KamilJB

Zobacz te programy do rozszyfrowania:

http://www.speedysha...orDecryptor.exe
http://speedyshare.c...ohdecryptor.exe

1. Otwórz notatnik i wklej do niego ten tekst:

Folder::
c:\users\UpdatusUser\AppData\Local\temp
c:\users\Public\AppData\Local\temp
c:\users\Default\AppData\Local\temp

Driver::
2004CC287
dmvsc
EagleX64
X6va008
X6va011
X6va012

Dir::
C:\Windows\SysWOW64\config\systemprofile\AppData

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va008]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va011]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\X6va012]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\vBszKyhV2.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\vBszKyhV2.sys]

>>Plik>>Zapisz jako... >>> CFScript
Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe
-------->
Ma się rozpocząć usuwanie (i powstanie log na końcu). Daj ten log.


2. Widzę szczątki ESETa. Odinstaluj go tym: Eset Uninstaller Tool.

 

PPPS@ Jak coś to pobrałem wtedy 3 trainery. W tym dniu znaczy się. Jestem pewien, że to od nich się zaczęło. Cały czas mam do nich linki, wątpię, że to coś, by pomogło ale jak coś to mogę podać.

Spakuj mi te Trainery i wyślij.

Infekcja ponownie wróciła - nie mam pojęcia skąd...

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O9:64bit: - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - Reg Error: Key error. File not found
DRV:64bit: - [2013-08-10 21:03:09 | 006,220,856 | ---- | M] () [Unknown (-1) | "Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
DRV:64bit: - [2013-08-10 21:02:28 | 000,046,528 | ---- | M] () [Kernel | System | Unknown] -- C:\Windows\SysNative\drivers\vBszKyhV2.sys -- (vBszKyhV2)
SRV:64bit: - [2013-08-10 21:03:09 | 006,220,856 | ---- | M] () ["Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
[2013-08-10 21:03:09 | 006,220,856 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV.bmp
[2013-08-10 21:02:43 | 000,702,464 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV2.exe
[2013-08-10 21:02:35 | 000,680,448 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV1.exe
[2013-08-10 21:02:29 | 000,004,096 | ---- | C] () -- C:\Windows\SysNative\vBszKyhV.dll
[2013-08-10 21:02:28 | 000,046,528 | ---- | C] () -- C:\Windows\SysNative\drivers\vBszKyhV2.sys
[2013-08-10 21:02:23 | 000,031,232 | ---- | C] () -- C:\Windows\SysNative\vBszKyhVp.dll

:Commands
[CLEARALLRESTOREPOINTS]
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie pokaż raport z usuwania.

2. Użyj ComboFixa i wklej z niego log (jak nie działa to próbuj w Trybie Awaryjnym)!

3. Uruchom SystemLook i wklej:

:reg
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

:filefind
vBszKyh
baxitkcw

:regfind
vBszKyh
baxitkcw

Klik w Look i przedstaw log.

4. Dorzuć jeszcze raport z TDSSKiller.

 

@kamil90hg - proszę założyć własny wątek.

Jest do rozwiązania, tylko poprostu pierwszy raz spotykam się z tym problemem, a dokładnie z tą odmianą.

Do użycia ComboFix: http://www.bleepingc...uzycia-combofix
wklej raport

 

Pierwszy program: http://scr.hu/0o3u/tu3hw

Zaznaczyłeś w programie Advanced mode ?

Masz jeszcze program od Kasperskiego: http://media.kaspers...stdecryptor.exe
niestety, pliki trzeba pojedyńczo zaznaczać...

Yymm, jak rozumiem mam w AdwCleanerze usunąć te pliki?

W AdwCleaner wciśnij USUŃ i daj raport.

Zobacz te programy:
http://www.trojaner-...gstrojaner.html

jako ścieżke ustaw C:\Users\1

zobacz też ten:

http://www.trojaner-...gstrojaner.html

Po skanowaniu AdwCleanerem omiń tam te programy i zajmij się kolejnymi.

Linkuje do kolejnych programów:
http://www.f-secure....s/00002349.html
http://download.bitd...nsom_IcePol.exe
http://www.avira.com...le_unlocker.zip

Lista plików:

[2013-08-08 23:26:54 | 000,436,992 | ---- | C] () -- C:\Users\1\RootPackGen.xml.crypted
[2013-08-08 23:26:54 | 000,183,936 | ---- | C] () -- C:\Users\1\Pakowanie.xml.crypted
[2013-08-08 23:26:54 | 000,000,640 | ---- | C] () -- C:\Users\1\Rozpakowywanie.xml.crypted
[2013-08-08 23:26:53 | 000,000,640 | ---- | C] () -- C:\Users\1\gs.rar.crypted
[2013-08-08 23:19:55 | 000,052,736 | ---- | C] () -- C:\Users\1\Documents\Untitled.veg.crypted
[2013-08-08 23:19:55 | 000,052,096 | ---- | C] () -- C:\Users\1\Documents\ts3_clientui-win32-15001-2013-04-05 23_28_56.049793.dmp.crypted
[2013-08-08 23:19:55 | 000,002,816 | ---- | C] () -- C:\Users\1\Documents\Register Vegas Pro.htm.crypted
[2013-08-08 23:19:54 | 006,946,436 | ---- | C] () -- C:\Users\1\Documents\DSCN1962.JPG.crypted
[2013-08-08 22:47:30 | 005,991,936 | ---- | C] () -- C:\Users\1\AppData\Roaming\minecraft.jar.crypted
[2013-08-08 22:47:30 | 002,339,712 | ---- | C] () -- C:\Users\1\AppData\Roaming\modpack.jar.crypted
[2013-08-08 22:47:28 | 054,480,663 | ---- | C] () -- C:\Users\1\AppData\Roaming\Minecraft 1.5.1.exe.crypted
[2013-08-08 22:34:54 | 000,008,448 | ---- | C] () -- C:\Users\1\AppData\Local\Resmon.ResmonCfg.crypted
[2013-08-08 22:34:54 | 000,004,224 | ---- | C] () -- C:\Users\1\AppData\Local\recently-used.xbel.crypted
[2013-08-08 22:34:54 | 000,003,968 | ---- | C] () -- C:\Users\1\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini.crypted

Jak masz inny komputer i możesz nagrać to nagraj na płytę Dr.WEB CureIt
Uruchom z niej komputer, przeskanuj i usuń wszystko co znajdzie

Dr.WB CureIt służy do skanowania pod systemem, z to nie jest Live CD...

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
O20:64bit: - HKLM Winlogon: UserInit - (C:\Users\1\Documents\DCSCMIN\IMDCSC.exe) - File not found
O20 - AppInit_DLLs: (c:\progra~3\browse~2\261519~1.190\{c16c1~1\browse~1.dll) - c:\ProgramData\BrowserProtect\2.6.1519.190\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.dll ()
O4 - HKU\S-1-5-21-3374562511-2249349261-2254905696-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O2 - BHO: (Braowwsee2save) - {7C903099-34BB-B63A-6C20-0083D97349C7} - C:\ProgramData\Braowwsee2save\51571a7434868.dll File not found
O2 - BHO: (Breowse2savue) - {9A5F2933-A001-7939-EABD-142DB83086C6} - C:\ProgramData\Breowse2savue\515711d705663.dll File not found
DRV:64bit: - [2013-08-08 21:57:42 | 006,220,856 | ---- | M] () [Unknown (-1) | "Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
DRV:64bit: - [2013-08-08 21:57:02 | 000,046,528 | ---- | M] () [Kernel | System | Unknown] -- C:\Windows\SysNative\drivers\vBszKyhV2.sys -- (vBszKyhV2)
SRV:64bit: - [2013-08-08 21:57:42 | 006,220,856 | ---- | M] () ["Start" not found. | Unknown] -- C:\Windows\SysNative\vBszKyhV.bmp -- (vBszKyhV)
[2013-08-09 13:24:54 | 000,001,034 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013-08-09 13:21:00 | 000,001,038 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013-08-09 12:34:01 | 000,000,930 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2013-08-08 21:57:42 | 006,220,856 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV.bmp
[2013-08-08 21:57:15 | 000,702,464 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV2.exe
[2013-08-08 21:57:09 | 000,680,448 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV1.exe
[2013-08-08 21:57:03 | 000,004,096 | ---- | M] () -- C:\Windows\SysNative\vBszKyhV.dll
[2013-08-08 21:57:02 | 000,046,528 | ---- | M] () -- C:\Windows\SysNative\drivers\vBszKyhV2.sys
[2013-08-08 21:56:57 | 000,031,232 | ---- | M] () -- C:\Windows\SysNative\vBszKyhVp.dll

:Commands
[emptyflash]
[emptyjava]
[emptytemp]

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Po restarcie pokaż raport z usuwania.

2. Wykonaj deinstalację BrowserProtect + BrowseToSave 1.74

3. Do użycia: Emsisoft Decrypt_mblblock.exe + Emsisoft Decrypter for Harasom

4. Po tych wszystkich czynnościach wracasz z nowym kompletem logów z OTL. Dodatkowo dorzuć mi raport z AdwCleaner z opcją Usuń.

Dorzuć Extras.txt a logi sprawdze.

W raportach brak oznak infekcji. I na razie tu nie ma żadnych dowodów na jej obecność:

Mam problem z Recyclerem pojawił sie tak na prawde nie wiem kiedy i skąd ale aktualnie jest już wszędzie (2 pecety, laptop, telefon i wszelkie nośniki usb)

Zagadnienie ma dwa aspekty:

1. Te foldery zawsze będą na każdym z Twoich dysków:

Drive C: | 6,82 Gb Total Space | 0,23 Gb Free Space | 3,30% Space Free | Partition Type: FAT32
Drive D: | 30,45 Gb Total Space | 2,18 Gb Free Space | 7,17% Space Free | Partition Type: FAT32

To są rzeczywiste foldery Kosza (na Pulpicie to jedynie wirtualny skrót do Kosza na C, każda partycja ma osobisty Kosz). Na systemie plików NTFS nazwa RECYCLER (XP) lub $Recycle.Bin (Vista / Windows 7), na systemie plików FAT32 lub FAT32 przekonwertowanego bez utraty danych na NTFS to Recycled. Foldery te są ukryte przez atrybuty HS = ukryty systemowy, czyli widzialne tylko po odznaczeniu opcji "Ukryj chronione pliki systemu operacyjnego".

2.

Mr kamil coś tam - następny "specjalista"!!!

Tutaj celujesz ciemno. To zawartość RECYCLER-ów jest istotna. Mogą tam być wirusy lub i nie. Na razie nie podany żaden objaw, który wskazuje obecność infekcji w tych katalogach. Więc czemu Twoje założenie jest takie, że Autor nie ma wirusów bez żadnych raportów systemowych ?

 
Wykonamy małe usuwanie OTL'em, przy okazji wyczyścimy też folder RECYCLER ale i tak będzie jego regeneracja po restarcie.

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

:OTL
O21 - SSODL: 0aMCPClient - {F5DF91F9-15E9-416B-A7C3-7519B11ECBFC} - No CLSID value found.
O22 - SharedTaskScheduler: {EC654325-1273-C2A9-2B7C-45D29BCE68FB} - Deskscapes - D:\Programy\DeskScapes3\deskscapes.dll File not found
FF - prefs.js..browser.search.order.1: "Ask.com"
FF - prefs.js..browser.startup.homepage: "http://isearch.avg.c...7:37:08&sap=hp"
FF - prefs.js..keyword.URL: "http://isearch.avg.c...7:08&sap=ku&q="
FF - user.js - File not found
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.ask.com/?l=dis&o=15187 [binary data]
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://isearch.avg.c...sa&d=2012-05-19 07:37:08&v=11.1.0.7&sap=hp
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.c...Box&Form=IE8SRC
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.c...sa&d=2012-05-19 07:37:08&v=11.1.0.7&sap=dsp&q={searchTerms}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{A3A0F5F1-045A-4869-8141-B0CB254CB978}: "URL" = http://websearch.ask...13-FD4C9F12F62D
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = http://www.daemon-se...q={searchTerms}
IE - HKU\S-1-5-21-1343024091-1390067357-1801674531-1003\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = http://www.daemon-se...q={searchTerms}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.c...ferrer:source?}
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.amnezja.org/

:Files
C:\Documents and Settings\Sebastian\Dane aplikacji\Mozilla\Firefox\Profiles\x8fgx1rf.default\searchplugins\askcom.xml
C:\windows\tasks\avast! Emergency Update.job
C:\VDFS.DMP
RECYCLER /alldrives
Recycled /alldrives

:Services
EagleNT
nvport

:Commands
[emptyflash]
[resethosts]
[emptytemp]

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

2. Wykonaj deinstalację śmieci: WinPcapInst / Hyperionics DB Toolbar / AVG Secure Search

3. Użyj AdwCleaner z opcji Delete. Pokaż raport który się wyświetli w notatniku po restarcie albo znajdziesz go: C:\Clean.txt

4. Użyj USBFix z opcji LISTING. (WSZYSTKO MA BYĆ PODŁĄCZONE - PENDRIVE itp.).

5. Po wykonaniu tych czynnośći tworzysz ponownie logi z OTL. Ale przed wciśnięciem Skanuj zahaczykuj: Rejestr - skan dodatkowy - Użyj filtrowania. Potem wciskasz przycisk Skanuj.

Końcowo przedstawiasz logi z:

• Raport z usuwania OTL'em
• Raport z czyszczenia AdwCleanerem
• Raport ze skanu USBFixem
• Nowe logi z OTL (OTL.txt + Extras.txt)

Taki sposobami to możesz sobie pupke ...

Daj log z OTL:

@Daroxx - jeżeli się nie znasz to nawet nie pisz, bo po pierwsze nie pomożesz użytkownikowi, po drugie nie wnosisz nic do tematu.