Skocz do zawartości

Trojan/Ransomware, prawdopodobnie również inne infekcje


Rekomendowane odpowiedzi

Witam, jutro zostanie mi dostarczona maszyna prawdopodobnie zainfekowana Trojan/Ransomware (identyfikacja po 'telefonicznym przekazie' tego co użytkownik widzi na ekranie, szybkie google + to: http://deletemalware.blogspot.com/2011/04/system-plugin-at-address-0x00874324-got.html i potwierdzenie...). Proszę o skuteczną metodę pozbycia się tego zatruwającego życie trojana (co prawda na tamtej stronie jakaś metoda podana jest, ale Wam ufam).

 

Logi z OTLa i GMERa (również w razie innych, przewidywanych infekcji) zamieszczę jutro, podejrzewam że około godziny 19.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nieśmiało chciałbym zapytać z ciekawości, czy z poziomu płyty WinRE można ewentualnie dodatkowo na trojana Ransom zastosować te dwa narzędzia od Kaspersky?:

RectorDecryptor - http://www.softpedia.com/get/Antivirus/RectorDecryptor.shtml

XoristDecryptor - http://www.softpedia.com/get/Antivirus/XoristDecryptor.shtml

Chodzi mi o to, czy dostarczone na pendrivie uruchomią się w tym środowisku poprzez FreeCommander'a?

Odnośnik do komentarza
Nieśmiało chciałbym zapytać z ciekawości, czy z poziomu płyty WinRE można ewentualnie dodatkowo na trojana Ransom zastosować te dwa narzędzia od Kaspersky?

 

"Ransom" (= "okup") to cała rodzina, szkodniki działające różnymi technikami. Podajesz linki do Softpedia, ale porównaj z oryginalną treścią w bazie danych Kasperskiego jakie objawy te narzędzia likwidują: KLIK / KLIK. Te narzędzia nie pasują. To nie jest ten wariant, o ile oczywiście nie nastąpiła tu pomyłka w opisie. Wróć do linkowanego przeze mnie tematu, brak szyfrowania plików tylko zmodyfikowana wartość Userinit posiłkująca się falsyfikatem svchost.exe, a uniemożliwiająca w ogóle wejście do Windows. Wystarczy tylko zdjąć Userinit.

 

PS. Ale tak, te narzędzia z linii poleceń WinRE można uruchomić.

 

 

 

.

Odnośnik do komentarza

Udało mi się dostać do systemu normalnie, tytułowego trojana (jeszcze?) nie ujżałem, w ogóle oprócz dziwnych procesów działających w tle nie ma żadnych oznak jakichkolwiek infekcji... Sterownik wyłączony Defoggerem, logi z GMERa i OTLa w załączniku. Wygląda na to, że GMER wykrył rootkita?...

 

Czekam na analizę, w międzyczasie wywalę śmieciowe toolbary itp.

 

#Edit: w logu z GMERa widzę TDL4, pobrałem Kaspersky TDSSKiller, już zadziałał, teraz reboot. A ile wirów (samemu pobranych?!) było w C:\Users\Ewelina - no tragedia...

 

PS wiem, że to wygląda jakbym nie stosował się do poleceń, ale wyszedłem z założenia, że tamtą płytą należy się posiłkować gdy logów normalnie uzyskać się nie da - a tu się dało...

OTL.Txt

Extras.Txt

gmer.log.txt

Odnośnik do komentarza
PS wiem, że to wygląda jakbym nie stosował się do poleceń, ale wyszedłem z założenia, że tamtą płytą należy się posiłkować gdy logów normalnie uzyskać się nie da - a tu się dało...

 

Słusznie, tak należało zrobić jak uczyniłeś. Tylko pytaniem jest skąd tu w ogóle się wzięła teoria Ransom? Użytkownik na pewno takie coś widział? W raporcie nie widzę tego typu oznak, za to jest rootkit w MBR i wianek trojanów w około.

 

 

1. Zastosuj Kaspersky TDSSKiller i dla wyniku TDL4 wystosuj opcję Cure. Restart komputera.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
C:\windows\System32\config\systemprofile\AppData\Roaming\KB819460.exe
C:\windows\System32\Config.MPF
C:\Users\Ewelina\wuaucldt.exe
C:\Users\Ewelina\fv6ap3xh7c.exe
C:\Users\Ewelina\fGv77YEw.exe
C:\Users\Ewelina\igfsvc.exe
C:\Users\Ewelina\rdxagggq.exe
C:\Users\Ewelina\peogue.exe
C:\Users\Ewelina\vobfux.exe
C:\Users\Ewelina\wobfud.exe
C:\Users\Ewelina\vopnat.exe
C:\Users\Ewelina\zupnat.exe
C:\Users\Ewelina\supnat.exe
C:\Users\Ewelina\veehn.exe
C:\Users\Ewelina\fiasn.exe
C:\Users\Ewelina\lophost.exe
C:\Users\Ewelina\jochost.exe
C:\Users\Ewelina\aciz.exe
C:\Users\Ewelina\optable.exe
C:\Users\Ewelina\euxo.exe
C:\Users\Ewelina\AppData\Roaming\Pgrqrf.exe
C:\Users\Ewelina\AppData\Roaming\FB93.exe
C:\Users\Ewelina\AppData\Roaming\85D3.exe
C:\Users\Ewelina\AppData\Roaming\4F9F.exe
C:\Users\Ewelina\AppData\Roaming\Vfrqrl.exe
C:\Users\Ewelina\AppData\Roaming\engel
C:\Users\Ewelina\AppData\Roaming\OpenCandy
C:\Users\Public\E-73473-3674-74335\msnrsmsn.exe
 
:Services
AMService
 
:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"12CFG214-K641-12SF-N85P"=-
"ares"=-
"engel"=-
"fv6ap3xh7c"=-
"Microsoft3264OSUpdate"=-
"Pgrqrf"=-
"rdxagggq"=-
"Regedit32"=-
"taiti"=-
"Vfrqrl"=-
"wuaucldt"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AMService"=-
"KB819460.exe"=-
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AMService"=-
"KB819460.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt.

 

3. System nie ma pliku HOSTS:

 

Hosts file not found

+

 

Error - 6/8/2011 4:52:51 AM | Computer Name = samsung | Source = Microsoft-Windows-DNS-Client | ID = 1012

Description = Wystąpił błąd podczas próby odczytu lokalnego pliku hosts.

Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost

# ::1 localhost

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

4. Generujesz set logów: OTL, GMER, Kaspersky TDSSKiller. Dołącz log z wykonania skryptu OTL z punktu 2.

 

 

 

 

.

Edytowane przez picasso
Drobna poprawka. Z rozpędu dałam inną zawartość HOSTS. Windows 7 ma wpisy obu protokołów skomentowane. //picasso
Odnośnik do komentarza

Ransom wziął się stąd:

system plugin pod adresem 0xE4783995 jeszcze krytycznego błędu, wykonaj następujące kroki, aby je wyłaczyć, i dalej jakieś dziwne nr tel.
- tak mi napisała znajoma...

 

Jak już napisałem wcześniej, punkt 1 wykonany, log w załączniku :)

 

Punkt drugi również częściowo wykonałem (;)), dlatego w logu będzie o tym że niektórych plików bądź wpisów nie znaleziono.

 

Hosts też uzupełniłem, z tym że jak widzę, nie tak jak trzeba ;)

 

Nowe logi z GMERa i OTLa w załączniku (zostały zrobione przed utworzeniem hosts, bo nie miałem uprawnień, więc wpisy o tym że go nie ma dalej są - uruchomiłem notatnik jako admina, i udało się zapisać).

TDSSKiller.2.5.4.0_10.06.2011_20.03.29_log.txt

06102011_202831.log.txt

OTL.Txt

gmer.log.txt

Odnośnik do komentarza

Nierówno działamy. :P Wracając do meritum, to wygląda na to, że podstawowy problem z rootkitem jest zażegnany, GMER opustoszał. Reszta zgodnie z planem przetrzebiona. Wykonaj podstawowe porządki oraz po tym pełny skan, gdyż logi to jednak wąskie wycinki.

 

1. "w międzyczasie wywalę śmieciowe toolbary itp." = WinAmp Toolbar na Ciebie czeka.

 

2. Uruchom Sprzątanie w OTL.

 

3. Przejedź system przy udziale Kaspersky Virus Removal Tool. Jeśli będą jakieś wyniki, zaprezentuj raport do oceny. Jeśli nie, to już kurcgalopkiem do:

 

4. Czyszczenie folderów Przywracania systemu (zaprawiony jesteś, linka nie daję :P).

 

5. Aktualizacje:

 

 Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation

Internet Explorer (Version = 8.0.7600.16385)

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22

Nadrób podstawy systemowe (SP1+IE9) i zaktualizuj Java: INSTRUKCJE.

 

6. Wymiana wszystkich haseł logowań w serwisach.

 

 

 

 

.

Odnośnik do komentarza

Ad. 1, to był tam jeszcze Google Toolbar, ale niepotrzebny, to i też wyrzucony ;)

 

Sprzątanie zrobione.

 

Narzędzie Kaspersky'ego wykryło kilka infekcji, ale to zdaje się heurestyka wykryła pliki tymczasowe (pozostałe po tych wirach co były pobierane do C:\Users\Ewelina). Jak coś, to log w załączniku.

 

Punkty przywracania usunięte. I właśnie, apropos, to wydaje mi się że właściciel mógł skorzystać z opcji "ostatnia dobra konfiguracja", przez co infekcji Ransomem jakby w ogóle nie było...

 

Wyżej wymienione zaktualizowane, wcześniej odinstalowany Acrobat Reader 9 zastąpiony najnowszym Foxit Reader'em, (wygaśnięty...) trial McAffe'go zastąpiony avast! 6. Zainstalowany FF4, Adblock Plus z odpowiednimi filtrami + jest WebRep od avast!a.

 

 

A zmianę haseł sugeruję zawsze, nawet jeśli komputer nie był zainfekowany czymś zdolnym do ich przechwytywania - profilaktyczna zmiana hasła nikomu nie zaszkodzi ;) (zwłaszcza, że wiele osób korzysta z takiego samego hasła wszędzie, i go nie zmienia...).

 

To chyba wszystko? :) Dzięki za asystę ;)

kaspersky_s_tool.txt

Odnośnik do komentarza
to był tam jeszcze Google Toolbar, ale niepotrzebny, to i też wyrzucony

 

Nie traktuję tych pasków równorzędnie, ze względu na naturę modyfikacji prowadzonych przez paski (na niekorzyść WinAmp oczywiście).

 

 

Narzędzie Kaspersky'ego wykryło kilka infekcji, ale to zdaje się heurestyka wykryła pliki tymczasowe (pozostałe po tych wirach co były pobierane do C:\Users\Ewelina).

 

W wynikach jest też plik MP3, który prawdopodobnie miał robótki w nagłówku i mógł być downloaderem malware.

 

 

Punkty przywracania usunięte. I właśnie, apropos, to wydaje mi się że właściciel mógł skorzystać z opcji "ostatnia dobra konfiguracja", przez co infekcji Ransomem jakby w ogóle nie było...

 

Nie pasuje mi to do koncepcji, nie te klucze rejestru. Ostatnia dobra konfiguracja resetuje klucz HKLM\SYSTEM\CurrentControlSet (pobierając numer Ostatniej poprawnej z klucza HKLM\SYSTEM\Select), czyli odkręca status pliku SYSTEM a nie SOFTWARE. Ale skoro ten ekran "Ransom" w ogóle Ci się nie pokazał, przypuszczam jedno z dwóch: użytkownik "ratował się" na własną rękę (Przywracanie systemu?) lub nie było to potrzebne. W Windows 7 (o jakiej platformie mowa, dopiero z logów wyszło) mogła zastartować jakaś procedura "resetująca" samego systemu. Ponadto, z tego co ja pamiętam ze swoich starych testów w wirtualu, na Windows 7 nie mogłam wymusić usterki Userinit, Windows sam mi resetował wartość / wchodziłam w Windows bez problemu.

 

 

Jeśli nie ma więcej pytań / problemów do rozwiązywania, temat na kluczyk.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...