Dziwne pliki + BSOD podczas włączenia trybu awaryjnego

[dockers]

Witam, dołączył mi się z niemieckiej strony jakiś program, który ładował się ze stratem sytemu. Nie pamiętam nazwy ale wiem, że wymagał wpłaty jakiejś tam kwoty w celu rejestracji. Utworzyłem płytę norton recovery i dzięki niej pozbyłem się szkodnika , który ładował się przy starcie. Nie jestem jednak przekonany czy to wystarczyło i zrobiłem logi w OTL. Gdybym mógł prosić o ich sprawdzenie będę wdzięczny. Oprócz tego zobaczyłem że wszystkie pliki na dysku d: pozmieniały swoją nazwę na dziwne krzaki. Przykład w załączniku. Poza tym nie da się uruchomić trybu awaryjnego - wyskakuje BSOD.

 

Dziękuję za pomoc.

Pozdrawiam

OTL.Txt

Extras.Txt

[Landuss]

Nie dałeś obowiązkowego loga z Gmer. A ComboFix po co tu był uruchamiany? Nic o tym nie wspominasz I gdzie jest log z jego pracy? Tym sposobem nie wiadomo co on tam narobił. Jeśli chodzi o obecne logi to nic tu właściwie nie ma oprócz nałożonych blokad na menedżer zadań i edytor rejestru. To w połączeniu z BSODem podczas wejścia w tryb awaryjny może sugerować, że tu była/jest infekcja Sality, która zaraża wszystkie pliki .exe na dysku. Nie jest to oczywiście pewne na tą chwilę.

 

Zacznij od wykonania poniższych zaleceń:

 

1. Pobierz SalityKiller. Wykonaj nim skan powtarzany tyle razy, dopóki nie uzyskasz zwrotu zero zainfekowanych.

 

2. Pobierz Sality_RegKeys, ze środka uruchom plik SafeBootWinXP.reg, potwierdzając import do rejestru.

 

3. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
 
:Services
Skype C2C Service
PEVSystemStart
HWDeviceService.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

4. Uruchamiasz OTL ponownie i wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL. Daj też znać czy SalityKiller coś wykazał i czy działa tryb awaryjny.

[dockers]

Dzięki, problem z plikami był już przed combofix'em. Combofix zablokował komputer jeszcze przed skanowaniem. Tak, że musiałem go wyłączyć przyciskiem.

SalityKiler w ostatnim wierszu znalazł 1 wpis w rejestrze, nic poza tym.

Po wykonaniu Sality RegKeys, jest już możliwe uruchomienie trybu awaryjnego - dzięki.

Podczas wykonywania skryptu w OTL, komputer się zawiesza i muszę go wyłączać z przycisku.

 

Nie wiem jak mogę odzyskać pliki z dysku D. Zmiana rozszerzenia zmienia tylko ikonę z domyślnej Windows np.: w katalogu zdjęcia mam te dziwne pliki ale ich wielkość nie uległa zmianie. Po dodaniu rozszerzenia jpg, ikona zmienia się z domyślnej na powiedzmy to normalna taką jaka była wcześniej. Jednak przy próbie otwarcia wyświetlana jest informacja, że podgląd jest niedostępny.

Czy jest jakiś sposób na odczytanie tych danych ? Co mogło być tego powodem. Dodam, że dotyczy to wszystkich plików na dysku D, katalogi mają poprawne nazwy. Dysk C bez zmian.

 

Dzięki, pozdrawiam.

OTL.Txt

[picasso]

Te pliki krzakowe na D wyglądają jak pliki zaszyfrowane przez trojana pokroju Win32/Trustezeb (porównaj jak tam wyglądają pliki i też w katalogu Dokumentów), a w takiej sytuacji ich odzysk jest niemożliwy bez właściwego deszyfratora. Co tu był za typ infekcji to zgadywanie, bo tylko tyle dostarczyłeś: "... dołączył mi się z niemieckiej strony jakiś program, który ładował się ze stratem sytemu. Nie pamiętam nazwy ale wiem, że wymagał wpłaty jakiejś tam kwoty w celu rejestracji. Utworzyłem płytę norton recovery i dzięki niej pozbyłem się szkodnika , który ładował się przy starcie."

 

 

 

.

Edytowane 27 Sierpnia 2012 przez picasso
27.08.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso