kya.exe - Fake Antyvirus

[Noiz]

Witam

Dziś mnie zaatakowało takie coś. Program udający zaporę.

Użyłem RogueKiller i MBAM. Nie wiem czy coś nie pozostało.

RKreport1.txt

RKreport2.txt

RKreport3.txt

mbam-log-2012-12-06 (22-36-46).txt

[picasso]

Zasady działu co tu się dostarcza obowiązkowo: KLIK. Proszę przedstawić logi z OTL.

 

 

.

[Noiz]

Okey

FSS.txt

OTL.Txt

[picasso]

To nie jest zestaw o jaki proszę w zasadach. Wyraźnie było powiedziane: logi z OTL (brakuje pliku Extras, opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"), a Farbar Service Scanner "tylko na prośbę moderatora".

 

Zostawmy te niuansy na razie, bo przed nami robota dezynfekcyjna. W systemie działa rootkit Necurs (RogueKiller tylko w pozorowany sposób z nim się rozporządzał):

 

========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012-12-06 22:35:02 | 000,074,200 | ---- | M] () [unknown (-1) | Unknown (-1) | Unknown] -- C:\Windows\SysNative\drivers\e285621e3ce638e1.sys -- (e285621e3ce638e1)
 
[2012-12-06 22:35:02 | 000,074,200 | ---- | M] () -- C:\Windows\SysNative\drivers\e285621e3ce638e1.sys
[2012-12-06 12:38:53 | 000,074,200 | ---- | M] () -- C:\Windows\SysNative\drivers\9a49435bf4aa1a0a.sys

 

+ zablokowane prawidłowe sterowniki programów. Dodatkowo, to co jest w logu z Farbar Service Scanner "IS INFECTED AND SHOULD BE REPLACED." być może to także efekt zablokowania sterowników i na razie nie podejmuję pod tym kątem szczególnych akcji, zobaczymy jaki odczyt się pojawi po prawidłowym usunięciu infekcji. Prócz Necurs, kolejna infekcja wcale nie za dobrze wyczyszczona, kya.exe i reszta plików nadal na dysku (RogueKiller ich wcale nie usuwa, on robi usuwanie tylko wpisu startowego).

 

 

1. Uruchom zgodnie z opisem ESET Necurs Remover.

 

2. Po restarcie pojawi się na Pulpicie znak wodny "Tryb testu". Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę:

 

bcdedit /set testsigning off

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O7 - HKU\S-1-5-21-527182887-3052294137-834715681-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HideSCAHealth = 1
O37 - HKU\S-1-5-21-527182887-3052294137-834715681-1000\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2012-12-06 12:49:29 | 000,009,300 | -HS- | M] () -- C:\Users\Sebastian\AppData\Local\6o4v7yr6ikfw18072u
[2012-12-06 12:49:29 | 000,009,300 | -HS- | M] () -- C:\ProgramData\6o4v7yr6ikfw18072u
[2012-12-06 12:38:06 | 000,238,943 | ---- | M] () -- C:\Users\Sebastian\AppData\Local\kya.exe
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Jest tu nieprawidłowo naprawiony klucz infekcji ZeroAccess. Start > w polu szukania wpisz regedit > z prawokliku skasuj klucz:

 

HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}

 

5. Zrób nowy log OTL z opcji Skanuj (przypominam o Extras) + Farbar Service Scanner. Potwierdź, że Tryb testu zniknął z Pulpitu.

 

 

.

[Noiz]

Zrobione

 

info: --------------------------------------------------------------------------------

info: ESET Necurs Remover v2.0.0.0 (Nov 26 2012 14:10:55)

info: --------------------------------------------------------------------------------

info: OS: 6.1.7601 SP1

info: Product type: workstation

info: WoW64: 1

info: --------------------------------------------------------------------------------

debug: debug mode self-test

error: Internal detection error 03 - 5.

info: Could not detect rootkit 02.

info: Rootkit has not been found.

12072012_100030.txt

FSS.txt

OTL.Txt

Extras.Txt

[picasso]

"Rootkit has not been found" = a jest bez zmian, w logu nadal obiekty Necurs i zablokowane sterowniki. Zmiana narzędzia. Uruchom Kaspersky TDSSKiller. Do usuwania tylko wyniki opisane jako Rootkit.Win32.Necurs.gen, nie ruszaj sterowników oznaczonych jako Locked. Podaj log z TDSSKiller.

 

 

.

[Noiz]

TDSSKiller nie działa pisze ,że nie może załadować sterownika.Nic nie znajduje

[picasso]

Nie może załadować sterownika = blokuje go Necurs. Spróbuj trzeciego narzędzia czyli MBAR. Jeśli i ono zawiedzie, usuwanie będzie prowadzone ręcznie z poziomu środowiska zewnętrznego (niezaładowany Windows).

 

 

 

.

[Noiz]

Też nie może załadować sterownika

[picasso]

Musimy sięgnąć po środowisko zewnętrzne WinRE.

 

1. Pobierz FRST x64 i umieść na pendrive.

 

2. Otwórz Notatnik i wklej w nim:

 

0 e285621e3ce638e1; C:\Windows\System32\drivers\e285621e3ce638e1.sys [74200 2012-12-06] ()
C:\Windows\System32\drivers\e285621e3ce638e1.sys
C:\Windows\System32\drivers\9a49435bf4aa1a0a.sys
CMD: bcdedit /set testsigning off

 

Plik zapisz pod nazwą fixlist.txt. Wstaw na pendrive obok FRST.

 

3. F8 przy starcie komputera > "Napraw komputer" > w linii komend uruchom FRST i wybierz w nim opcję Fix. Na pendrive powstanie plik fixlog.txt.

 

4. Restart do Windows. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras) + Farbar Service Scanner. Dołącz fixlog.txt.

 

 

 

.

[Noiz]

Zrobione (z F8 było trzeba się pobawić trochę z komendami... Dobrze ,że jeszcze coś pamiętałem z MS-DOS'a)

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 06-12-2012

Ran by SYSTEM at 2012-12-07 10:59:04 Run:1

Running from F:\

 

==============================================

 

e285621e3ce638e1 service deleted successfully.

C:\Windows\System32\drivers\e285621e3ce638e1.sys moved successfully.

C:\Windows\System32\drivers\9a49435bf4aa1a0a.sys moved successfully.

 

========= bcdedit /set testsigning off =========

 

Operacja ukoäczona pomy˜lnie.

 

========= End of CMD: =========

 

 

==== End of Fixlog ====

FSS.txt

OTL.Txt

[picasso]

Operacja pomyślna, ale częściowo. Komponenty Necurs uprzednio widoczne usunięte (ale teraz jest nowy drajwer w logu widzialny), komenda zdejmowania znaku Tryb testu wykonana, wszystkie sterowniki odblokowane (pobór danych pojawił się i opisy typu producent). I tak jak podejrzewałam: to co było w Farbar Service Scanner to skutek uboczny aktywności Necurs (zablokowane sterowniki = Farbar nie mógł pobrać ich rzeczywistych sum kontrolnych), odczyt ten zniknął. Niemniej musimy usunąć nowy sterownik Necurs. Powtórka:

 

1. Skrypt do FRST:

 

0 7d0e2f80d76f0635; C:\Windows\System32\drivers\7d0e2f80d76f0635.sys  [74688 2012-12-07] ()
C:\Windows\System32\drivers\7d0e2f80d76f0635.sys 
CMD: bcdedit /set testsigning off

 

Uruchamiasz go w taki sam sposób jak poprzednio.

 

2. Restart do Windows i nowy log OTL z opcji Skanuj. Dołącz fixlog.txt.

 

 

 

.

[Noiz]

Gotowe

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 06-12-2012

Ran by SYSTEM at 2012-12-07 11:22:04 Run:2

Running from F:\

 

==============================================

 

7d0e2f80d76f0635 service deleted successfully.

C:\Windows\System32\drivers\7d0e2f80d76f0635.sys moved successfully.

 

========= bcdedit /set testsigning off =========

 

Operacja ukoäczona pomy˜lnie.

 

========= End of CMD: =========

 

 

==== End of Fixlog ====

OTL.Txt

[picasso]

Nie jest dobrze, on się regeneruje... Kolejny cyfrowy sterownik w logu.

 

1. Skrypt do FRST:

 

0 96cf1894f12fef4c; C:\Windows\System32\drivers\96cf1894f12fef4c.sys  [74688 2012-12-07] ()
C:\Windows\System32\drivers\96cf1894f12fef4c.sys
CMD: bcdedit /set testsigning off

 

Uruchamiasz go w taki sam sposób jak poprzednio.

 

2. Tym razem jednak nie wchodź do Windows, tylko zrób ogólny log FRST opcją Scan.

 

 

.

[Noiz]

Gotowe

Wpierw Fix potem Scan niestety jestem w Windowsie bo to moj jedyny komputer i pisze z niego posty

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 06-12-2012

Ran by SYSTEM at 2012-12-07 11:39:54 Run:3

Running from F:\

 

==============================================

 

96cf1894f12fef4c service deleted successfully.

C:\Windows\System32\drivers\96cf1894f12fef4c.sys moved successfully.

 

========= bcdedit /set testsigning off =========

 

Operacja ukoäczona pomy˜lnie.

 

========= End of CMD: =========

 

 

==== End of Fixlog ====

FRST.txt

[picasso]

Wpierw Fix potem Scan niestety jestem w Windowsie bo to moj jedyny komputer i pisze z niego posty

 

Niestety kompletnie nie o to mi chodziło... Brak startu do Windows był po to, by zapobiec regeneracji sterownika dostatecznie wcześnie. W WinRE można uzyskać połączenie sieciowe (przepis w tej demonstracji: KLIK). A log z FRST jest już w tym momencie częściowo niewiarygodny, bo zrestartowałeś do Windows, czyli mógł się utworzyć nowy sterownik rootkit. Ale log ten podaje też nową informację, jest dodatkowa ukryta usługa (w OTL niewidoczna):

 

==================== Services (Whitelisted) ===================
 
2 syshost32; "C:\Windows\Installer\{C582D60C-44EB-C52F-C3C0-F961A39258FE}\syshost.exe" /service [59392 2012-12-06] ()

 

1. Skrypt do FRST:

 

2 syshost32; "C:\Windows\Installer\{C582D60C-44EB-C52F-C3C0-F961A39258FE}\syshost.exe" /service [59392 2012-12-06] ()
C:\Windows\Installer\{C582D60C-44EB-C52F-C3C0-F961A39258FE}
CMD: bcdedit /set testsigning off

 

Uruchamiasz go w taki sam sposób jak poprzednio.

 

2. Zrób ogólny log FRST opcją Scan. Zresetuj do Windows i zrób OTL z opcji Skanuj.

 

 

 

.

[Noiz]

Zrobione

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 06-12-2012

Ran by SYSTEM at 2012-12-07 12:04:36 Run:4

Running from F:\

 

==============================================

 

syshost32 service deleted successfully.

C:\Windows\Installer\{C582D60C-44EB-C52F-C3C0-F961A39258FE} moved successfully.

 

========= bcdedit /set testsigning off =========

 

Operacja ukoäczona pomy˜lnie.

 

========= End of CMD: =========

 

 

==== End of Fixlog ====

FRST.txt

OTL.Txt

[picasso]

Tak jak mówiłam, on się zdążył w międzyczasie zregenerować. Mam wrażenie, że się kręcimy w kółko. Próbujmy po raz kolejny:

 

1. Skrypt do FRST:

 

0 63e745c0be481c6f; C:\Windows\System32\Drivers\63e745c0be481c6f.sys [74688 2012-12-07] () ATTENTION =====> Rootkit?
C:\Windows\System32\Drivers\63e745c0be481c6f.sys
CMD: bcdedit /set testsigning off

 

2. Zrób ogólny log FRST opcją Scan. Zresetuj do Windows i zrób OTL z opcji Skanuj. Poprzednio nie podałeś raportu z OTL.

 

 

 

.

[Noiz]

Gotowe (chyba działa ożył sam z siebie Windows Update)

 

// Ide do pracy jak coś będe dostepny 22

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 06-12-2012

Ran by SYSTEM at 2012-12-07 12:28:14 Run:5

Running from F:\

 

==============================================

 

63e745c0be481c6f service deleted successfully.

C:\Windows\System32\Drivers\63e745c0be481c6f.sys moved successfully.

 

========= bcdedit /set testsigning off =========

 

Operacja ukoäczona pomy˜lnie.

 

========= End of CMD: =========

 

 

==== End of Fixlog ====

Fixlog.txt

OTL.Txt

[picasso]

Jest dobrze, żadnej regeneracji. Potwierdź, że nie ma znaku wodnego "Tryb testu" na Pulpicie. Przejdź do tej porcji czynności:

 

1. Wyczyść po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w OTL uruchom Sprzątanie, usuń ręcznie RogueKiller i resztę używanych.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Poprzednio skany odbywały się przy czynnym Necurs (blokada dostępowa). Dla pewności zrób nowy pełny skan w MBAM. Jeśli coś znajdzie, raport dostarcz.

 

 

 

.

Edytowane 1 Lutego 2013 przez picasso
1.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso