Wirus CTB-Locker

[pid]

Witam

 

Niestety otworzyłem wiadomość e-mail a w niej załącznik i wszystko zostało zainfekowane. Pliki zmieniły format na hiywoqd. Z tego co doczytałem na forum pliki nie do odblokowania. Przeskanowałem system Nortonem i programem Combofix( już wiem że nie powinienem tego robić ale trudno, stało się). Przy każdym włączeniu systemu pojawia się komunikat że program IAStorIcon przestał działać. Ten sam problem był z oprogramowaniem drukarki ale został pomyślnie usuniety i komunikat sie już nie pojawia.

 

Czy mogę zachować zainfekowane pliki licząc ze w przyszłości znajdzie się program , który je odblokuje?

Czy zainfekowane pliki są groźne?'

 

Wstawiam obowiązkowe logi

 

combofix.txt

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Czy mogę zachować zainfekowane pliki licząc ze w przyszłości znajdzie się program , który je odblokuje?

Czy zainfekowane pliki są groźne?'

Infekcja nie wygląda już na czynną. Wprawdzie nadal jest zadanie szkodnika w Harmonogramie zadań (zmobdsi), ale puste, bo ComboFix usuwał pliki tymczasowe. Zaszyfrowane pliki nie są groźne per se. Te najcenniejsze na wszelki wypadek sobie skopiuj na zewnętrzny nośnik, bo w poniższym skrypcie FRST będę usuwać wszystkie pliki z sufiksem *.hiywoqd.

 

 

Przy każdym włączeniu systemu pojawia się komunikat że program IAStorIcon przestał działać. Ten sam problem był z oprogramowaniem drukarki ale został pomyślnie usuniety i komunikat sie już nie pojawia.

To nie wygląda ani na skutki infekcji, ani na skutki uruchomienia ComboFix. Nie ma oznak by infekcja była czynna. W logu ComboFix zaś żadnych powiązanych kasacji. Te błędy mogą mieć inne źródło. Czy one przypadkiem nie pojawiły się po użyciu Przywracania systemu? Tu była taka operacja 1 maja - wg logów infekcja grasowała już 18 kwietnia, bo taką datę mają pliki infekcji, więc nawet nie ma punktu z tego zakresu (zapewne wszystkie punkty Przywracania usunęła infekcja). Czy próbowałeś przeinstalować oprogramowanie Intel?

 

2015-04-18 19:23 - 2015-04-19 15:23 - 05025345 _____ () C:\ProgramData\xgiwnia.html
2015-04-18 19:21 - 2015-04-18 19:21 - 00002830 _____ () C:\Windows\System32\Tasks\zbomdsi
 
==================== Restore Points =========================
 
30-04-2015 09:15:42 Zaplanowany punkt kontrolny
01-05-2015 01:06:39 Removed Sentinel Protection Installer 7.3.2
01-05-2015 01:13:25 Removed Microsoft SOAP Toolkit 3.0
01-05-2015 01:15:31 Removed Microsoft Primary Interoperability Assemblies 2005
01-05-2015 01:20:01 Removed Obsługa programów Apple
01-05-2015 01:34:14 Operacja przywracania
03-05-2015 21:14:02 Norton_Power_Eraser_20150503211400700
03-05-2015 21:18:16 Removed Sentinel Protection Installer 7.3.2
03-05-2015 21:24:34 Removed Obsługa programów Apple

 

Dodatkowo, w Dzienniku zdarzeń widzę taki oto "krytyczny błąd sprzętowy" (kompletnie nie związany z infekcją):

 

System errors:
=============
Error: (05/07/2015 11:43:59 AM) (Source: Service Control Manager) (EventID: 7034) (User: )
Description: Usługa Intel® Rapid Storage Technology niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.
 
Error: (05/07/2015 11:42:02 AM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: ZARZĄDZANIE NT)
Description: Wystąpił krytyczny błąd sprzętowy.
 
Zgłoszone przez składnik: rdzeń procesora
Źródło błędu: 3
Typ błędu: 9
Identyfikator procesora: 0
 
Widok szczegółów tego wpisu zawiera dodatkowe informacje.

 

 

---

Na razie zadaję doczyszczanie szczątków infekcji i adware oraz zaszyfrowanych plików (zakładam, że te istotne już zostały skopiowane na inny dysk niż C i D, gdyż z obu będę wywalać pliki):

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}w64; system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}w64.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S1 F06DEFF2-5B9C-490D-910F-35D3A91196222; \??\C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc1.cfg [X]
S3 gfiark; system32\drivers\gfiark.sys [X]
S2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe -service [X]
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
S2 SystemkService; C:\Program Files (x86)\Settings Manager\systemk\SystemkService.exe [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
Task: {2EC381D0-BC3A-4C71-B78F-CF416D8F2F5E} - System32\Tasks\zbomdsi => C:\Windows\TEMP\opnolca.exe
Task: {326E8285-A7C1-435B-99CF-C88E5DE63E22} - System32\Tasks\{A3501C6D-AC9B-4FC7-9143-099DB1CDEDC6} => pcalua.exe -a "D:\Download\Fanuc Roboguide software\Setups\SimPRO\setup.exe" -d "D:\Download\Fanuc Roboguide software\Setups\SimPRO"
Task: {603194EC-1D42-430A-9879-22EDD446D077} - System32\Tasks\{AA559635-465B-4E2A-A5C2-7DEF647EBF3C} => pcalua.exe -a "C:\drivers\15. Camera Driver\Setup.exe" -d "C:\drivers\15. Camera Driver"
Task: {8A40BC1F-5E24-4026-8D5A-F5980358953B} - System32\Tasks\{356F9C1A-591E-4305-8451-6963B92886F5} => pcalua.exe -a "C:\drivers\11. WLAN Driver (Atheros, Broadcom)\Setup.exe" -d "C:\drivers\11. WLAN Driver (Atheros, Broadcom)"
Task: {B9E3FDDF-C75C-47B1-9446-D5F87CA8B23D} - System32\Tasks\{A400D924-21FB-4BEB-9D68-4EA0A327FF26} => pcalua.exe -a "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack\STOPzilla_Setup.exe" -d "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack"
Task: {F40B97DA-A72D-429A-9F40-A08503030AFD} - System32\Tasks\{51A274A2-0F15-4DAF-B0EB-F296C89ACBFE} => pcalua.exe -a "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack\activator.exe" -d "C:\Users\e6t9i0isdghgj nv\Desktop\STOPzilla! v3.1.0.7 + Crack"
Task: {FF044DA3-313C-439F-8EE7-344DBD95DE08} - System32\Tasks\{EDAE1B26-9645-4DF5-8677-46F4BD5569FD} => pcalua.exe -a D:\instalki\Roboguide[6.40.Rev.I][A08B-9410-J605][Academic]\SimPRO\setup.exe -d D:\instalki\Roboguide[6.40.Rev.I][A08B-9410-J605][Academic]\SimPRO
HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\Software\Classes\exefile: 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=N360&pvid=21.6.0.32
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1399488326&from=cor&uid=ST1000LM014-1EJ164_W380R9M9XXXXW380R9M9&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1399488326&from=cor&uid=ST1000LM014-1EJ164_W380R9M9XXXXW380R9M9&q={searchTerms}
HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-2256639088-4162579136-3780625949-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=n360&pvid=21.6.0.32
SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = http://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12791&tm=361&src=ds&p={searchTerms}
BHO-x32: No Name -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> No File
Toolbar: HKU\S-1-5-21-2256639088-4162579136-3780625949-1000 -> No Name - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - No File
Toolbar: HKU\S-1-5-21-2256639088-4162579136-3780625949-1000 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File
CHR HKLM-x32\...\Chrome\Extension: [fdjkhamgopgokjmllcmpkiijndjeidcl] - C:\Users\e6t9i0isdghgj   nv\AppData\Local\Temp\twsfiles\trustedshopper.crx [Not Found]
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\xgiwnia.html
CMD: netsh advfirewall reset
CMD: attrib -r -h -s C:\*hiywoqd* /s
CMD: attrib -r -h -s D:\*hiywoqd* /s
CMD: del /q /s C:\*hiywoqd*
CMD: del /q /s D:\*hiywoqd*
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[pid]

Wszystkie ważne pliki skopiowałem na zewnętrzny nośnik. Sterowniki Intela przeinstalowane i problem z IAStorIcon się już nie pojawia.

Infekcja komputera wystapiła gdzieś 28-29 kwietnia. Data była zmieniona w komputerze na potrzeby jakiejś aplikacji.

 

Pliku Fixlog.txt nie mogę wstawić ponieważ ma za duży rozmiar. Po spakowaniu wyskakuje bład o braku uprawnień do wysyłania tego typu plików

FRST.txt

[Rucek]

wklej wynik tutaj: http://wklej.org/

[pid]

Plik pod linkiem: http://wikisend.com/download/736718/Fixlog.txt