Jerry Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 Witam, System to windows 7, 32 bit. Ogólnie uruchomieniu w jakimkolwiek trybie towarzyszy ekran informujący o zablokowaniu komputera i możliwości odblokowania po wpłacie 200 euro. Próbowałem pozbyć się tego poprzez uruchamianie kaspersky rescue disk jednak efektu to nie przyniosło. W załączeniu przeysłam log z OLT wykonany dzięki płycie LiveCD autorstwa OldTimera. Próbowałem uruchomić gmer ale nie chce skanować partycji F, na której jest orginalny windows 7. Skanuje dysk X ( z płytą OLT) i wyrzuca błąd już przy pierwszym skanie X:\i386\system32\config\system: The system cannot find the file specified. Czy i w jaki sposób istnieje możliwość wykreowania logu z GMER? Z góry dziękuję za pomoc OTL.Txt Odnośnik do komentarza
picasso Opublikowano 22 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 22 Sierpnia 2013 System Windows 7 x64, więc bardziej pożądanym logiem jest z innego narzędzia. F8 > Napraw komputer > Wiersz polecenia i uruchom zgodnie z opisem FRST. Próbowałem uruchomić gmer ale nie chce skanować partycji F, na której jest orginalny windows 7. Skanuje dysk X ( z płytą OLT) i wyrzuca błąd już przy pierwszym skanie X:\i386\system32\config\system: The system cannot find the file specified. Czy i w jaki sposób istnieje możliwość wykreowania logu z GMER? GMER nie jest przeznaczony do uruchamiania z poziomu środowisk zewnętrznych. . Odnośnik do komentarza
Jerry Opublikowano 23 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2013 log z frst FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2013 Widzę, że to jakaś nowa wersja blokady oparta o sterownik i edycję BCD (otworzenie furtki dla niepodpisanych cyfrowo sterowników). Przeprowadź następujące akcje: 1. Przygotuj w Notatniku skrypt naprawczy: testsigning: ==> Check for possible unsigned rootkit driver S1 vBszKyhV2; C:\Windows\system32\drivers\vBszKyhV2.sys [46528 2013-08-08] () S3 dgderdrv; System32\drivers\dgderdrv.sys [x] 2013-08-08 11:18 - 2013-08-08 11:18 - 04320056 _____ C:\Windows\System32\vBszKyhV.bmp 2013-08-08 11:18 - 2013-08-08 11:18 - 00702464 _____ C:\Windows\System32\vBszKyhV2.exe 2013-08-08 11:18 - 2013-08-08 11:18 - 00680448 _____ C:\Windows\System32\vBszKyhV1.exe 2013-08-08 11:18 - 2013-08-08 11:18 - 00046528 _____ C:\Windows\System32\Drivers\vBszKyhV2.sys 2013-08-08 11:18 - 2013-08-08 11:18 - 00004096 _____ C:\Windows\System32\vBszKyhV.dll 2013-08-08 11:17 - 2013-08-08 11:17 - 00031232 _____ C:\Windows\System32\vBszKyhVp.dll 2013-08-13 12:13 - 2010-11-20 19:24 - 00000000 __SHD C:\Users\mookie\AppData\Roaming\ecahgwue 2013-08-13 11:03 - 2013-08-13 11:03 - 00000000 __SHD C:\found.000 2013-08-20 08:17 - 2013-08-20 08:17 - 00000000 __SHD C:\found.001 Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. 2. F8 > Napraw komputer > Wiersz polecenia > uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Sprawdź czy jesteś w stanie wejść normalnie do Windows. Jeśli tak, to zrób nowe logi spod Windows: FRST (ma powstać plik Addition) oraz OTL. Dołącz fixlog.txt. . Odnośnik do komentarza
Jerry Opublikowano 23 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 23 Sierpnia 2013 windows uruchamia się, jednak zanim zdąże cokolwiek zrobić pojawia się niebieski ekran (zdjęcie w załączniku) nowy Log z frst zrobiony z poziomu WinRe first1.txt oraz z windowsa w trybie awaryjnym frst.txt W trybie awaryjnym grafika jest totalnie rozjechana i po uruchomieniu OTL pojawia się puste okno programu Addition.txt FRST.txt FRST(1).txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 23 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 23 Sierpnia 2013 Wg fixlist.txt wszystko poszło dobrze, w nowych logach nie widzę oznak infekcji. Hmmm.. Wypróbuj: F8 > Napraw komputer > Narzędzie do naprawy systemu podczas uruchomienia. . Odnośnik do komentarza
Jerry Opublikowano 24 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 Windows startuje i wszystko jest ok póki nie nacisnę klawisza touchpada. Po tym pojawia się bluescreen. Zeskanowałem OTL z LiveCD Odnośnik do komentarza
picasso Opublikowano 24 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 OTL z LiveCD nie jest mi potrzebny (i w nim jest wbudowana bardzo stara wersja OTL), nic nie wnosi. FRST już wszystko powiedział. Usuwam zbędne załączniki. OTL Windows startuje i wszystko jest ok póki nie nacisnę klawisza touchpada. To może spróbuj przeinstalować sterowniki Elantech do touchpada. ==================== Installed Programs ======================= ETDWare PS/2-X64 8.0.7.1_WHQL (Version: 8.0.7.1) . Odnośnik do komentarza
Jerry Opublikowano 24 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 24 Sierpnia 2013 Po wielu próbach przywracania wkońcu się udało. Dla sprawdzenia dołączam logi z OTL i FRST wykonane już pod oryginalnym windowsem. Addition.txt Extras.Txt FRST.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 25 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 25 Sierpnia 2013 Opisz mi dokładnie jakie operacje prowadziłeś w ramach "przywracania". To może mi się przydać do innych przypadków z tą infekcją. A w logach wszystko w porządku, tylko drobne akcje: 1. Odinstaluj adware AVG Security Toolbar oraz zdezelowany Skaner on-line mks_vir. 2. Otwórz Notatnik i wklej w nim: Task: {24891BE1-6DE6-4AB1-86FA-B694F56B74C2} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\windows\TEMP\{54FF21BF-B82E-40FA-A819-38FEBE6C1DC5}.exe No File Task: {A31C00E6-6751-44A0-8C72-5AA6616CDC0C} - System32\Tasks\{FD045152-907E-4C58-B4AB-431CDEE76F1B} => C:\Program Files (x86)\Internet Explorer\iexplore.exe [2013-07-26] (Microsoft Corporation) Task: {CB331C6A-230C-4EAB-B355-EC371EFEBE20} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe No File Task: C:\windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\windows\TEMP\{54FF21BF-B82E-40FA-A819-38FEBE6C1DC5}.exe HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.com/?cid={66EA1C38-D5D4-4980-AD46-73F668F5DD28}&mid=a44397c154f147d0ab8a653dd91f8635-8da62b84657fd5cb7c318043098fd7c0f3a8dd60&lang=pl&ds=xn011&pr=sa&d=2013-01-20 12:13:46&v=13.3.0.17&sap=hp SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={66EA1C38-D5D4-4980-AD46-73F668F5DD28}&mid=a44397c154f147d0ab8a653dd91f8635-8da62b84657fd5cb7c318043098fd7c0f3a8dd60&lang=pl&ds=xn011&pr=sa&d=2013-01-20 12:13:46&v=15.2.0.5&pid=avg&sg=0&sap=dsp&q={searchTerms} Toolbar: HKCU - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} http://www.mks.com.pl/skaner/SkanerOnline.cab Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST (bez Addition). Dołącz fixlog.txt. . Odnośnik do komentarza
Jerry Opublikowano 28 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 28 Sierpnia 2013 Próbowałem przywracać za pomocą narzędzi samsunga do naprawiania systemu podczas uruchamiania. Przed naprawą system się uruchamiał ale ikony nie miały podpisów, kliknięcie prawym przyciskiem na ekranie otwierało białe okno z dwoma strzałkami, żadnych napisów itd. Ogólny stan taki jakby coś z grafiką było nie tak. Dopiero podczas której próby naprawy wybrałem chyba przywrócenie do ostatniej dobrej konfiguracji i wtedy zaczął faktycznie naprawiać. Trwało to chyba kilkanaście minut. Poprzednie naprawy kończyły się dużo szybciej i nic nie dawały. Teraz tylko borykam się trochę z BSOD, sprawdziłem pamięć memtestem jest ok. Jeszcze sprawdzę dysk. Odinstalowałem oba programy dalem fix i zeskanowałem. Nie wiem czy ma to znaczenie ale zrobiłem to w odwrotnej kolejności. Najpierw uzyłem frst a potem odinstalowałem avg i mks. Dołączam logi Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 29 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 29 Sierpnia 2013 Akcje wykonane, ale jeszcze drobnostki: 1. Preferencje Google Chrome wyglądają na uszkodzone i stoi tam adware: Chrome: ======= CHR HomePage: hxxp://www.searchnu.com/406 CHR RestoreOnStartup: "hxxp://www.searchnu.com/406"]},"tabs":{"use_vertical_tabs" Proponuję przeinstalować przeglądarkę. Po deinstalacji usuń folder C:\Users\mookie\AppData\Local\Google\Chrome. 2. Usunięcie szczątków AVG i Avast. Otwórz Notatnik i wklej w nim: U4 avgtp; C:\windows\system32\aswBoot.exe C:\Program Files\AVAST Software C:\ProgramData\AVAST Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 3. Uruchom TFC - Temp Cleaner. . Odnośnik do komentarza
Jerry Opublikowano 30 Sierpnia 2013 Autor Zgłoś Udostępnij Opublikowano 30 Sierpnia 2013 fixlog poniżej Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 31 Sierpnia 2013 Zgłoś Udostępnij Opublikowano 31 Sierpnia 2013 Skrypt wykonany poprawnie. Kolejne akcje: 1. Porządki po narzędziach: przez SHIFT+DEL skasuj foldery C:\FRST + C:\Kaspersky Rescue Disk 10.0, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Na wszelki wypadek zrób skan w Malwarebytes Anti-Malware. Jeżeli coś zostanie wykryte, przedstaw raport. . Odnośnik do komentarza
Jerry Opublikowano 8 Września 2013 Autor Zgłoś Udostępnij Opublikowano 8 Września 2013 Raport z MBAM MBAM-log-2013-09-08 (20-24-21).txt Odnośnik do komentarza
picasso Opublikowano 9 Września 2013 Zgłoś Udostępnij Opublikowano 9 Września 2013 1. Wyniki MBAM: po prostu śmieci adware (folder Search Results Toolbar + instalator adware D:\Malwarebytes-AntiMalware(13117).exe), wszystko do usunięcia. I uwaga na temat pliku D:\Malwarebytes-AntiMalware(13117).exe = to nie jest poprawny instalator MBAM, tylko śmieć "Asystent pobierania" dobrychprogramów.pl, który instaluje adware w systemie. Nigdy więcej nie pobierać z tego portalu metodą Asystenta. 2. Natomiast ja wrócę jeszcze do tytułowej infekcji: ta infekcja (Win64/Vabushky.A) powinna także szyfrować masowo dane na dysku. Niestety nie ma deszyfratora i dane pewnie do śmieci. Zrób szukanie na wszystkich dyskach i powiedz mi czy znajdujesz jakieś pliki o rozszerzeniu *.crypted. . Odnośnik do komentarza
Jerry Opublikowano 10 Września 2013 Autor Zgłoś Udostępnij Opublikowano 10 Września 2013 znalazłem kilkanaście plików o tym rozszerzeniu. Wszystkie dotycząc oprogramowania firmy Insert (Subiekt GT itp.) Odnośnik do komentarza
picasso Opublikowano 10 Września 2013 Zgłoś Udostępnij Opublikowano 10 Września 2013 Skoro tylko kilkanaście plików, to Ci się upiekło. Na forum tu był przypadek zaszyfrowania kilkuset tysięcy plików... Usuń te pliki *.crypted, przeinstaluj oprogramowanie Insert. Na zakończenie: 1. Zaktulizuj wyliczone poniżej pozycje: KLIK. ==================== Installed Programs ======================= Adobe Flash Player 11 Plugin (x32 Version: 11.7.700.224) ----> wtyczka dla Opera/Firefox Adobe Reader 9.2 - Polish (x32 Version: 9.2.0) Java 7 Update 17 (x32 Version: 7.0.170) Opera 12.15 (x32 Version: 12.15.1748) Skype™ 5.10 (x32 Version: 5.10.116) 2. Zmień hasła logowania w serwisach. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się