Infekcja Ukash - brak możliwości uruchomienia systemu w jakimkolwiek trybie

[Jerry]

Witam,

 

System to windows 7, 32 bit.

Ogólnie uruchomieniu w jakimkolwiek trybie towarzyszy ekran informujący o zablokowaniu komputera i możliwości odblokowania po wpłacie 200 euro.

 

Próbowałem pozbyć się tego poprzez uruchamianie kaspersky rescue disk jednak efektu to nie przyniosło.

W załączeniu przeysłam log z OLT wykonany dzięki płycie LiveCD autorstwa OldTimera. Próbowałem uruchomić gmer ale nie chce skanować partycji F, na której jest orginalny windows 7. Skanuje dysk X ( z płytą OLT) i wyrzuca błąd już przy pierwszym skanie

X:\i386\system32\config\system: The system cannot find the file specified.

 

Czy i w jaki sposób istnieje możliwość wykreowania logu z GMER?

 

Z góry dziękuję za pomoc

OTL.Txt

[picasso]

System Windows 7 x64, więc bardziej pożądanym logiem jest z innego narzędzia. F8 > Napraw komputer > Wiersz polecenia i uruchom zgodnie z opisem FRST.

 

 

Próbowałem uruchomić gmer ale nie chce skanować partycji F, na której jest orginalny windows 7. Skanuje dysk X ( z płytą OLT) i wyrzuca błąd już przy pierwszym skanie

 

X:\i386\system32\config\system: The system cannot find the file specified.

 

Czy i w jaki sposób istnieje możliwość wykreowania logu z GMER?

GMER nie jest przeznaczony do uruchamiania z poziomu środowisk zewnętrznych.

 

 

 

.

[Jerry]

log z frst

FRST.txt

[picasso]

Widzę, że to jakaś nowa wersja blokady oparta o sterownik i edycję BCD (otworzenie furtki dla niepodpisanych cyfrowo sterowników). Przeprowadź następujące akcje:

 

1. Przygotuj w Notatniku skrypt naprawczy:

 

testsigning: ==> Check for possible unsigned rootkit driver 
S1 vBszKyhV2; C:\Windows\system32\drivers\vBszKyhV2.sys [46528 2013-08-08] ()
S3 dgderdrv; System32\drivers\dgderdrv.sys [x]
2013-08-08 11:18 - 2013-08-08 11:18 - 04320056 _____ C:\Windows\System32\vBszKyhV.bmp
2013-08-08 11:18 - 2013-08-08 11:18 - 00702464 _____ C:\Windows\System32\vBszKyhV2.exe
2013-08-08 11:18 - 2013-08-08 11:18 - 00680448 _____ C:\Windows\System32\vBszKyhV1.exe
2013-08-08 11:18 - 2013-08-08 11:18 - 00046528 _____ C:\Windows\System32\Drivers\vBszKyhV2.sys
2013-08-08 11:18 - 2013-08-08 11:18 - 00004096 _____ C:\Windows\System32\vBszKyhV.dll
2013-08-08 11:17 - 2013-08-08 11:17 - 00031232 _____ C:\Windows\System32\vBszKyhVp.dll
2013-08-13 12:13 - 2010-11-20 19:24 - 00000000 __SHD C:\Users\mookie\AppData\Roaming\ecahgwue
2013-08-13 11:03 - 2013-08-13 11:03 - 00000000 __SHD C:\found.000
2013-08-20 08:17 - 2013-08-20 08:17 - 00000000 __SHD C:\found.001

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST.

 

2. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Sprawdź czy jesteś w stanie wejść normalnie do Windows. Jeśli tak, to zrób nowe logi spod Windows: FRST (ma powstać plik Addition) oraz OTL. Dołącz fixlog.txt.

 

 

 

.

[Jerry]

windows uruchamia się, jednak zanim zdąże cokolwiek zrobić pojawia się niebieski ekran (zdjęcie w załączniku) nowy Log z frst zrobiony z poziomu WinRe first1.txt

oraz z windowsa w trybie awaryjnym frst.txt

W trybie awaryjnym grafika jest totalnie rozjechana i po uruchomieniu OTL pojawia się puste okno programu

Addition.txt

FRST.txt

FRST(1).txt

Fixlog.txt

[picasso]

Wg fixlist.txt wszystko poszło dobrze, w nowych logach nie widzę oznak infekcji. Hmmm..

 

Wypróbuj: F8 > Napraw komputer > Narzędzie do naprawy systemu podczas uruchomienia.

 

 

 

.

[Jerry]

Windows startuje i wszystko jest ok póki nie nacisnę klawisza touchpada. Po tym pojawia się bluescreen. Zeskanowałem OTL z LiveCD

[picasso]

OTL z LiveCD nie jest mi potrzebny (i w nim jest wbudowana bardzo stara wersja OTL), nic nie wnosi. FRST już wszystko powiedział. Usuwam zbędne załączniki. OTL

 

 

Windows startuje i wszystko jest ok póki nie nacisnę klawisza touchpada.

To może spróbuj przeinstalować sterowniki Elantech do touchpada.

 

==================== Installed Programs =======================
 

ETDWare PS/2-X64 8.0.7.1_WHQL (Version: 8.0.7.1)

 

 

.

[Jerry]

Po wielu próbach przywracania wkońcu się udało. Dla sprawdzenia dołączam logi z OTL i FRST wykonane już pod oryginalnym windowsem.

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

[picasso]

Opisz mi dokładnie jakie operacje prowadziłeś w ramach "przywracania". To może mi się przydać do innych przypadków z tą infekcją.

 

A w logach wszystko w porządku, tylko drobne akcje:

 

1. Odinstaluj adware AVG Security Toolbar oraz zdezelowany Skaner on-line mks_vir.

 

2. Otwórz Notatnik i wklej w nim:

 

Task: {24891BE1-6DE6-4AB1-86FA-B694F56B74C2} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{54FF21BF-B82E-40FA-A819-38FEBE6C1DC5}.exe No File
Task: {A31C00E6-6751-44A0-8C72-5AA6616CDC0C} - System32\Tasks\{FD045152-907E-4C58-B4AB-431CDEE76F1B} => C:\Program Files (x86)\Internet Explorer\iexplore.exe [2013-07-26] (Microsoft Corporation)
Task: {CB331C6A-230C-4EAB-B355-EC371EFEBE20} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe No File
Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{54FF21BF-B82E-40FA-A819-38FEBE6C1DC5}.exe
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={66EA1C38-D5D4-4980-AD46-73F668F5DD28}&mid=a44397c154f147d0ab8a653dd91f8635-8da62b84657fd5cb7c318043098fd7c0f3a8dd60&lang=pl&ds=xn011&pr=sa&d=2013-01-20 12:13:46&v=13.3.0.17&sap=hp
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={66EA1C38-D5D4-4980-AD46-73F668F5DD28}&mid=a44397c154f147d0ab8a653dd91f8635-8da62b84657fd5cb7c318043098fd7c0f3a8dd60&lang=pl&ds=xn011&pr=sa&d=2013-01-20 12:13:46&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms}
Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz fixlog.txt.

 

 

.

[Jerry]

Próbowałem przywracać za pomocą narzędzi samsunga do naprawiania systemu podczas uruchamiania. Przed naprawą system się uruchamiał ale ikony nie miały podpisów, kliknięcie prawym przyciskiem na ekranie otwierało białe okno z dwoma strzałkami, żadnych napisów itd. Ogólny stan taki jakby coś z grafiką było nie tak. Dopiero podczas której próby naprawy wybrałem chyba przywrócenie do ostatniej dobrej konfiguracji i wtedy zaczął faktycznie naprawiać. Trwało to chyba kilkanaście minut. Poprzednie naprawy kończyły się dużo szybciej i nic nie dawały.

Teraz tylko borykam się trochę z BSOD, sprawdziłem pamięć memtestem  jest ok. Jeszcze sprawdzę dysk.

 

Odinstalowałem oba programy dalem fix i zeskanowałem. Nie wiem czy ma to znaczenie ale zrobiłem to w odwrotnej kolejności. Najpierw uzyłem frst a potem odinstalowałem avg i mks.

 

Dołączam logi

Fixlog.txt

FRST.txt

[picasso]

Akcje wykonane, ale jeszcze drobnostki:

 

1. Preferencje Google Chrome wyglądają na uszkodzone i stoi tam adware:

 

Chrome:

=======

CHR HomePage: hxxp://www.searchnu.com/406

CHR RestoreOnStartup: "hxxp://www.searchnu.com/406"]},"tabs":{"use_vertical_tabs"

 

Proponuję przeinstalować przeglądarkę. Po deinstalacji usuń folder C:\Users\mookie\AppData\Local\Google\Chrome.

 

2. Usunięcie szczątków AVG i Avast. Otwórz Notatnik i wklej w nim:

 

U4 avgtp;
C:\windows\system32\aswBoot.exe
C:\Program Files\AVAST Software
C:\ProgramData\AVAST Software

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

3. Uruchom TFC - Temp Cleaner.

 

 

 

.

[Jerry]

fixlog poniżej

Fixlog.txt

[picasso]

Skrypt wykonany poprawnie. Kolejne akcje:

 

1. Porządki po narzędziach: przez SHIFT+DEL skasuj foldery C:\FRST + C:\Kaspersky Rescue Disk 10.0, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Na wszelki wypadek zrób skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport.

 

 

 

.

[Jerry]

Raport z MBAM

MBAM-log-2013-09-08 (20-24-21).txt

[picasso]

1. Wyniki MBAM: po prostu śmieci adware (folder Search Results Toolbar + instalator adware D:\Malwarebytes-AntiMalware(13117).exe), wszystko do usunięcia. I uwaga na temat pliku D:\Malwarebytes-AntiMalware(13117).exe = to nie jest poprawny instalator MBAM, tylko śmieć "Asystent pobierania" dobrychprogramów.pl, który instaluje adware w systemie. Nigdy więcej nie pobierać z tego portalu metodą Asystenta.

 

2. Natomiast ja wrócę jeszcze do tytułowej infekcji: ta infekcja (Win64/Vabushky.A) powinna także szyfrować masowo dane na dysku. Niestety nie ma deszyfratora i dane pewnie do śmieci. Zrób szukanie na wszystkich dyskach i powiedz mi czy znajdujesz jakieś pliki o rozszerzeniu *.crypted.

 

 

 

.

[Jerry]

znalazłem kilkanaście plików o tym rozszerzeniu. Wszystkie dotycząc oprogramowania firmy Insert (Subiekt GT itp.)

[picasso]

Skoro tylko kilkanaście plików, to Ci się upiekło. Na forum tu był przypadek zaszyfrowania kilkuset tysięcy plików... Usuń te pliki *.crypted, przeinstaluj oprogramowanie Insert. Na zakończenie:

 

1. Zaktulizuj wyliczone poniżej pozycje: KLIK.

 

==================== Installed Programs =======================
 

Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224) ----> wtyczka dla Opera/Firefox

Adobe Reader 9.2 - Polish (x32 Version: 9.2.0)

Java 7 Update 17 (x32 Version: 7.0.170)

Opera 12.15 (x32 Version: 12.15.1748)

Skype™ 5.10 (x32 Version: 5.10.116)

 

2. Zmień hasła logowania w serwisach.

 

 

 

.