Wirus Ukash, komunikat policji przed uruchomieniem systemu
#1
Posted 09 August 2013 - 15:56
Logi z TDSSKiller - http://wklej.org/id/1104531/
Logi z OTL - http://wklej.org/id/1104533/
Logi z Extras - http://wklej.org/id/1104534/
#2
Posted 09 August 2013 - 22:51
Uruchom z niej komputer, przeskanuj i usuń wszystko co znajdzie
Lub znalazłem też coś takiego:
Lub zobacz tutaj pierwszą metodę: KLIK1. Gdy już masz wirusa, wyłączasz sieć w domu. TO BARDZO WAŻNE!
2. Restartujesz kompa. Włączy się, ale zamiast strony z napisem tu policja, masz biały ekran (tak się dzieje, bo odłączyłeś sieć i komputer jest offline). Przyciskasz guzik wyłączania komputera.
3. Czekasz sekundę aż komp zakończy wyłączanie programów siłą i szybko klikasz anuluj. Teraz komputer działa jak powinien, ale wirus wciąż w nim jest i przy następnym starcie będziesz miał zablokowany ekran. Musisz więc działać!
4. Włączasz sieć w domu i ściągasz program, np. Malwarebytes Anti-Malware. Skanujesz rejestr. Wyrzuca wirus i po sprawie!
#3
Posted 10 August 2013 - 08:14
PS@ Nic nie zadziałało Pragnę jeszcze nadmienić, że mogę korzystać z komputera w owy sposób: wchodzę na stronę z której mogę coś pobrać np. muzykę, następnie ową muzykę pobieram i gdy pyta mnie gdzie chce to zapisać to ja wtedy szukam np. folderu z antywirusem i naciskam na plik uruchamiający antywirusa prawym przyciskiem myszki, a następnie wciskam "Uruchom jako Administrator".. i gotowe Tak odpaliłem Dr.WEB'a. No ale przeskanował mi komputer.. i nic. Znalazł 3 trojany które usunął ale problem dalej jest. Metoda druga także nie zadziałała. Wyłaczyłem sieć ale dalej był pulpit z napisem, że "policja" bloknęła mi kompa. No cóż, trudno, wyłączyłem komputer przyciskiem, by wymusić zamknięcie systemu i w ostatniej chwili kliknąłem "Anuluj". Pojawił się na chwilkę pulpit ale potem znowu powrócił obraz, w którym "policja" próbuje ode mnie wymusić kasę. Co do sposobu trzeciego.. Wirus który zaraził mój komputer blokuje także tryb awaryjny z wierszem polecenia. Więc i ten sposób nie zadziała Spróbuje jeszcze odpalić ten program "Malwarebytes Anti-Malware", może zadziała.
#4
Posted 10 August 2013 - 08:56
Dr.WB CureIt służy do skanowania pod systemem, z to nie jest Live CD...Jak masz inny komputer i możesz nagrać to nagraj na płytę Dr.WEB CureIt
Uruchom z niej komputer, przeskanuj i usuń wszystko co znajdzie
1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:
Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie pokaż raport z usuwania.:OTL
O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\1\Documents\DCSCMIN\IMDCSC.exe) - File not found
O20 - AppInit_DLLs: (c:\progra~3\browse~2\261519~1.190\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
O4 - HKU\S-1-5-21-3374562511-2249349261-2254905696-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O2 - BHO: (Braowwsee2save) - {7C903099-34BB-B63A-6C20-0083D97349C7} - C:\ProgramData\Braowwsee2save\51571a7434868.dll File not found
O2 - BHO: (Breowse2savue) - {9A5F2933-A001-7939-EABD-142DB83086C6} - C:\ProgramData\Breowse2savue\515711d705663.dll File not found
DRV:64bit: - [2013-08-08 21:57:42 | 006,220,856 | ---- | M] () [Unknown (-1) | "Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
DRV:64bit: - [2013-08-08 21:57:02 | 000,046,528 | ---- | M] () [Kernel | System | Unknown] -- C:\Windows\SysNative\drivers\vBszKyhV2.sys -- (vBszKyhV2)
SRV:64bit: - [2013-08-08 21:57:42 | 006,220,856 | ---- | M] () ["Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
[2013-08-09 13:24:54 | 000,001,034 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013-08-09 13:21:00 | 000,001,038 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013-08-09 12:34:01 | 000,000,930 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013-08-08 21:57:42 | 006,220,856 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV.bmp
[2013-08-08 21:57:15 | 000,702,464 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV2.exe
[2013-08-08 21:57:09 | 000,680,448 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV1.exe
[2013-08-08 21:57:03 | 000,004,096 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV.dll
[2013-08-08 21:57:02 | 000,046,528 | ---- | M] () -- C:\Windows\SysNative\drivers\vBszKyhV2.sys
[2013-08-08 21:56:57 | 000,031,232 | ---- | M] () -- C:\Windows\SysNative\vBszKyhVp.dll
:Commands
[emptyflash]
[emptyjava]
[emptytemp]
2. Wykonaj deinstalację BrowserProtect + BrowseToSave 1.74
3. Do użycia: Emsisoft Decrypt_mblblock.exe + Emsisoft Decrypter for Harasom
4. Po tych wszystkich czynnościach wracasz z nowym kompletem logów z OTL. Dodatkowo dorzuć mi raport z AdwCleaner z opcją Usuń.
#5
Posted 10 August 2013 - 16:39
Raport z usuwania: http://wklej.org/id/1105178/
Raport z OTL (nowy): http://wklej.org/id/1105237/
Raport z Extras (nowy): http://wklej.org/id/1105238/
Raport z AdwCleaner: http://wklej.org/id/1105239/
#6
Posted 10 August 2013 - 16:50
Linkuje do kolejnych programów:
http://www.f-secure....s/00002349.html
http://download.bitd...nsom_IcePol.exe
http://www.avira.com...le_unlocker.zip
Lista plików:
[2013-08-08 23:26:54 | 000,436,992 | ---- | C] () -- C:\Users\1\RootPackGen.xml.crypted
[2013-08-08 23:26:54 | 000,183,936 | ---- | C] () -- C:\Users\1\Pakowanie.xml.crypted
[2013-08-08 23:26:54 | 000,000,640 | ---- | C] () -- C:\Users\1\Rozpakowywanie.xml.crypted
[2013-08-08 23:26:53 | 000,000,640 | ---- | C] () -- C:\Users\1\gs.rar.crypted
[2013-08-08 23:19:55 | 000,052,736 | ---- | C] () -- C:\Users\1\Documents\Untitled.veg.crypted
[2013-08-08 23:19:55 | 000,052,096 | ---- | C] () -- C:\Users\1\Documents\ts3_clientui-win32-15001-2013-04-05 23_28_56.049793.dmp.crypted
[2013-08-08 23:19:55 | 000,002,816 | ---- | C] () -- C:\Users\1\Documents\Register Vegas Pro.htm.crypted
[2013-08-08 23:19:54 | 006,946,436 | ---- | C] () -- C:\Users\1\Documents\DSCN1962.JPG.crypted
[2013-08-08 22:47:30 | 005,991,936 | ---- | C] () -- C:\Users\1\AppData\Roaming\minecraft.jar.crypted
[2013-08-08 22:47:30 | 002,339,712 | ---- | C] () -- C:\Users\1\AppData\Roaming\modpack.jar.crypted
[2013-08-08 22:47:28 | 054,480,663 | ---- | C] () -- C:\Users\1\AppData\Roaming\Minecraft 1.5.1.exe.crypted
[2013-08-08 22:34:54 | 000,008,448 | ---- | C] () -- C:\Users\1\AppData\Local\Resmon.ResmonCfg.crypted
[2013-08-08 22:34:54 | 000,004,224 | ---- | C] () -- C:\Users\1\AppData\Local\recently-used.xbel.crypted
[2013-08-08 22:34:54 | 000,003,968 | ---- | C] () -- C:\Users\1\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.crypted
#7
Posted 10 August 2013 - 17:09
PS@ Ok, ostatni sprawdziłem i szczerze nie mam pojęcia jak go uruchomić. Spróbowałem zmienić folder zip, by otwierała go JAVA. Nie wiem czy zrobiłem głupio czy sprytnie.. ale nic nie zadziałało więc raczej to pierwsze.
#8
Posted 10 August 2013 - 17:27
W AdwCleaner wciśnij USUŃ i daj raport.Yymm, jak rozumiem mam w AdwCleanerze usunąć te pliki?
Zobacz te programy:
http://www.trojaner-...gstrojaner.html
jako ścieżke ustaw C:\Users\1
zobacz też ten:
http://www.trojaner-...gstrojaner.html
#9
Posted 10 August 2013 - 17:46
Pierwszy program: http://scr.hu/0o3u/tu3hw
Drugi program: wymaga ode mnie czystego pliku oraz zakodowanego. nie rozumiem logiki tych ludzi
Myślisz, że da się jeszcze odratować te pliki? Mam "zarażony" cały folder Moich Dokumentów Wszelkie zapisy z gier pójdą na marne No ale cóż, i tak zrobiłeś dla mnie więcej niż ktokolwiek inny jeśli chodzi o ten problem. Jestem Ci dozgonnie wdzięczny, że teraz mogę normalnie korzystać z komputera . Nie musisz męczyć się tym problemem. Widocznie jest nie do rozwiązania
#10
Posted 10 August 2013 - 19:59
Do użycia ComboFix: http://www.bleepingc...uzycia-combofix
wklej raport
Zaznaczyłeś w programie Advanced mode ?Pierwszy program: http://scr.hu/0o3u/tu3hw
Masz jeszcze program od Kasperskiego: http://media.kaspers...stdecryptor.exe
niestety, pliki trzeba pojedyńczo zaznaczać...
#11
Posted 10 August 2013 - 23:33
Myślałem właśnie o Dr.Web LiveCD, ale wkleiłem co innego... Ale jak widać autor sobie jakoś poradził.Dr.WB CureIt służy do skanowania pod systemem, z to nie jest Live CD...
#12
Posted 11 August 2013 - 10:54
PS@ Logi:
OTL - http://wklej.org/id/1105717/
Extras - http://wklej.org/id/1105718/
#13
Posted 11 August 2013 - 10:58
#15
Posted 11 August 2013 - 11:46
A Tobie udało się w jakiś sposób odblokować te pliki .crypted?
#16
Posted 11 August 2013 - 12:11
#17
Posted 11 August 2013 - 12:21
#18
Posted 11 August 2013 - 13:22
1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:
Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie pokaż raport z usuwania.:OTL
O9:64bit: - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found
DRV:64bit: - [2013-08-10 21:03:09 | 006,220,856 | ---- | M] () [Unknown (-1) | "Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
DRV:64bit: - [2013-08-10 21:02:28 | 000,046,528 | ---- | M] () [Kernel | System | Unknown] -- C:\Windows\SysNative\drivers\vBszKyhV2.sys -- (vBszKyhV2)
SRV:64bit: - [2013-08-10 21:03:09 | 006,220,856 | ---- | M] () ["Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
[2013-08-10 21:03:09 | 006,220,856 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV.bmp
[2013-08-10 21:02:43 | 000,702,464 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV2.exe
[2013-08-10 21:02:35 | 000,680,448 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV1.exe
[2013-08-10 21:02:29 | 000,004,096 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV.dll
[2013-08-10 21:02:28 | 000,046,528 | ---- | C] () -- C:\Windows\SysNative\drivers\vBszKyhV2.sys
[2013-08-10 21:02:23 | 000,031,232 | ---- | C] () -- C:\Windows\SysNative\vBszKyhVp.dll
:Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
2. Użyj ComboFixa i wklej z niego log (jak nie działa to próbuj w Trybie Awaryjnym)!
3. Uruchom SystemLook i wklej:
:reg HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders :filefind vBszKyh baxitkcw :regfind vBszKyh baxitkcwKlik w Look i przedstaw log.
4. Dorzuć jeszcze raport z TDSSKiller.
@kamil90hg - proszę założyć własny wątek.
#19
Posted 11 August 2013 - 13:43
Log z Combofixa - http://wklej.org/id/1105835/
Log z SystemLook - http://wklej.org/id/1105837/
Log z TDSSKillera - http://wklej.org/id/1105912/
PS@ Zauważyłem bardzo dziwną rzecz. Mianowicie, pamiętasz ten log z AdwCleanera? Jest on teraz plikiem .crypted DODATKOWO! Program do robienia ss także został CAŁKOWICIE zarażony tym wirusem. To samo gra LeagueOfLegends. O dziwo! Są to te rzeczy których używałem wczoraj.. Spróbuje jeszcze tym programem co mi podałeś wcześniej tylko w trybie Advanced..
PPS@ Program w trybie Advanced wymagał ode mnie pliku oryginalnego i uszkodzonego. No więc ja taki posiadam, tzn. log z AdwCleanera na dysku jest uszkodzony, (http://scr.hu/0o3u/o017x
) a w internecie cały. Więc podałem ścieżki do uszkodzonego pliku jak i oryginalnego. Załapało. Następnie wybrałem jakiś folder, by mi go oczyściło. Tzn. ten co ty mi kazałeś wybrałem (C:\Users\1 bodajże).. i nic. Nie wykrywa infekcji Kaspersky to samo. Nie wykrywa nic. Przy okazji ogarnąłem też inne programy które wymagało ode mnie czystego i zakodowanego pliku. Większość nie wykrywała infekcji, a w niektórych wystąpiły inne błędy ..
PPPS@ Jak coś to pobrałem wtedy 3 trainery. W tym dniu znaczy się. Jestem pewien, że to od nich się zaczęło. Cały czas mam do nich linki, wątpię, że to coś, by pomogło ale jak coś to mogę podać.
Cholerka, jak tak teraz patrzę to połowę moich gier mam właśnie zainfekowanych. Wczoraj aż tak nie było !
#20
Posted 11 August 2013 - 20:09
Folder:: c:\users\UpdatusUser\AppData\Local\temp c:\users\Public\AppData\Local\temp c:\users\Default\AppData\Local\temp Driver:: 2004CC287 dmvsc EagleX64 X6va008 X6va011 X6va012 Dir:: C:\Windows\SysWOW64\config\systemprofile\AppData Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va008] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va011] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va012] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\vBszKyhV2.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\vBszKyhV2.sys]>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie (i powstanie log na końcu). Daj ten log.
2. Widzę szczątki ESETa. Odinstaluj go tym: Eset Uninstaller Tool.
Spakuj mi te Trainery i wyślij.PPPS@ Jak coś to pobrałem wtedy 3 trainery. W tym dniu znaczy się. Jestem pewien, że to od nich się zaczęło. Cały czas mam do nich linki, wątpię, że to coś, by pomogło ale jak coś to mogę podać.
2 user(s) are reading this topic
0 members, 2 guests, 0 anonymous users