Ransomware (blokuje i stav nouze) Vyřešeno

[Darth Vader]

Čau,

takže včera se stal zázrak, a i přesto, že navštěvuji jenom Seznam, Wikipedii a občas stránky klubu sběratelů pohlednic, jsem chytil vir. Ani nevím, jak se dostal přes mojí hradbu neaktualizovanýho Security Essentials dostal.

Teď vážně - prostě mi včera naskočila taková ta srajda, že můj PC byl zablokován, ať jim pošlu 3000 Kč, to všechno pod hlavičkou Česká Republika Policie. Nejde to shodit, nefunguje správce úloh.

Ale hlavní problém - NEFUNGUJE STAV NOUZE A MOMENTÁLNĚ NEMÁM PŘÍSTUP K NEINFIKOVANÉMU PC. Zkrátka jsem v háji a proto jsem tady (mobil)

Moje možnosti jsou tyhle:

- Když naběhnou Windows (XP SP3), mám zhruba 6,3463 sekundy, než to okno naskočí. Dostanu se i do Správce úloh

- Dostanu se do nouzáku MS-DOS (CMD)

- Dostanu se do Recovery console

Dá se z toho něco nakombinovat? Na stránkách avast!blogu píšou, že stačí smazat soubor msconfig.dat. Je to pravda? Jestli jo, můžete mi prosím někdo přesně napsat větu, kterou napsat do CMD nebo Recovery console?

Děkuju :)

[Reklama]

[jaro3]

Stáhni si z jiného PC Kaspersky Rescue Disk 10
http://rescuedisk.kaspersky-labs.com/re ... cue_10.iso

Soubor .iso vypal na CD v tomto programu:
http://www.slunecnice.cz/sw/active-iso-burner/
Při startu windows drž klávesu Delete a dostaneš se do BIOSu. V něm , na záložce BOOT, změň boot na prvním místě na CD/DVD. Potvrď změnu (Save and Exit).
Po restartu se na chvíli objeví BIOS a poté černá obrazovka ,nahoře s textem:
Boot z CD/DVD pokračujte libovolnou klávesou- nějakou hned stiskni.
Pak se již nabootuje Kaspersky Rescue Disk. V tomto programu můžeš odstranit viry, spyware nebo jiný nebezpečný a škodlivý software.
Měl by si vybrat myslím tu druhou možnost od shora, pak vybrat :
All peripherialls ( to je všechny disky- oddíly), flešky, mechaniky, MBR atd.
Při pokračování trvá někdy dlouho černá obrazovka , vydrž , program stále pracuje.

http://www.softpedia.com/progScreenshot ... 00454.html
http://www.softpedia.com/get/Antivirus/ ... Disk.shtml

[Darth Vader]

Hele chlapi, já mám momentálně k dispozici jenom funkční netbook, takže CD nevypálim. Vytvořil jsem USB, ale zjistil jsem, ze muj PC neumi bootovat z USB.. Nenapada nikoho, jak to proves pres ten prikazak?

[Darth Vader]

Tak kaspersky jsem nakonec pustil, nezabral. Stále nabíhá obrazovka Zablokovano. Kazdopadne jsem se diky malyho zasahu pres Slax dostal az do Nouzovyho rezimu.

ALE spustil jsem RogueKiller, kterej nasel a vymazal Rans.Gendarm. Ale kdyz dam hned po smazani Prohledat, tak ho to zas najde.. Co mam delat?

[jaro3]

Když ho neumíš používat tak to nedělej...

Stáhni si ATF Cleaner
Poklepej na ATF Cleaner.exe, klikni na select all found, poté:
-Když používáš Firefox (Mozzila), klikni na Firefox nahoře a vyber: Select All, poté klikni na Empty Selected.
-Když používáš Operu, klikni nahoře na Operu a vyber: Select All, poté klikni na Empty Selected. Poté klikni na Main (hlavní stránku ) a klikni na Empty Selected.
Po vyčištění klikni na Exit k zavření programu.
ATF-Cleaner je jednoduchý nástroj na odstranění historie z webového prohlížeče. Program dokáže odstranit cache, cookies, historii a další stopy po surfování na Internetu. Mezi podporované prohlížeče patří Internet Explorer, Firefox a Opera. Aplikace navíc umí odstranit dočasné soubory Windows, vysypat koš atd.


Stáhni si TFC
Otevři soubor a zavři všechny ostatní okna, Klikni na Start k zahájení procesu. Program by neměl trvat dlouho.
Poté by se měl PC restartovat, pokud ne , proveď sám.

Stáhni AdwCleaner

Ulož si ho na svojí plochu
Ukonči všechny programy , okna a prohlížeče
Spusť program poklepáním a klikni na „Search“
Po skenu se objeví log ( jinak je uložen systémovem disku jako AdwCleaner[R?].txt), jeho obsah sem celý vlož.

Stáhni si RogueKiller
32bit.:
http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
64bit.:
http://www.sur-la-toile.com/RogueKiller ... lerX64.exe
na svojí plochu.
- Zavři všechny ostatní programy a prohlížeče.
- Pro OS Vista a win7 spusť program RogueKiller.exe jako správce , u XP poklepáním.
- počkej až skončí Prescan.
- Zkontroluj , zda máš zaškrtnuto:
Kontrola MBR
Kontrola Faked
Antirootkit
-Potom klikni na „Prohledat“.
- Program skenuje PC. Po proskenování klikni na „Zpráva“celý obsah logu sem zkopíruj.
Pokud je program blokován , zkus ho spustit několikrát. Pokud dále program nepůjde spustit a pracovat, přejmenuj ho na winlogon.exe.

[Darth Vader]

jaro3: Díky, přečetl jsem si to až teď ráno. Viru jsem se zbavil už večer. Nevim, jestli to někomu k něčemu bude, ale napíšu sem, jak jsem to udělal:

Takže, neběžel mi ani nouzák, taky tam vyskakovalo okno požadující zaplacení.
***Jak jsem se dostal do nouzového režimu:
A1) Z USB jsem nabootoval Slax (ale je jedno co byste použili)
A2) V Slaxu jsem otevřel průzkumníka a proklikal se na infikovanym HDD do Documents and Settings
A3) Tady jsem u všech účtů prohledal složku Nabídka start/ Programy/ Po spuštění, kde jsem vymazal soubor ctwrun.ink, když tam byl
A4) Po vymazání tohohle souboru byste měli být schopni jednou* spustit Windows ((já šel rovnou do nouzáku (F8 při startu PC a potom "Stav nouze), ale asi by šel i plnohodnotnej))

*Vir se obnoví a nahází zpátky do "Po spuštění" soubor ctwrun.ink, takže kdybyste teď počítač z nějakýho důvodu restartovali, naskočila by vám znovu obrazovka požadující zaslání peněz a museli byste opakovat body A1-A4

1) Spustil jsem nouzový režim
2) Spustil jsem RogueKiler
3) RK Našel a odstranil čtyři věci v registrech (rans.genderm a tři další, možná nesouvisející)
4) Nabootoval jsem do plnohodnotných Windows
5) Udělal jsem rychlou kontrolu pomocí Microsoft Security Essentials (našel a odstranil rans.genderm)
6) Doufal jsem, že je PC čistej

No, a pořád ještě doufám

Takže abych to shrnul - většina návodů na odstranění tohohle "policejního" viru počítá s možností přístupu do Nouzového režimu. Když ho nemáte, nezoufejte a vymažte soubor ctwrun.ink (nebo jinej, kterej tam nemá co dělat). Můžete k tomu použít OS z CD nebo flashky, a asi i příkazový řádek, když si na to troufnete (a když se k němu dostanete. Já se do něj dostal v Nouzovém režimu MS-DOS). To by vám mělo umožnit přístup do Nouzového režimu a dál už postupovat podle návodů, které najdete na netu.

WXP