Bardzo uparty bsdriver

[Vendesum]

Witam,

Od kilku dni mam problem z adware i innymi wirusami. Po założeniu tematu na jednym z forów i uzyskaniu pomocy udało nam się wyczyścić prawie cały komputer z wyjątkiem bsdrivera.

Wygląda to tak że osoba która mi pomagała ( z jednego z forów, nie jestem na tyle głupi by robić to samodzielnie ) zleciła mi zrobienie kilku logów, tak też zrobiłem, próbowaliśmy usunąć tą usługę, wyłączyć, usunąć pliki i inne rzeczy. Kończy się to na tym że w prawie każdym logu widnieje napis o niemożności usunięcia tego.

Log z GMER'a: Tu jest taki problem też, że podczas tego pierwszego skana zaraz po włączeniu programu wyskakuje komunikat o zrobieniu dokładnego skana, jeżeli potwierdzę wybór klikając tak komputer się wysypuje i widzę blue screena dot. nadpisywania readonly memory. Jeżeli wcisnę nie, mogę wytworzyć jakiśtam log który też wrzucam.

Log z FRST jest w załączniku

 

http://forum.programosy.pl/problem-z-bsdriver-i-mpckpt-vt145781.html

Addition.txt

FRST.txt

Log z GMERa.txt

[picasso]

Brakuje trzeciego obowiązkowego pliku FRST Shortcut.

 

Sterownik bsdriver nakłada filtr na dysk twardy i jest konieczna specjalna komenda wypięcia tego filtra. Działanie to było prowadzone tu pomyślnie na forum w wielu tematach z tą infekcją i sterownik był usuwany "z palca". Operacje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CMD: fltmc detach bsdriver c: bsdriver
R1 bsdriver; C:\Windows\system32\drivers\bsdriver.sys [34712 2016-02-06] ()
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc)
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
C:\Program Files\Common Files\jvnqs0gz
C:\ProgramData\Airtostrongs
C:\ProgramData\ZWdMZ
C:\Program Files (x86)\KMSPico 10.0.6
C:\Users\Sobie\AppData\Local\Tempfolder
C:\Users\Sobie\AppData\LocalLow\Company
C:\Users\Sobie\AppData\Roaming\gplyra
C:\Users\Sobie\AppData\Roaming\IuwuoaFhgobj
C:\Users\Sobie\Downloads\CCleaner_Setup.exe
C:\uninst
C:\Windows\system32\das
C:\Windows\system32\gidi
C:\Windows\system32\drivers\bsdriver.sys
C:\Windows\system32\Drivers\cherimoya.sys
C:\Windows\system32\Drivers\MPCKpt.sys
C:\Windows\system32\Drivers\etc\hp.bak
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z zaległym Shortcut. Dołącz też plik fixlog.txt.

[Vendesum]

Dziękuje za odpowiedź.

Dorzucam trzy logi.

 

Fixlog.txt

FRST.txt

Shortcut.txt

[picasso]

bsdriver został usunięty pomyślnie, został tylko martwy wpis rejestru. Natomiast jest problem z usunięciem sterownika MPCKpt (odpadek po usunięciu MPC Cleaner). Prawdopodobnie jest tu podobna sprawa z filtrami i będę pobierać dodatkowe informacje.

 

Otwórz Notatnik i wklej w nim:

 

S1 bsdriver; \??\C:\Windows\system32\drivers\bsdriver.sys [X]
CMD: fltmc instances

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[Vendesum]

Proszę, udostępniam ostatni z logów.

Głęboko zazdroszczę tak obszernej wiedzy i liczę że sam kiedyś do takiego poziomu dojdę  Ofc. w pozytywnym sensie. Gratuluje.

Fixlog.txt

[picasso]

Tak jest, ta sama historia. MPCKpt jest podmontowany na woluminach. Kolejne podejście:

 

Otwórz Notatnik i wklej w nim:

 

CMD: fltmc detach MPCKpt C: "NPminifilter Instance"
CMD: fltmc detach MPCKpt D: "NPminifilter Instance"
CMD: fltmc detach MPCKpt F: "NPminifilter Instance"
CMD: fltmc detach MPCKpt \Device\HarddiskVolumeShadowCopy27 "NPminifilter Instance"
CMD: fltmc detach MPCKpt \Device\HarddiskVolumeShadowCopy54 "NPminifilter Instance"
CMD: fltmc detach MPCKpt \Device\Mup "NPminifilter Instance"
CMD: fltmc instances
R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc)
C:\Windows\System32\drivers\MPCKpt.sys

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Być może nastąpi restart. Przedstaw wynikowy fixlog.txt.

[Vendesum]

Postaram się wrzucać i odpowiadać na bierząco.

 

Z tego co widzę w tym logu sprawa chyba nie jest jeszcze załatwiona a czekam prawie 6 dni. Przypominam się.

Fixlog.txt

[picasso]

Niestety z jakiś względów ostatni zestaw komend zwrócił błąd. Ponów ten sam skrypt z poziomu Trybu awaryjnego Windows. Wejście do Trybu awaryjnego na Windows 10: Menu Start > Ustawienia > Aktualizacje i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart > w menu które się pojawi wybierz Rozwiąż problemy > Zaawansowane opcje rozruchu.

[picasso]

Przetestowałam instalację MPC Cleaner. Jego aktywnych sterowników i filtrów nie da się żadnym sposobem usunąć spod Windows przy udziale FRST, mają silne mechanizmy ochronne, a FRST nie posiada własnego sterownika, więc nie jest w stanie pracować na równorzędnym poziomie. Sterowniki da się usunąć tylko w środowisku zewnętrznym WinRE, a filtrów z tego nie poziomu nie trzeba wypinać. Czyli:

 

1. Przygotuj w Notatniku fixlist.txt o następującej zawartości:

 

R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-02-06] (DotC United Inc)
C:\Windows\System32\drivers\MPCKpt.sys

 

Plik fixlist.txt oraz FRST64.exe umieść na pendrive.

 

2. Uruchom FRST spod WinRE: KLIK. Klik w Fix (Napraw). Na pendrive powstanie fixlog.txt. Przedstaw ten plik.

[Vendesum]

Podrzucam log.

Dziękuje.

Fixlog.txt

[picasso]

Tym razem zgodnie z planem zadanie wykonane. Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.