CTB-Locker + pewnie parę innych infekcji

[rsnooz]

Witam,

Komputer znajomej, nie wiem od jakiego czasu jest zainfekowany, ponieważ powiedziała mi o tym "przy okazji". Zainstalowany był ESET Nod Antywirus, ale pokazywał, że jest uszkodzony i żadne jego moduły nie działały. Na szybko próbowałem coś pousuwać skanując z Kaspersky Rescue CD (głównie usunął pliki z kwarantanny Eset'a, log w załączniku), a później SPyHunter'em (Spyhunter wiesza się pod koniec skanowania rejestru i generuje plik .dmp o wielkości ponad 300 MB).GMER uruchamiał się z błędem i nie było wstępnego skanowania (screen w załączniku).Po ponownym uruchomieniu komputera GMER uruchomił się bez tego błędu ale większość box'ów jest nieaktywna (screen w załączniku).

FRST.txt

Addition.txt

Shortcut.txt

gmerr.txt

Kaspersky.txt

[picasso]

SpyHunter to program wątpliwej reputacji, z czarnej listy. Kwalifikacja do deinstalacji.

 

System jest zainfekowany rootkitem Necurs, który zablokował większość sterowników systemu. To właśnie Necurs powoduje, że GMER ma nieaktywne opcje. Prócz Necurs są inne śmieci, ale póki rootkit nie zostanie zdjęty, nie przejdę dalej. Działania wstępne:

 

1. Uruchom Kaspersky TDSSKiller. Powinien wykryć obiekt Rootkit.Win32.Necurs.gen - zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system.

 

2. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz log utworzony przez TDSSKiller.

[rsnooz]

Kaspersky TDSSKiller znalazł tylko jedną infekcje, tak jak napisałaś - Rootkit.Win32.Necurs.gen. Obiekt usunięty. Nowy skan FRST w załączniku.

FRST.txt

TDSSKiller.3.0.0.42_14.01.2015_09.15.18_log.txt

[picasso]

Infekcja rootkit została pomyślnie usunięta, a sterowniki Windows odblokowane. Możemy zająć się pozostałymi problemami.

 

Z obiektami wyglądającymi na zaszyfrowane przez CTB-Locker niestety nic nie jestem w stanie zrobić. Brak deszyfratora i ratunkiem są tylko kopie zapasowe. Odpada szukanie plików w kopiach cieniowych, bo punkty Przywracania są wyczyszczone na zero (pewnie przez tę infekcję), a zastosowanie softu typu "recovery" może być nieskuteczne, bo nie wiadomo jak długo trwa infekcja, a na dysku były już liczne zapisy.

 

2015-01-12 08:10 - 2015-01-12 08:10 - 03888054 _____ () C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.bmp

2015-01-12 08:10 - 2015-01-12 08:10 - 00001240 _____ () C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.txt

2015-01-08 13:22 - 2011-11-04 16:46 - 00000512 _____ () C:\rcp58_log_file.TXT.fafktzg

2015-01-07 11:46 - 2011-11-04 16:46 - 00006928 _____ () C:\log.TXT.fafktzg

2014-12-16 10:04 - 2011-11-04 16:46 - 00374608 _____ () C:\Users\KSIEGOWY\Desktop\KARTKA ŚWIĄTECZNA 2014.JPG.fafktzg

2014-12-16 09:45 - 2011-11-04 16:46 - 00002336 _____ () C:\Users\KSIEGOWY\Desktop\życzenia.DOC.fafktzg

2014-12-15 11:50 - 2011-11-04 16:46 - 00002560 _____ () C:\Users\KSIEGOWY\Desktop\ADVERTI.DOC.fafktzg

 

 

Natomiast kolejne działania są po kątem wpisów szczątkowych i pustych. Będę też usuwać usługę AmmyyAdmin, która startuje z katalogu Internetowych Plików Tymczasowych (zostaną opróżnione). Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver 
R2 AmmyyAdmin; C:\Users\KSIEGOWY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\21MHOHVE\pomoc.exe [743704 2014-10-23] (Ammyy LLC)
S2 HP Health Check Service; "C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe" [X]
S3 hpqwmiex; "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe" [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin => ""="Service"
HKLM-x32\...\Run: [File Sanitizer] => c:\Program Files (x86)\Hewlett-Packard\File Sanitizer\CoreShredder.exe
HKLM-x32\...\Run: [{4e8405fa-8ada-47b0-5da9-f8edc703f718}] => "C:\ProgramData\Microsoft\{4e8405fa-8ada-47b0-5da9-f8edc703f718}\{4e8405fa-8ada-47b0-5da9-f8edc703f718}.exe"
HKLM\...\Policies\Explorer\Run: [{4e8405fa-8ada-47b0-5da9-f8edc703f718}] => "C:\ProgramData\Microsoft\{4e8405fa-8ada-47b0-5da9-f8edc703f718}\{4e8405fa-8ada-47b0-5da9-f8edc703f718}.exe" No File
BootExecute: autocheck autochk * sh4native Sh4Removal
Task: {51C3C8E4-1F4E-4237-8F87-358D9DC2425E} - System32\Tasks\{541967FB-A469-4720-B6CB-996F17A61731} => pcalua.exe -a "C:\Users\KSIEGOWY\Desktop\pomoc (1).exe" -d C:\Users\KSIEGOWY\Desktop
Task: {55FF654F-51F6-4B94-A471-4EDA360B2139} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Health Analysis => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe
Task: {6DFABE97-4269-4914-AA07-D794CD7C4F01} - System32\Tasks\{38602D3E-9490-4B79-B466-0AF559CC1BF4} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsMain
Task: {7BC72F8E-CFB7-4229-8611-C79FFE51BFCF} - System32\Tasks\{15840900-6F78-4363-A946-83865712334C} => pcalua.exe -a "G:\kopia dysku D\install\LJ 3030\lj30xx_3380pcl6-pi.exe" -d "G:\kopia dysku D\install\LJ 3030"
Task: {955782A8-A447-4D8D-8919-884E3C33A1EA} - System32\Tasks\{B3F322FB-BAC1-45A5-B4D6-6467D1180C8C} => pcalua.exe -a C:\Users\KSIEGOWY\Downloads\lj30xx_3380pcl6-pi.exe -d C:\Users\KSIEGOWY\Desktop
Task: {C80C2B81-B1A7-412B-BC3D-E5C376BFBF5D} - System32\Tasks\{EF62DE4A-D9CD-4295-ADF7-CF2CEE14D8C1} => Iexplore.exe http://ui.skype.com/ui/0/5.6.0.105/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:notoffered;alreadyoffered
Task: {C8E75326-E66C-4E7D-A780-4AD363E2387D} - System32\Tasks\{C39475A6-E07B-4058-B5AC-A5D69DDAF47A} => Iexplore.exe http://ui.skype.com/ui/0/6.6.0.106/pl/abandoninstall?page=tsBing
Task: {CA0B4F29-B941-4830-9B67-E0820300E630} - System32\Tasks\Hewlett-Packard\HP Support Assistant\PC Tuneup => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\HPSF.exe
Task: {D419364E-5D3B-4D5C-87E6-18D50171458A} - System32\Tasks\wckfgeb => C:\Users\KSIEGOWY\AppData\Local\Temp\jqlwefm.exe 
Task: {F194D71C-3157-4F3F-B70A-C64D4076E794} - System32\Tasks\{C04B678D-7D3D-4B8C-8187-B31F5E7509E9} => Iexplore.exe http://ui.skype.com/ui/0/5.8.0.156/pl/abandoninstall?page=tsMain
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF
SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-500 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL =
BHO: No Name -> {4F524A2D-5637-006A-76A7-7A786E7484D7} -> No File
BHO-x32: Babylon toolbar helper -> {2EECD738-5844-4a99-B4B6-146BF802613B} -> No File
BHO-x32: Searchqu Toolbar -> {99079a25-328f-4bd4-be04-00955acaa0a7} -> C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll No File
Toolbar: HKLM - No Name - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No File
Toolbar: HKLM-x32 - Searchqu Toolbar - {99079a25-328f-4bd4-be04-00955acaa0a7} - C:\PROGRA~2\WI3C8A~1\Datamngr\ToolBar\searchqudtx.dll No File
Toolbar: HKLM-x32 - No Name - !{EEE6C35B-6118-11DC-9C72-001320C79847} - No File
Toolbar: HKU\S-1-5-21-3668452077-1106565234-3799211801-500 -> No Name - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No File
C:\spyhunter.fix
C:\Users\Administrator\Desktop\SpyHunter
C:\Users\KSIEGOWY\Desktop\SpyHunter
C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.bmp
C:\Users\KSIEGOWY\Documents\Decrypt All Files fafktzg.txt
C:\Windows\system32\Drivers\etc\hosts.txt
C:\Windows\SysWOW64\sh4native.exe
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\TDSSKiller_Quarantine
RemoveDirectory: C:\ProgramData\ESET
RemoveDirectory: C:\Users\KSIEGOWY\Documents\Nieużywane\archiwum_stary\E\Program Files\Norton AntiVirus
RemoveDirectory: C:\Users\KSIEGOWY\Documents\Nieużywane\archiwum_stary\E\WINDOWS
RemoveDirectory: C:\Windows\Installer\{70AA7602-A4C6-3B7F-16CC-5E36F687AED5}
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[rsnooz]

Ok wykonane, załączam logi.

Fixlog.txt

FRST.txt

[picasso]

Akcje pomyślnie wykonane, z wyjątkiem pierwszej komendy - błąd tworzenia punktu Przywracania systemu.

 

1. Poproszę o log z Farbar Service Scanner.

 

2. W systemie są dwa konta, a Ty dostarczałeś logi z wbudowanego Administratora (niedawno aktywowany):

 

========================= Accounts: ==========================
 

Administrator (S-1-5-21-3668452077-1106565234-3799211801-500 - Administrator - Enabled) => C:\Users\Administrator

KSIEGOWY (S-1-5-21-3668452077-1106565234-3799211801-1002 - Administrator - Enabled) => C:\Users\KSIEGOWY

 

Proszę zaloguj się na właściwe konto KSIEGOWY poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób z poziomu tego kota nowe logi FRST (główny + Addition, Shortcut zbędny).

[rsnooz]

Logi wykonane z konta KSIEGOWY po uprzednim restarcie.

FSS.txt

FRST.txt

Addition.txt

[picasso]

W raporcie Farbar Service Scanner żadnych oznak dyskonfiguracji Przywracania systemu. Natomiast nowe logi nadal pokazują wpisy infekcji i szczątki adware. To właśnie z tego konta się inicjowała infekcja. Kolejne działania - wszystko w kontekście konta KSIEGOWY:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [YTVPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\KSIEGOWY\AppData\Local\Ektion\rvvbobqwdyjcc.dll
HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [Ezztion] => regsvr32.exe C:\Users\KSIEGOWY\AppData\Local\Ezztion\plc4.dll 
HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [bluetoothS] => rundll32.exe "%appdata%\BtvStack.dll",BTHF_Register
URLSearchHook: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> 7B25F7A08463410AB1D6D9C86FEB050F URL = http://search.babylon.com/?q={searchTerms}&AF=100480&babsrc=SP_ss&mntrId=aa814c8600000000000064315023b703
SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {2AE70A0E-39B8-48D4-9229-9E2C0E150E4B} URL = http://www.search.ask.com/web?p2=^ADN^OSJ000^YY^PL&gct=&itbv=12.0.1.100&o=APN10616&tpid=ORJ-V7&apn_uid=43BDBA54-CA96-429E-8979-478EFC4398ED&apn_ptnrs=ADN&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_9.0.8112.16476&doi=2013-10-11&trgb=IE&q={searchTerms}&psv=
SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF
SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} URL =
Toolbar: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> No Name - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No File
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\35355970.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\57130876.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\35355970.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\57130876.sys => ""="Driver"
C:\Users\Administrator\temp
C:\Users\KSIEGOWY\AppData\Roaming\Babylon
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: dir /a C:\Users\KSIEGOWY\AppData\Local

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie nowy fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[rsnooz]

Proszę, oto następne logi.

Fixlog.txt

FRST.txt

[picasso]

Zadania wykonane pomyślnie. Kolejne czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\KSIEGOWY\AppData\Local\ESET

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, dostarcz raport.

[rsnooz]

Malwarebytes znalazł jakieś infekcje. Oto logi.

Fixlog.txt

Malwarebytes.txt

[picasso]

1. MBAM wykrył głównie szczątki reklamiarzy. Wszystkie wskazane w skanie obiekty do usunięcia za pomocą programu.

 

2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

[rsnooz]

Proszę, log z AdwCleaner

AdwCleanerR0.txt

[picasso]

1. Uruchom ponownie AdwCleaner, lecz tym razem zastosuj sekwencję Szukaj + Usuń.

 

2. Orientacyjny zakres szyfrowania danych (tylko na dysku C), czyli lista plików z prefiksami fafktzg. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
*fafktzg*

 

Klik w Look i podaj wynikowy log. Uwaga: log może być potwornie duży i nie wejść w załączniki. W takiej sytuacji shostuj go gdzieś (np. wklej.org, a jeśli i dla tego serwisu za duża wklejka, to spakuj do ZIP i użyj inny hosting).

[rsnooz]

AdwCleaner - zrobione.

 

Log z SystemLook x64 wrzuciłem do siebie na dysk google spakowany .zip. Inaczej były problemy jak pisałaś.

 

 

https://drive.google.com/file/d/0B76fzFo7378NQU9YTlBoa1dPOWM/view?usp=sharing

 

[picasso]

Przejrzałam listę zaszyfrowanych plików. Pozbądź się określonych plików które nie są istotne (pliki tekstowe / dokumenty zainstalowanych programów).

 

1. Na początek na wszelki wypadek istotne pliki użytkownika, które zostały zaszyfrowane, przenieś z dysku C i pozostałych na osobny nośnik. Ale nie ma szans na dekrypcję. I nic więcej nie da się zrobić.

 

2. Otwórz Notatnik i wklej w nim:

 

CMD: attrib -h -s C:\*.fafktzg /s
CMD: del /q /s C:\*.fafktzg
CMD: del /q /s "C:\Decrypt All Files fafktzg.bmp"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Skrypt robi rekursywne usuwanie wszelkich plików z sufiksem *.fafktzg, dlatego może się bardzo długo wykonywać. Pokaż fixlog.txt.

 

3. Po w/w operacji uruchom SystemLook na tych samych warunkach co poprzednio, by się upewnić czy coś jeszcze widzi na dysku C.