26 odpowiedzi w tym temacie

[oskaru]

Witam! Otóż mam taki problem - wczoraj uruchomiłem sobie trainera do pewnej gry. Niestety był on zawirusowany. Nie mam antywirusa więc nic nie wykryło, ale sam zobaczyłem, że cały mój pulpit zmienił rozszerzenie na .CRYPTED. Pośpiesznie usunąłem proces wirusa z menadżera zadań oraz byłem zmuszony usunąć wszystko z pulpitu (głównie były tam skróty). Zainfekowano też mi część dysku C (moje dokumenty -.-) oraz cząstkę dysku D. Na dodatek gdy dzisiaj włączyłem komputer pojawił mi się komunikat, że policja zablokowała mi komputer i, by go odblokować muszę zapłacić 200 euro . Spróbowałem uruchomić kompouter w trybie awaryjnym. Nic, dalej jest ekran, że policja zablokowała mi komputer. Spróbowałem uruchomić sprzęt w trybie awaryjnym z wierszem polecenia. Też nic. Udało mi się w końcu uruchomić przeglądarkę pewnym sposobem. Otóż gdy klikam ikonkę w lewym dolnym ekranie logowania (nie pamiętam jaka to jest) to program "IVONA" prosi o uaktualnienie licencji. Klikam, że chce ją uaktualnić i włącza mi się Opera. No ale to tylko Opera. Spróbuję przez nią dodać logi OTL.


Logi z TDSSKiller - http://wklej.org/id/1104531/
Logi z OTL - http://wklej.org/id/1104533/
Logi z Extras - http://wklej.org/id/1104534/

[Kamillo]

Jak masz inny komputer i możesz nagrać to nagraj na płytę Dr.WEB CureIt
Uruchom z niej komputer, przeskanuj i usuń wszystko co znajdzie

Lub znalazłem też coś takiego:

1. Gdy już masz wirusa, wyłączasz sieć w domu. TO BARDZO WAŻNE!
2. Restartujesz kompa. Włączy się, ale zamiast strony z napisem tu policja, masz biały ekran (tak się dzieje, bo odłączyłeś sieć i komputer jest offline). Przyciskasz guzik wyłączania komputera.
3. Czekasz sekundę aż komp zakończy wyłączanie programów siłą i szybko klikasz anuluj. Teraz komputer działa jak powinien, ale wirus wciąż w nim jest i przy następnym starcie będziesz miał zablokowany ekran. Musisz więc działać!
4. Włączasz sieć w domu i ściągasz program, np. Malwarebytes Anti-Malware. Skanujesz rejestr. Wyrzuca wirus i po sprawie!

Lub zobacz tutaj pierwszą metodę: KLIK

[oskaru]

Ok, dzięki za pomoc. Popróbuje wszystkie sposoby.

PS@ Nic nie zadziałało Pragnę jeszcze nadmienić, że mogę korzystać z komputera w owy sposób: wchodzę na stronę z której mogę coś pobrać np. muzykę, następnie ową muzykę pobieram i gdy pyta mnie gdzie chce to zapisać to ja wtedy szukam np. folderu z antywirusem i naciskam na plik uruchamiający antywirusa prawym przyciskiem myszki, a następnie wciskam "Uruchom jako Administrator".. i gotowe Tak odpaliłem Dr.WEB'a. No ale przeskanował mi komputer.. i nic. Znalazł 3 trojany które usunął ale problem dalej jest. Metoda druga także nie zadziałała. Wyłaczyłem sieć ale dalej był pulpit z napisem, że "policja" bloknęła mi kompa. No cóż, trudno, wyłączyłem komputer przyciskiem, by wymusić zamknięcie systemu i w ostatniej chwili kliknąłem "Anuluj". Pojawił się na chwilkę pulpit ale potem znowu powrócił obraz, w którym "policja" próbuje ode mnie wymusić kasę. Co do sposobu trzeciego.. Wirus który zaraził mój komputer blokuje także tryb awaryjny z wierszem polecenia. Więc i ten sposób nie zadziała Spróbuje jeszcze odpalić ten program "Malwarebytes Anti-Malware", może zadziała.

[KamilJB]

Jak masz inny komputer i możesz nagrać to nagraj na płytę Dr.WEB CureIt
Uruchom z niej komputer, przeskanuj i usuń wszystko co znajdzie

Dr.WB CureIt służy do skanowania pod systemem, z to nie jest Live CD...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\1\Documents\DCSCMIN\IMDCSC.exe) - File not found
O20 - AppInit_DLLs: (c:\progra~3\browse~2\261519~1.190\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
O4 - HKU\S-1-5-21-3374562511-2249349261-2254905696-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O2 - BHO: (Braowwsee2save) - {7C903099-34BB-B63A-6C20-0083D97349C7} - C:\ProgramData\Braowwsee2save\51571a7434868.dll File not found
O2 - BHO: (Breowse2savue) - {9A5F2933-A001-7939-EABD-142DB83086C6} - C:\ProgramData\Breowse2savue\515711d705663.dll File not found
DRV:64bit: - [2013-08-08 21:57:42 | 006,220,856 | ---- | M] () [Unknown (-1) | "Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
DRV:64bit: - [2013-08-08 21:57:02 | 000,046,528 | ---- | M] () [Kernel | System | Unknown] -- C:\Windows\SysNative\drivers\vBszKyhV2.sys -- (vBszKyhV2)
SRV:64bit: - [2013-08-08 21:57:42 | 006,220,856 | ---- | M] () ["Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
[2013-08-09 13:24:54 | 000,001,034 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013-08-09 13:21:00 | 000,001,038 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013-08-09 12:34:01 | 000,000,930 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013-08-08 21:57:42 | 006,220,856 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV.bmp
[2013-08-08 21:57:15 | 000,702,464 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV2.exe
[2013-08-08 21:57:09 | 000,680,448 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV1.exe
[2013-08-08 21:57:03 | 000,004,096 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV.dll
[2013-08-08 21:57:02 | 000,046,528 | ---- | M] () -- C:\Windows\SysNative\drivers\vBszKyhV2.sys
[2013-08-08 21:56:57 | 000,031,232 | ---- | M] () -- C:\Windows\SysNative\vBszKyhVp.dll

:Commands
[emptyflash]
[emptyjava]
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie pokaż raport z usuwania.

2. Wykonaj deinstalację BrowserProtect + BrowseToSave 1.74

3. Do użycia: Emsisoft Decrypt_mblblock.exe + Emsisoft Decrypter for Harasom

4. Po tych wszystkich czynnościach wracasz z nowym kompletem logów z OTL. Dodatkowo dorzuć mi raport z AdwCleaner z opcją Usuń.

[oskaru]

Okay! Skrypt wkleiłem i uruchomił mi się normalnie komputer. Wielkie dzięki! Co do kroku drugiego - BrowseToSave 1.74 usunąłem ale BrowserProtect nie mogłem znaleźć w "Dodaj lub usuń programy". I jeszcze coś, otóż w punkcie trzecim podałeś mi dwa linki z których muszę skorzystać. Z pierwszego skorzystałem, tzn. tego - http://www.malwarere...crypt-protect/. Pobrałem ten cały mblblock.exe, uruchomiłem tak, by przeskanował dysk C i D no i.. przeskanował. Tutaj masz logi: http://wklej.org/id/1105225/. Tylko to w nich było . I teraz mam pytanie. Czy w tym pierwszym linku robić ten podpunkt "Decrypt Protect virus [Removal Guide]"? Co do drugiego linku.. Postępowałem zgodnie z instrukcjami.. i to było to samo co w pierwszym linku Oo. No ale cóż, przeskanowałem i logi wyszły DOKŁADNIE takie same. Dodatkowo, robić ten podpunkt "Run a scan with Emsisoft Anti-Malware"? Wybacz, że Cię tak męczę, jestem Ci dozgonnie wdzięczny za to, że mój komputer wreszcie się uruchomił. Ale chcę wszystko zrobić tak, jak pisałeś . A teraz logi:

Raport z usuwania: http://wklej.org/id/1105178/
Raport z OTL (nowy): http://wklej.org/id/1105237/
Raport z Extras (nowy): http://wklej.org/id/1105238/
Raport z AdwCleaner: http://wklej.org/id/1105239/

[KamilJB]

Po skanowaniu AdwCleanerem omiń tam te programy i zajmij się kolejnymi.

Linkuje do kolejnych programów:
http://www.f-secure....s/00002349.html
http://download.bitd...nsom_IcePol.exe
http://www.avira.com...le_unlocker.zip

Lista plików:

[2013-08-08 23:26:54 | 000,436,992 | ---- | C] () -- C:\Users\1\RootPackGen.xml.crypted
[2013-08-08 23:26:54 | 000,183,936 | ---- | C] () -- C:\Users\1\Pakowanie.xml.crypted
[2013-08-08 23:26:54 | 000,000,640 | ---- | C] () -- C:\Users\1\Rozpakowywanie.xml.crypted
[2013-08-08 23:26:53 | 000,000,640 | ---- | C] () -- C:\Users\1\gs.rar.crypted
[2013-08-08 23:19:55 | 000,052,736 | ---- | C] () -- C:\Users\1\Documents\Untitled.veg.crypted
[2013-08-08 23:19:55 | 000,052,096 | ---- | C] () -- C:\Users\1\Documents\ts3_clientui-win32-15001-2013-04-05 23_28_56.049793.dmp.crypted
[2013-08-08 23:19:55 | 000,002,816 | ---- | C] () -- C:\Users\1\Documents\Register Vegas Pro.htm.crypted
[2013-08-08 23:19:54 | 006,946,436 | ---- | C] () -- C:\Users\1\Documents\DSCN1962.JPG.crypted
[2013-08-08 22:47:30 | 005,991,936 | ---- | C] () -- C:\Users\1\AppData\Roaming\minecraft.jar.crypted
[2013-08-08 22:47:30 | 002,339,712 | ---- | C] () -- C:\Users\1\AppData\Roaming\modpack.jar.crypted
[2013-08-08 22:47:28 | 054,480,663 | ---- | C] () -- C:\Users\1\AppData\Roaming\Minecraft 1.5.1.exe.crypted
[2013-08-08 22:34:54 | 000,008,448 | ---- | C] () -- C:\Users\1\AppData\Local\Resmon.ResmonCfg.crypted
[2013-08-08 22:34:54 | 000,004,224 | ---- | C] () -- C:\Users\1\AppData\Local\recently-used.xbel.crypted
[2013-08-08 22:34:54 | 000,003,968 | ---- | C] () -- C:\Users\1\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.crypted

[oskaru]

Yymm, jak rozumiem mam w AdwCleanerze usunąć te pliki? A i mam ominąć te pliki, które mi nadesłałeś? Co do tych programów, jeden po kliknięciu "Scan" wyświetla mi takie komunikaty: http://scr.hu/0o3u/kl2eb, http://scr.hu/0o3u/uh1oq. Kolejny, ten od Aviry. http://scr.hu/0o3u/oxoxv. Mam podać mu zwykły plik i ten zaszyfrowany? Niezbyt to rozumiem. Ostatni właśnie sprawdzam..

PS@ Ok, ostatni sprawdziłem i szczerze nie mam pojęcia jak go uruchomić. Spróbowałem zmienić folder zip, by otwierała go JAVA. Nie wiem czy zrobiłem głupio czy sprytnie.. ale nic nie zadziałało więc raczej to pierwsze.

[KamilJB]

Yymm, jak rozumiem mam w AdwCleanerze usunąć te pliki?

W AdwCleaner wciśnij USUŃ i daj raport.

Zobacz te programy:
http://www.trojaner-...gstrojaner.html

jako ścieżke ustaw C:\Users\1

zobacz też ten:

http://www.trojaner-...gstrojaner.html

[oskaru]

Tak myślałem. Oto logi z usunięcia: http://wklej.org/id/1105293/

Pierwszy program: http://scr.hu/0o3u/tu3hw
Drugi program: wymaga ode mnie czystego pliku oraz zakodowanego. nie rozumiem logiki tych ludzi

Myślisz, że da się jeszcze odratować te pliki? Mam "zarażony" cały folder Moich Dokumentów Wszelkie zapisy z gier pójdą na marne No ale cóż, i tak zrobiłeś dla mnie więcej niż ktokolwiek inny jeśli chodzi o ten problem. Jestem Ci dozgonnie wdzięczny, że teraz mogę normalnie korzystać z komputera . Nie musisz męczyć się tym problemem. Widocznie jest nie do rozwiązania

[KamilJB]

Jest do rozwiązania, tylko poprostu pierwszy raz spotykam się z tym problemem, a dokładnie z tą odmianą.

Do użycia ComboFix: http://www.bleepingc...uzycia-combofix
wklej raport

 

Pierwszy program: http://scr.hu/0o3u/tu3hw

Zaznaczyłeś w programie Advanced mode ?

Masz jeszcze program od Kasperskiego: http://media.kaspers...stdecryptor.exe
niestety, pliki trzeba pojedyńczo zaznaczać...

[Kamillo]

Dr.WB CureIt służy do skanowania pod systemem, z to nie jest Live CD...

Myślałem właśnie o Dr.Web LiveCD, ale wkleiłem co innego... Ale jak widać autor sobie jakoś poradził.

[oskaru]

No dobra, popróbuje. Ale jest jeszcze coś innego! Ku mojemu zaskoczeniu, znowu pojawił się przy starcie ekran, że policja zablokowała mi komputer ! Za 5 min wstawię logi.

PS@ Logi:
OTL - http://wklej.org/id/1105717/
Extras - http://wklej.org/id/1105718/

[kamil90hg]

Miałem ten sam problem co oskaru jednak pospieszyłem się i zrobiłem formata. Wszystko niby ok, wirusa nie ma ale większość plików przybrało rozszerzenie .crypted Mogę jakoś rozszyfrować te pliki? Bardzo mi na niektórych zależy. Proszę o pomoc...

[oskaru]

Zobacz ten program: http://www.trojaner-...gstrojaner.html

[kamil90hg]

Nic tym programem nie mogę zrobić.
A Tobie udało się w jakiś sposób odblokować te pliki .crypted?

[oskaru]

Na razie czekam na Pana KamilaJB, by podał mi skrypt którym odblokuje sobie dostęp do komputera. No a tak to to przyznam szczerze, że na razie nic z tego. Za to Pan Kamil dorzucił mi już parę programów dzięki którym może mi się uda rozszyfrować pliki crypted. Czekam tylko na szansę ich wykorzystania

[kamil90hg]

No to widzę że jest jakaś szansa. Mam bardzo ważne pliki i nie chciałbym ich utracić.

[KamilJB]

Infekcja ponownie wróciła - nie mam pojęcia skąd...

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O9:64bit: - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found
DRV:64bit: - [2013-08-10 21:03:09 | 006,220,856 | ---- | M] () [Unknown (-1) | "Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
DRV:64bit: - [2013-08-10 21:02:28 | 000,046,528 | ---- | M] () [Kernel | System | Unknown] -- C:\Windows\SysNative\drivers\vBszKyhV2.sys -- (vBszKyhV2)
SRV:64bit: - [2013-08-10 21:03:09 | 006,220,856 | ---- | M] () ["Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
[2013-08-10 21:03:09 | 006,220,856 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV.bmp
[2013-08-10 21:02:43 | 000,702,464 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV2.exe
[2013-08-10 21:02:35 | 000,680,448 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV1.exe
[2013-08-10 21:02:29 | 000,004,096 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV.dll
[2013-08-10 21:02:28 | 000,046,528 | ---- | C] () -- C:\Windows\SysNative\drivers\vBszKyhV2.sys
[2013-08-10 21:02:23 | 000,031,232 | ---- | C] () -- C:\Windows\SysNative\vBszKyhVp.dll

:Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie pokaż raport z usuwania.

2. Użyj ComboFixa i wklej z niego log (jak nie działa to próbuj w Trybie Awaryjnym)!

3. Uruchom SystemLook i wklej:

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

:filefind
vBszKyh
baxitkcw

:regfind
vBszKyh
baxitkcw

Klik w Look i przedstaw log.

4. Dorzuć jeszcze raport z TDSSKiller.

 

@kamil90hg - proszę założyć własny wątek.

[oskaru]

Okay, skrypt zadziałał. Z powrotem mogę w pełni korzystać z komputera. Log z niego - http://wklej.org/id/1105825/

Log z Combofixa - http://wklej.org/id/1105835/
Log z SystemLook - http://wklej.org/id/1105837/
Log z TDSSKillera - http://wklej.org/id/1105912/

PS@ Zauważyłem bardzo dziwną rzecz. Mianowicie, pamiętasz ten log z AdwCleanera? Jest on teraz plikiem .crypted DODATKOWO! Program do robienia ss także został CAŁKOWICIE zarażony tym wirusem. To samo gra LeagueOfLegends. O dziwo! Są to te rzeczy których używałem wczoraj.. Spróbuje jeszcze tym programem co mi podałeś wcześniej tylko w trybie Advanced..

PPS@ Program w trybie Advanced wymagał ode mnie pliku oryginalnego i uszkodzonego. No więc ja taki posiadam, tzn. log z AdwCleanera na dysku jest uszkodzony, (http://scr.hu/0o3u/o017x
) a w internecie cały. Więc podałem ścieżki do uszkodzonego pliku jak i oryginalnego. Załapało. Następnie wybrałem jakiś folder, by mi go oczyściło. Tzn. ten co ty mi kazałeś wybrałem (C:\Users\1 bodajże).. i nic. Nie wykrywa infekcji Kaspersky to samo. Nie wykrywa nic. Przy okazji ogarnąłem też inne programy które wymagało ode mnie czystego i zakodowanego pliku. Większość nie wykrywała infekcji, a w niektórych wystąpiły inne błędy ..

PPPS@ Jak coś to pobrałem wtedy 3 trainery. W tym dniu znaczy się. Jestem pewien, że to od nich się zaczęło. Cały czas mam do nich linki, wątpię, że to coś, by pomogło ale jak coś to mogę podać.

Cholerka, jak tak teraz patrzę to połowę moich gier mam właśnie zainfekowanych. Wczoraj aż tak nie było !

[KamilJB]

1. Otwórz notatnik i wklej do niego ten tekst:

Folder::
c:\users\UpdatusUser\AppData\Local\temp
c:\users\Public\AppData\Local\temp
c:\users\Default\AppData\Local\temp

Driver::
2004CC287
dmvsc
EagleX64
X6va008
X6va011
X6va012

Dir::
C:\Windows\SysWOW64\config\systemprofile\AppData

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va008]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va011]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va012]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\vBszKyhV2.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\vBszKyhV2.sys]

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie (i powstanie log na końcu). Daj ten log.


2. Widzę szczątki ESETa. Odinstaluj go tym: Eset Uninstaller Tool.

 

PPPS@ Jak coś to pobrałem wtedy 3 trainery. W tym dniu znaczy się. Jestem pewien, że to od nich się zaczęło. Cały czas mam do nich linki, wątpię, że to coś, by pomogło ale jak coś to mogę podać.

Spakuj mi te Trainery i wyślij.