AdwCleaner 2016-09-10 09:25 - 2016-09-10 09:25 - 0000016 _____ () C:\ProgramData\mntemp EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Skasuj folder C:\FRST

Hakushi · 9 Październik 2016 08:50

Dzięki wielkie za pomoc ze wszystkim.