Cybertarcza orange ransomsware.locky

**Posty:** 3 · przez **swro1337** 03 Lis 2016, 01:26

Dzień dobry,
Dziś po uruchomieniu komputera pojawił się komunikat od Orange. Czytałem kilka tematów nawet na tym forum, że możliwe, że jest to pomyłka i trafiłem na złe IP (internet orange) reset routera nie pomógł.
Sprawa wygląda tak, że Orange zablokowało internet ,ciągle widnieje komunikat odnośnie Ransomsware.Locky
Pozdrawiam

w GMER nic mi nie wykryło w takim sensie ze nie mam co skopiować

**Posty:** 4765 · przez **ordynat** 03 Lis 2016, 09:36

Ransomware oczywiście na pewno nie masz.
Nie mam pojęcia, jak się uwolnić od Cybertarczy, i jej blokady netu.

Otwórz Notatnik i wklej w nim:

C:\ProgramData\Microsoft\Windows\Start Menu\iSafe.lnk
RemoveDirectory: C:\Program Files (x86)\iSafe
C:\Users\marcin\Desktop\programy\Adobe Reader XI.lnk
Task: {E9C4315A-EFB1-4F0B-AAE7-8A996BF06E37} - System32\Tasks\{0BBA2727-6FE3-4F42-9B3C-5DB376BC14B0} => pcalua.exe -a "C:\Users\marcin\Downloads\cFosSpeed_9.02\cFosSpeed_9.02_Build_2032_Final\TRial-Reset by BBs\CFS.TR.Setup.BBs.exe" -d "C:\Users\marcin\Downloads\cFosSpeed_9.02\cFosSpeed_9.02_Build_2032_Final\TRial-Reset by BBs"
CustomCLSID: HKU\S-1-5-21-3897112681-2335061952-3470262197-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\marcin\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3897112681-2335061952-3470262197-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\marcin\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3897112681-2335061952-3470262197-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\marcin\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => No File
CustomCLSID: HKU\S-1-5-21-3897112681-2335061952-3470262197-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\marcin\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => No File
FirewallRules: [{FAFAC779-3C2A-4E14-9060-CA44E0C796DB}] => (Allow) C:\Program Files (x86)\Droid4X\download\MiniThunderPlatform.exe
ProxyServer: [S-1-5-21-3897112681-2335061952-3470262197-1000] => localhost:8080
ProxyServer: [S-1-5-21-3897112681-2335061952-3470262197-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0] => localhost:8080
SearchScopes: HKU\S-1-5-19-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 cpuz136; \??\C:\Program Files (x86)\CPUID\PC Wizard 2013\pcwiz_x64.sys [X]
S3 ESEADriver2; \??\C:\Users\marcin\AppData\Local\Temp\ESEADriver2.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
CHR Plugin: (Java Deployment Toolkit 8.0.450.15) - C:\Program Files (x86)\Java\jre1.8.0_45\bin\dtplugin\npDeployJava1.dll => No File
CHR Plugin: (Java(TM) Platform SE 8 U45) - C:\Program Files (x86)\Java\jre1.8.0_45\bin\plugin2\npjp2.dll => No File
HOSTS:
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.

**Posty:** 3 · przez **swro1337** 03 Lis 2016, 13:56

Witam dziękuje za szybka odpowiedz może mnie nie zrozumiałeś ale musiałem odblokować sobie CyberTarcze żeby napisać ten temat wiec jeśli już mam odblokowany internet i nie wykryłeś Ransomware to mam wkleić ten tekst do notatnika i odpalić przez FRST?

**Posty:** 4765 · przez **ordynat** 03 Lis 2016, 14:44

Tak, zalecenie wykonaj - nie ma znaczenia, czy jest ta infekcja, czy nie .
.

**Posty:** 3 · przez **swro1337** 04 Lis 2016, 01:32

Super dzięki czy coś jeszcze muszę zrobić jak już to wykonam ?

**Posty:** 4765 · przez **ordynat** 04 Lis 2016, 08:05

testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION

Zrób sobie log FRST - bez Addition, i bez Shortcut.
Sprawdź, czy na samym dole tego logu nie ma już tego powyższego wpisu.

Jeśli nie ma, to będziemy kończyć:
Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

Jeśli natomiast dalej jest ten wpis, to zrobisz powtórkę:
Otwórz Notatnik i wklej w nim:

testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
.