Nietypowy problem. Wirus Ukash policja

[krismf]

Witajcie drdzy Uzytkownicy. Mam na imie Krzysztof i bardzo prosilbym Was o pomoc. Przepraszam za brak polskich znakow. Pisze na pozyczonym MacBooku z zainstalowanym widowsem XP.

 

Temat zamiescilem rowniez na innym forum gdzie polecono mi napisac wlasnie tutaj. Pozwole sobie skopiowac watek. Bardzo przepraszam za brak wymaganych logow ale nie jestem w stanie ich wykonac.

 

Opis problemu:
Wirus dopadl mnie wczoraj po operacjach na pozyczonym pen drive. Pomyslalem sobie ze spokojnie sie nim zajme. Zazwyczaj radzilem sobie z takimi problemami przy pomocy takich ludzi jak Wy na roznych forach. Google szlo w ruch i zawsze sie udawalo. Tym razem jest inaczej.

Po odpaleniu komputera pojawia sie pulpit i po 2 sek zapala sie wirus, ktory kompletnie wszystko blokuje, ale to pewnie zadna nowosc. Probowalem uruchomic system w jakimkolwiek trybie awaryjnym niestety wyskakuje bluescreen i komputer uruchamia sie ponownie.
Sciagnalem Kaspersky Rescue disk 10 wypalilem i uruchomilem z plyty. Myslalem ze mam bingo, ale niestety. Kaspersky disk 10 nie widzi moich dyskow: 2x 75GB RAID 0.

Podsumowujac nie moge wejsc do trybu awaryjnego, nie moge przeskanwac Kasperskym, probowalem rowniez podlaczyc dyski RAID do drugiego komputera no ale nie zadziala taki trick i w sumie troche sie podlamalem. Prosze, moze ktos ma jakis pomysl jak pozbyc sie wirusa.
Dodatkowo, jezeli takie cos mogloby sie nie udac chcialbym chodziaz zgrac wazniejsze pliki ktore zostawilem na pulpicie. Slyszalem o programach odpalanych z plyty (mini xp, lindows) ktore daja mozliwosc ladwania plikow na pen drive bez uruchamiania systemu. Jednak przed pojsciem spac wczoraj doczytalem tylko, ze owe programy nie wspieraja... RAID. Z jakiekolwiek wskazowki bede niebywale wdzieczny.
Pozdrawiam całą społeczność i z gry dziekuje.

 

[picasso]

Po odpaleniu komputera pojawia sie pulpit i po 2 sek zapala sie wirus, ktory kompletnie wszystko blokuje, ale to pewnie zadna nowosc.

 

Czy jest możliwe na ekranie logowania szybkie wywołanie menedżera zadań przez CTRL+ALT+DEL i zabicie explorer.exe / innych "podejrzanych" procesów? Czy jest możliwe zalogowanie przy całkowicie odpiętej sieci (kable wyciągnięte)?

 

 

Bardzo przepraszam za brak wymaganych logow ale nie jestem w stanie ich wykonac. (...) Po odpaleniu komputera pojawia sie pulpit i po 2 sek zapala sie wirus, ktory kompletnie wszystko blokuje, ale to pewnie zadna nowosc. Probowalem uruchomic system w jakimkolwiek trybie awaryjnym niestety wyskakuje bluescreen i komputer uruchamia sie ponownie.

 

Rozumiem, że Tryb awaryjny z obsługą Wiersza polecenia także skutkuje BSOD? To brzmi niepokojąco, gdyż mówisz o podpięciu pendrive. Pendrive raczej nie jest źródłem infekcji UKASH, tu może być coś znacznie gorszego. Z pendrive mógł wejść wirus Sality (kasuje Tryb awaryjny), który zaraża wszystkie pliki wykonywalne na wszystkich dyskach. Na razie nie jestem w stanie tego ocenić, bo nawet raportów nie można zrobić. Naprawa Trybu awaryjnego także awykonalna, gdyż nie można zbootować żadnego medium, które umożliwiłoby podmontowanie rejestru i import wpisów Trybu awaryjnego:

 

 

Sciagnalem Kaspersky Rescue disk 10 wypalilem i uruchomilem z plyty. Myslalem ze mam bingo, ale niestety. Kaspersky disk 10 nie widzi moich dyskow: 2x 75GB RAID 0.

 

To oznacza, że nie można skorzystać z żadnej typowej płyty, gdyż większość nie ma sterowników RAID, takowe trzeba by było dopiero zintegrować w płycie. Z jakim modelem płyty głównej mamy do czynienia i jaki system siedzi na zdefektowanym niedostępnym komputerze?

 

 

 

.

[krismf]

1. Nie ma takiej możliwośći. Wirus włącza się na tyle szybko, że nie jest możliwa żadna reakcja. Być może byłbym w stanie zrobić to na tyle szybko, żeby zobaczyć menadżer zadań, ale nic więcej. Chciaż spróbuję jeszcze jak wórcę do domu. Wczorajsze próby nie przyniosły skutku.

 

2. Na 99% był to pen drive. Działałem na swoim komputerze bez żadnych przeszkód, aż podpiąłem obcego pen drive mojej siostry, który jak się później okazało byl jeszcze w koputerze pana w xero. Po samym podpięciu nic się nie wydarzyło. Cała akcja zaczęła się jak zacząłem zgrywać zawartość pen drive na pulpit. Po 2 minutach zgrywania ekran zrobił się biały i włączył się Ukash... i to koniec.

 

3. Dokładnie niestety nie pamiętam jaka to płyta, na pewno ASUS. Jestem akurat w pracy (polskie znaki:), ale jak tylko wrócę do domu dopiszę model. System to Windows XP SP3.

 

Zaopatrzę się dzisiaj w płyty CD. Będę mógł wypalać płyty ratunkowe.

 

Pieknie proszę o ewentualne dopisanie czy byłaby możliwość podpięcia np: Linuxa na pen drive i zgranie najważniejszych plików z pulpitu przed ewentualnym formatem czy przez RAID również to będzie bardzo utrudnione?

 

Dziekuję za zainteresowanie i odpowiedź. Popołudniu dopisze dane płyty.

[picasso]

Pieknie proszę o ewentualne dopisanie czy byłaby możliwość podpięcia np: Linuxa na pen drive i zgranie najważniejszych plików z pulpitu przed ewentualnym formatem czy przez RAID również to będzie bardzo utrudnione?

 

Jak mówiłam: płyta musi mieć zintegrowane sterowniki RAID kompatybilne z Twoim sprzętem. Nie znając sprzętu, nie jestem w stanie powiedzieć która płyta może je zawierać out-of-box. Podejrzewam, że będziesz mieć niestety problem i skończy się na ręcznej integracji (o ile sterowniki będą w ogóle dostępne...).

 

Czekam na dane płyty głównej i zobaczymy co się da zrobić. Sprawdź też jeszcze raz dokładnie czy przy logowaniu mimo wszystko da się wywołać menedżer zadań oraz czy da się zalogować przy całkowicie odpiętej sieci.

 

 

 

 

.

[krismf]

Bardzo dziekuję za zainteresowanie Picasso. Jak tylko wrócę (mam nadzieję, że przed 16:00) podam dokładnie dane płyty głównej.

Co do odłączonej sieci. Wirus włącza się tak samo szybko. Kiedy sieć jest podpięta pojawia się okno Ukash i cała ta szopka. Kiedy sieć jest odłączona pojawia się tylko biały ekran z napisam, że nie odnaleziono serwera lub brakuje sieci i mam opcję odświeżenia. Kiedy podłącze sieć po odświeżeniu włącza się ponownie szopka.

Zależy mi przede wszystkim na odzyskaniu kilku plików z pulpitu związanych z moją DG.

[krismf]

Witam ponwnie.

 

Plyta glowna w zainfekowanym komputerze to ASUS P5Q PRO.

 

Probowalem na szybko wylaczac programy w menadzerze zadan. Przy pierwszej probie wirus sie aktywowal. Przy kolejnej udalo mi sie doprowadzic do zawieszenia systemu. Niestety nie da rady nic zrobic w takim stanie, ctrl alt del rowniez nie dziala.

 

Dziekuje za bezinteresowne zainteresowanie sie moim problemem.

Przepraszam za brak polskich znakow.

 

Edit.

Przy kolejnej probie wylaczajac podejrzane rzeczy w menadzerze wyskoczyl komunikat o problemie z aplikacja 000a0658.exe. System nadal jest zwieszony takze nic nie moge zrobic.

[picasso]

Przy kolejnej udalo mi sie doprowadzic do zawieszenia systemu. Niestety nie da rady nic zrobic w takim stanie, ctrl alt del rowniez nie dziala. (...) Przy kolejnej probie wylaczajac podejrzane rzeczy w menadzerze wyskoczyl komunikat o problemie z aplikacja 000a0658.exe. System nadal jest zwieszony takze nic nie moge zrobic.

 

W jakim rozumieniu, tzn. czy to konsekwencja zabicia jakiś określonych procesów? Czy da się: szybko wywołać menedżer zadań (próbuj dalej) > zabić explorer.exe + 000a0658.exe (tylko) > w menedżerze zadań z menu Plik > Nowe zadanie > wywołać C:\Windows\regedit.exe?

 

 

Plyta glowna w zainfekowanym komputerze to ASUS P5Q PRO.

 

Chipset Intel, więc przypuszczalnie Intelowskie sterowniki RAID w wersji "F6 Driver Diskettes" mogłyby pasować: KLIK. Te wersje diskietkowe to właściwa faza ładowania sterowników (faza tekstowa instalatora Windows = czyli środowisko zewnętrzne) a nie sterowniki do instalacji w systemie.

 

Można byłoby spróbować:

- Pobrać płytę WinRE (w spoilerze interesuje Cię paczka Download Windows 7 32-Bit (x86) Dysk naprawy PL). Tak, nie ma znaczenia, że docelowy system to Windows XP.

- Przy starcie z płyty opcją Załaduj sterowniki podać te dyskietkowe stery Intela umieszczone np. na pendrive (f6flpy-x86.zip rozpakowane, wszystkie pliki ze środka muszą być dostępne wprost niczym nie spakowane).

- Jeśli dysk zostanie rozpoznany (system XP nie, ale to normalne przy WinRE), mógłbyś uruchomić FRST, by stworzyć log poglądowy co jest w ogóle w systemie. Jeśli log dałoby się stworzyć, to jesteśmy w domu.

 

 

 

.

[krismf]

Po wyłączeniu tego pliku .exe i explorera jedyna różnica jest taka, że wirus się ładuje, ale ale nie ma komunikatu o policji tylko jest npis, że nawigacaj do strony sieci Web została anulowana.

 

Postaram sie na spokojnie przestudiować to co mi napisałaś i powalczę. Jeżeli będą jakieś postępy odezwę się.

Dziękuję za starania.

 

 

A więc tak.

Wsadziłem płytkę instalacyjną XP. Pozwoliłem jej działać i otrzymałem blue screen:

 

 

Następnie wsadziłem płytkę z Widows 7 Home Premium i niestety nie ruszyla. Pojawił się napis boot ready, ale reakcji brak.

 

Wsadzilem płytkę z Windows Vista Home Premium i również żadnej reakcji ze strony napędu. Odliczanie było ale magiczne boot ready się nie pojawiło. Pojawił mi się ekran wyboru trybu (awaryjny, awaryjny z siecia..), ale nie moglem nawet zareagować bo automatycznie włączyła się opcja trybu normalnego.

 

Z ciekawości czy aby na pewno z moim napędem jest wszystko ok wsadziłem Kaspersky rescue disk. Poszło. Dla ciekawości dodam jeszcze, że przy okazji odpalenia Kaspersyego przeskanowałem pendrive który miał być zainfekowany. Program wykrył: worm.win32.bundpil.abr

 

Nie wiem w sumie co teraz miałbym zrobić. Teoretycznie nie mogę nawet zainstalować nowego systemu. Nie jestem też do końca pewny czy mogę rozłączyć dski z RAID w Biosie i po prostu spróbować sformatować jeden z nich i wgrać na niego nowy system...

[picasso]

Wsadziłem płytkę instalacyjną XP. Pozwoliłem jej działać i otrzymałem blue screen

 

To sobie mogłeś darować, choć owszem chyba niejasno się wyraziłam. Ja nie bez powodu nie polecam tu nic tak starego. Płyty XP to archaizmy pozbawione sterowników AHCI/RAID, stąd masz charakterystyczny BSOD. Taka płyta wymaga przerobienia jej zupełnie od nowa (integracja sterowników RAID w źródle płyty) lub podczas bootowania z takiej płyty musiałbyś zaincjować F6 i z dyskietki podać sterowniki RAID. Poza tym, skąd tu pomysł płyty instalacyjnej XP? Ona nic nam nie daje, bardzo ograniczony system, logów nie zrobisz, kopiowania danych w łatwy sposób też nie. Polecałam WinRE, które daje bardzo duże możliwości, i w tej kwestii:

 

 

Wsadzilem płytkę z Windows Vista Home Premium i również żadnej reakcji ze strony napędu. Odliczanie było ale magiczne boot ready się nie pojawiło. Pojawił mi się ekran wyboru trybu (awaryjny, awaryjny z siecia..), ale nie moglem nawet zareagować bo automatycznie włączyła się opcja trybu normalnego.

 

Co to za płyta Vista (oryginał / pirat)? Czy ona bootuje na innym komputerze? Co z polecanym przeze mnie dyskiem naprawczym na silniku Windows 7, próbowałeś to?

 

 

Teoretycznie nie mogę nawet zainstalować nowego systemu. Nie jestem też do końca pewny czy mogę rozłączyć dski z RAID w Biosie i po prostu spróbować sformatować jeden z nich i wgrać na niego nowy system...

 

I ja tu na razie nie zmierzam do żadnej instalacji systemu. Ja zmierzam do stworzenia raportu z poziomu WinRE, by móc usunąć infekcję ręcznie.

 

 

.

[krismf]

Witam po dłuższej przerwie. 

 

Chciałem serdecznie podziękować Picasso za chęć niesienia pomocy i za wskazówki, które zostały mi udzielone.

 

Poradziłem sobie z tym problemem pośrednio dzięki właśnie temu forum i chciałbym podzielić się z Wami jak to zrobiłem. 

 

W moim przypadku potrzebne były tylko 2 katalogi (około 15GB) które zostawiłem na pulpicie a reszta była bez problemu do zastąpienia lub znajdowała się na innym dysku. Z przyzwyczajenia nadal działałem na Windows XP co w obecnych czasach może być wręcz śmieszne i było błędem. 

 

Rozwiązanie problemu: Na pendrive zainstalowałem Linuxa bootowalnego z nośnika. Po wejściu w system moje dyski RAID 0 (C:/) były dla niego widoczne jako jeden dysk i miałem dostęp do wszystkich plików. Zgrałem co chciałem i zainstalowałem Windows 7. Myślę, że nie ma tego złego co by na dobre nie wyszło, gdyż demonizowanie innych systemów niż Windows XP było błędem. Windows 7 jest bardzo przyjemny i łatwy w obsłudze.

 

Pozdrowienia dla Picasso i furomowiczów,

Krzysztof