Skocz do zawartości

Ransomware.Locky


Patrykos

Rekomendowane odpowiedzi

Witam,
Proszę o pomoc w analizie logów wygenerowanych na komputerze z Win 7 Pro, który według CyberTarczy Orange padł ofiarą groźnego złośliwego oprogramowania - Ransomware.Locky.

Od momentu pojawienia się komunikatu, komputer został odłączony od internetu.
Na komputerze cały czas jest obecny Avast, który nic nie wykrył.
Po komunikacie o zagrożeniu wykonano pełny skan systemu Avastem ale nic nie znalazł.

W załączeniu są logi z FRST i GMER.
 
W trakcie skanowania FRSTem (we wczesnym jego etapie) wyskoczył 5 razy komunikat zatytułowany:
Farbar Recovery Scan Tool (x64) Wersja: 18-07-2016: FRST64.exe - Zły obraz

o treści:
Program C:\Windows\system32\winshfhc.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd. Zainstaluj program ponownie, używając oryginalnego nośnika instalacyjnego, albo skontaktuj się z administratorem systemu lub z dostawcą oprogramowania w celu uzyskania pomocy.
 
Jedyny przycisk jaki był to OK – po kliknięciu, którego skanowanie ruszyło dalej.

 

Printscreen komunikatu - https://i.imgsafe.org/e5eba23320.png

Plik winshfhc.dll przeskanowałem virustotal-em ale nic nie znalazł.
FRST i GMER były pobierane na innym komputerze.
FRST został pobrany z www.bleepingcomputer.com.

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach nie widać żadnych oznak infekcji szyfrującej dane. Do usunięcia będą tylko drobne odpadkowe wpisy nie związane z infekcją, ale to potem. Zacznij od:

 

 

Program C:\Windows\system32\winshfhc.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd. Zainstaluj program ponownie, używając oryginalnego nośnika instalacyjnego, albo skontaktuj się z administratorem systemu lub z dostawcą oprogramowania w celu uzyskania pomocy.

Plik Windows jest uszkodzony i nie tylko ten, w raporcie FRST widać także i to naruszenie:

 

R2 CryptSvc; C:\Windows\SysWOW64\cryptsvc.dll [136192 2010-11-21] () [brak podpisu cyfrowego]

 

Zrób skan sfc /scannow i dostarcz przefiltrowany log wynikowy: KLIK.

Odnośnik do komentarza

Przefiltrowany plik w załączniku, proces skanowania doszedł do 74% i przerwał działanie.

 

C:\Windows\system32>sfc /scannow

 

Rozpoczynanie skanowania systemu. Ten proces zajmie trochę czasu.

 

Rozpoczynanie fazy weryfikacji w skanowaniu systemu.

Weryfikowanie ukończone w 74%.

Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie

może naprawić niektórych z tych plików. Szczegóły znajdują się w pliku

CBS.Log windir\Logs\CBS\CBS.log. Na przykład

C:\Windows\Logs\CBS\CBS.log

sfc.txt

Odnośnik do komentarza

Masa uszkodzonych plików i jest do nie do naprawienia automatycznie bez przesłania idealnych wersji komponentów ze sprawnego systemu. Wyników jest jednak tak dużo, a skan nawet niepełny, że ta robota raczej odpada i klaruje się przeinstalowanie Windows. Z tym że niemożność ukończenia skanu SFC brzmi niepokojąco i może być oznaką problemów grubszego kalibru z dyskiem twardym (złe bloki). Toteż przesuwam temat na diagnostykę dysku do działu Hardware. Dostarcz dane wymagane działem: KLIK.

Odnośnik do komentarza

Print screen z Crystal Disk Info w załączniku. System jest na tym dysku.

 

 

Wracając jeszcze do zagrożenia infekcją szyfrującą, CyberTarcza co jakiś czas dalej twierdzi, że wykryto zagrożenie. Czy mogą to być fałszywe alarmy?
Dodam, że przeskanowałem komputer malwarebytes - nie znalazł nic poza kilkoma wpisami w rejestrze.

post-18037-0-37700000-1469384447_thumb.jpg

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...