Trojan Ransom - plansza z kodem 0x00874324

[koorki]

Witam, wczoraj po uruchomieniu komputera z Windowsem XP zaraz po komunikacie zapraszamy wyświetlił mi sie taki ekran:

 

"System Plugin At Address 0x00874324 Got Critical Error Plese Follow These Steps To Deactivate It"

 

 

Takie rozwiązanie znalazłem pod win 7 niestety pod XP nie łapie ( Rozwiązanie win 7)

Nie mogę tego w żaden sposób ominąć, w trybie awaryjnym jest tak samo, nawet jak uda mi się uruchomić menadżer zadań i zablokować na chwile proces "svchost.exe" od trojana, menadżer zawiesza sie i niemożna go ponownie uruchomić, aby odpalić "explorer.exe" co uniemożliwia mi zrobienie jakiegokolwiek logu. Próba odpalenia OTLPE, aby wykonać log kończy się blue screenem (błędy z blue screen'a: 0x000000ED (0x83F73738, 0xC00000032, 0x00000000 0x00000000). Proszę o pomoc.

[picasso]

Dokładnie co do joty ekran jest identyczny? Oceniając ekran, moment gdy on się aktywuje, to prawdopodobnie jest tu zmodyfikowana wartość Userinit i Shell, dlatego nie da rady ominąć tego ekranu.

 

 

nawet jak uda mi się uruchomić menadżer zadań i zablokować na chwile proces "svchost.exe" od trojana, menadżer zawiesza sie i niemożna go ponownie uruchomić, aby odpalić "explorer.exe" co uniemożliwia mi zrobienie jakiegokolwiek logu.

 

Czy na pewno zabijasz odpowiedni svchost.exe a nie ten od systemu?

 

 

Próba odpalenia OTLPE, aby wykonać log kończy się blue screenem (błędy z blue screen'a: 0x000000ED (0x83F73738, 0xC00000032, 0x00000000 0x00000000).

 

Skoro ta płyta nie wchodzi, weźmiemy inną (opartą na innym bardziej zaawansowanym silniku), a naprawa będzie nieco bardziej skomplikowana i ja się tym zajmę osobiście w części rejestru.

 

1. Przygotuj na innym komputerze następujące elementy:

 

• Płyta WinRE.
  
• Menedżer plików w wersji portable: FreeCommander (ze spodu pobierz paczkę ZIP). Menedżer ten rozpakuj na jakiś dostępny sobie pendrive. Założę, że będzie rozpakowany na pendrive w taki sposób: X:\FreeCommander\FreeCommander.exe
  

2. Pod chory komputer podpinasz pendrive z FreeCommanderem. Startujesz z płyty WinRE. W menu opcji wybierasz Command Prompt. Zweryfikuj jaką literę dostał w tym środowisku Windows oraz podpięty pendrive. Wpisujesz polecenie notepad, z menu File wybierz opcję Open, w oknie dialogowym kliknij z boku w "Computer" i popatrz jakie dyski jakie litery mają przyznane. Poglądowy obrazek: KLIK. Zamykasz to okno, gdyż ono służy tylko weryfikacji liternictwa.

 

3. W linii komend wpisujesz polecenie wejścia na pendrive (pod X podstaw literę dysku):

 

X:

 

Następnie wpisz komendę uruchamiania FreeCommandera:

 

X:\FreeCommander\FreeCommander.exe

 

4. W interfejsie FreeCommander przekopiuj na pendrive główne pliki rejestru, czyli:

 

• Z katalogu C:\Windows\system32\config pliki SYSTEM i SOFTWARE
  
• Z katalogu C:\Documents and Settings\Twoje konto plik NTUSER.DAT
  

5. Już z poziomu innego komputera te pliki na pendrive zapakuj do ZIP i prześlij mi do analizy. Co będzie dalej: ja pliki zedytuję i je podstawisz na miejsce oraz dostaniesz instrukcje jakie pliki infekcji należy skasować z dysku.

 

 

 

 

.

[koorki]

1. Tak ekran jest identyczny, niczym się nie różni.

2. Na pewno ten, bo na innych nic się nie dzieje. Menadżer nie zawiesza się od razu po zamknięciu procesu muszę uruchomić go ponownie po czym jakakolwiek akcja wywołuje raportowanie błędów i zamkniecie go.

3. Czy płyta WinRE jest również pod Windows XP?

[picasso]

2. Na pewno ten, bo na innych nic się nie dzieje. Menadżer nie zawiesza się od razu po zamknięciu procesu muszę uruchomić go ponownie po czym jakakolwiek akcja wywołuje raportowanie błędów i zamkniecie go.

 

Nadal nie jestem przekonana, ponieważ w Menedżerze zadań nie widać ścieżek dostępu, a ów wirusowy odróżnia właśnie całkowicie inna ścieżka dostępu, skąd więc pewność. Systemowych instancji svchost.exe jest kilka, ale jedna z nich jest szczególna (hostuje najważniejszą usługę Windows Zdalne wywoływanie procedur RPC) i jej zabicie powoduje martwicę Windows. Dlatego mam wątpliwości co zabijasz ....

 

 

3. Czy płyta WinRE jest również pod Windows XP?

 

Czy myślisz, że bym rozpisywała te instrukcje gdybym nie znała płyty i jej możliwości? Płyta jest wprawdzie przystosowana do odzyskiwania Windows Vista i Windows 7, ale spokojnie się ją używa także do manipulacji na Windows XP. Różnica jest taka, że startując z niej na XP okno detekcji systemu nie pokaże wykrytego systemu (będzie puste), a jedyne dostępne dla XP narzędzie to właśnie linia komend. Ale w linii komend można zdziałać cuda, włącznie ze zdalną edycją rejestru.

 

 

.

[koorki]

Link z paczką do plików został przesłany na Priv.

Edytowane 27 Kwietnia 2011 przez picasso
Pliki w trakcie analizy. //picasso

[picasso]

Przesyłam na PW pliki zedytowane. Dla jasności jakie operacje przeprowadziłam:

 

SOFTWARE

 

1. Trojan był zapisany wedle moich przypuszczeń w wartości Userinit. W kluczu:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

 

Wartość Userinit była ustawiona na C:\Documents and Settings\BaLi\Dane aplikacji\svchost.exe. Zamieniłam to na domyślne C:\WINDOWS\system32\userinit.exe,

 

2. Przy okazji wykonałam inne mniej ważne kasacje oprogramowania sponsoringowego i adware (ConduitEngine / uTorrent Toolbar / MyGlobalSearch).

 

 

 

Kasacja kluczy / wartości:

 

HKEY_LOCAL_MACHINE\Software\Conduit

HKEY_LOCAL_MACHINE\Software\conduitEngine

HKEY_LOCAL_MACHINE\Software\uTorrentBar

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar

{30F9B915-B755-4826-820B-08FBA6BD249D} (Conduit Engine)

{37B85A29-692B-4205-9CAD-2626E4993404} (MyGlobal Search)

{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} (uTorrentBar Toolbar)

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37B85A21-692B-4205-9CAD-2626E4993404} (MyGlobalSearch)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EA5CA8B6-9B9C-4994-A7A1-947B6C631BE7} (QuickNet)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D} (ConduitEngine)

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} (uTorrent Toolbar)

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{37B85A21-692B-4205-9CAD-2626E4993404}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{37B85A29-692B-4205-9CAD-2626E4993404}

HKEY_LOCAL_MACHINE\Software\Classes\Interface\{37B85A2A-692B-4205-9CAD-2626E4993404}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{44E1C20B-6CEE-4038-84FC-D185224243B6}

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{F1CD8751-1996-4E51-9E21-C834A847D38D}

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{79AEC5B7-DE34-44EC-AD83-4EC9B3AE5BA0}

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\uTorrentBar Toolbar

 

 

 

 

NTUSER.DAT

 

1. Klucz MountPoints miał mapowanie zarażonego USB:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fabde2a4-c737-11df-8fc4-000c76ae7816}\Shell\AutoRun\command

 

C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn

 

2. Przy okazji jak wyżej, poleciały klucze sponsorów i adware (ConduitEngine / uTorrent Toolbar / PriceGong).

 

 

 

HKEY_CURRENT_USER\Software\conduit

HKEY_CURRENT_USER\Software\conduitEngine

HKEY_CURRENT_USER\Software\PriceGong

HKEY_CURRENT_USER\Software\uTorrentBar

HKEY_CURRENT_USER\Software\YahooPartnerToolbar

HKEY_CURRENT_USER\Toolbar

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

{BF7380FA-E3B4-4DB2-AF3E-9D8783A45BFC} (uTorrent Toolbar)

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}

 

i drobnostki konfiguracyjne IE takie jak strona startowa.

 

 

 

 

SYSTEM

 

Tu nie było nic szczególnego, ale poczyniłam pewne korekty. M.in. usunęłam całą wadliwą gałąź konfiguracyjną (już nie braną wcale przez system pod uwagę), która była zmasakrowana = dokasowana do pierwszego zablokowanego obiektu (SPTD). Odblokowałam ten klucz i poleciało wszystko:

 

HKEY_LOCAL_MACHINE\System\ControlSet001

 

 

W podsumowaniu: sprawdziłam wszystkie znane mi punkty ładowania malware i wynalazłam tylko te dwa wyliczone powyżej. Poboczne adware ścięłam w sposób podstawowy, nie przykładając wagi do perfekcji, to pozostawię procesom deinstalacyjnym i ewentualnemu skanerowi w późniejszej fazie.

 

 

 

---

Akcja:

 

1. Podpinasz pendrive z nowymi poprawionymi plikami rejestru. Startujesz do WinRE. Jak poprzednio: Command Prompt > uruchom FreeCommander > przeprowadź następujące czynności.

 

• Zamień pliki rejestru tymi edytowanymi.
  
• Skasuj z dysku:
   
  C:\Documents and Settings\BaLi\Dane aplikacji\svchost.exe (na wszelki wypadek także sprawdź czy inne foldery kont nie mają powielonego pliku svchost.exe)
  C:\RECYCLER (ten folder Kosza skasuj również z każdego innego dysku pozasystemowego)
  

Te operacje powinny odblokować logowanie do Windows, ale nie jest znana tu sytuacja, czy nie ma zarażonych jakiś plików systemowych, dlatego:

 

2. Przed próbą logowania przeskanuj ten komputer z płyty Kaspersky Rescue Disk. Zapisz raport do oceny.

 

3. Chwila prawdy ... Logujesz się na ten system. Jeśli wszystko będzie w porządku:

 

• W menedżerze rozszerzeń Firefox oraz w Dodaj / Usuń programy wymontuj śmieci ConduitEngine i uTorrentBar Toolbar. Nie naruszyłam master klucza deinstalacji, by umożliwić ten proces.
  
• Wygeneruj zestaw logów z OTL i GMER. Dostarcz i wyniki z Kasperskiego.
  

 

 

 

 

.

[koorki]

1. Pliki podmienione, wszystkie nie potrzebne pliki skasowane.

2. Skanowanie prawdopodobnie się zawiesiło. Na krótko po starcie pokazało kilka opcji "ok" po czym utknęło na "Disabling IRQ #15". Skanowanie przerwać poprzez restart? (klawiatura nie reaguje).

3. Skoro skanowanie się nie skończyło wykonać log z OTLPE czy uruchomić system i podać z OTL i GMER?

[picasso]

2. Skanowanie prawdopodobnie się zawiesiło. Na krótko po starcie pokazało kilka opcji "ok" po czym utknęło na "Disabling IRQ #15". Skanowanie przerwać poprzez restart? (klawiatura nie reaguje).

 

Spróbuj je wznowić po restarcie.

 

 

3. Skoro skanowanie się nie skończyło wykonać log z OTLPE czy uruchomić system i podać z OTL i GMER?

 

OTLPE nie wchodzi w grę. Był przecież BSOD i wątpliwe, by samoistnie zniknął, gdyż moje operacje nie miały nic wspólnego z tweakowaniem środowiska PE. Edytowałam tylko składniki Windows, które nie mają żadnego zazębienia z bootowaniem płyty. Ponadto, wolę byś się powstrzymał z logowaniem na ten Windows, dopóki nie przeskanujesz go antywirusem. Z rejestru, który analizowałam, nie jest możliwe wyczytać dane które może wychwycić skaner.

 

 

 

.

[koorki]

Niestety po mimo kilku prób, nawet z innymi opcjami cały czas zatrzymuje się w tym samym miejscu. Spróbować z innym skanerem?

[picasso]

Spróbować z innym skanerem?

 

Tak. Przykładowo spróbuj płyty Dr. Web.

[koorki]

Ok, Jak na razie Dr. Web. działa bez zarzutów. Skanowanie trwa od 26 min i jest dopiero 5% więc wyniki będą pewnie w środku nocy / rano. Logi ze wszystkich programów powinienem zamieścić do godziny 14:30.

 

@Edit

Jednak skanowanie po 12h wynosi zaledwie 50% przez co Logi zamieszczę później.

[koorki]

Skanowanie zakończyło się po około 30h, lecz nie mogę nic zrobić z infekcjami (a jest ich wiele), ponieważ wyskakuje komunikat że jest za mało miejsca na dysku np. root/drweb/... ; win/D:/.... itp. nie pamiętam dokładnie ale później są już klucze chyba. Co z tym zrobić?

Log z Dr. Web. : log

[picasso]

Wyniki niepokojące, wykryty wirus w wykonywalnych Virut. Aczkolwiek .... Wyniki pochodzą z katalogów System Volume Information (Przywracania systemu). Zrób co następuje: próbuj się już zalogować na ten Windows, a po zalogowaniu wyczyść foldery Przywracania systemu (INSTRUKCJE) oraz lokalizacje tymczasowe (TFC - Temp Cleaner). Wygeneruj logi do oceny. I tak zadam potem różne autoskany, które powinny być ciut szybsze niż mielenie przez płytę Live.

[koorki]

Wyniki skanów z GMERA i OLT

GMER.txt

OTL.Txt

Extras.Txt

[picasso]

Logi są w porządku, ale nie spodziewałam się w części rejestru żadnej niespodzianki, skoro osobiście edytowałam rejestr. Pozostały nam skany dla upewnienia się, że system jest czysty.

 

1. Mini skrypt usuwający trzy katalogi sponsorów z dysku oraz foldery Kosza (o nieznanej mi zawartości). Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
RECYCLER /alldrives
$RECYCLE.BIN /alldrives
C:\Documents and Settings\BaLi\Dane aplikacji\PriceGong
C:\Documents and Settings\BaLi\Dane aplikacji\Mozilla\Firefox\Profiles\ze7e3j8q.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}
C:\Documents and Settings\BaLi\Dane aplikacji\Mozilla\Firefox\Profiles\ze7e3j8q.default\extensions\engine@conduit.com

Klik w Wykonaj skrypt. Po ukończeniu zadania klik w Sprzątanie i sfinalizuj restartem.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj Conduit Engine i uTorrentBar Toolbar. Po deinstalacji wytwórz raport z AD-Remover.

 

3. Przeskanuj system przez Kaspersky Virus Removal Tool i podaj raport.

 

 

 

.

[koorki]

Conduit Engine nie reaguje w ogóle na przycisk zmień/usuń, natomiast przy próbie usunięcia uTorrentBar Toolbar brakuje jakiegoś pliku. Mimo to zamieszczam logi z AD-Remover i Kaspersky Virus Removal tool :

Ad-Report-SCAN1.txt

Kaspersky.txt

[picasso]

1. Oceniając wyniki z Kasperskiego:

 

----> Niedokładnie wykonałeś zadanie początkowe. Mówiłam:

 

Skasuj z dysku:

 

C:\Documents and Settings\BaLi\Dane aplikacji\svchost.exe (na wszelki wypadek także sprawdź czy inne foldery kont nie mają powielonego pliku svchost.exe)

 

A tu w wynikach jest:

 

2011-05-01 11:51:45	Zagrożenie: HEUR:Trojan.Win32.Generic	C:\Documents and Settings\Administrator\Dane aplikacji\svchost.exe		
2011-05-01 11:52:39	Usunięty: HEUR:Trojan.Win32.Generic	C:\Documents and Settings\Administrator\Dane aplikacji\svchost.exe		
2011-05-01 11:52:42	Zagrożenie: HEUR:Trojan.Win32.Generic	C:\Documents and Settings\Administrator.B4L1\Dane aplikacji\svchost.exe		
2011-05-01 11:52:43	Usunięty: HEUR:Trojan.Win32.Generic	C:\Documents and Settings\Administrator.B4L1\Dane aplikacji\svchost.exe	

----> Masa wyników punktujących groźne wirusy wykonywalne w folderach System Volume Information na dyskach D + E. Te foldery miały być przecież wyczyszczone procesem wyłączania Przywracania systemu. Czy to na pewno sytuacja po? I mam pytanie - co jest na tych dyskach:

 

Drive C: | 10,00 Gb Total Space | 2,17 Gb Free Space | 21,74% Space Free | Partition Type: NTFS
Drive D: | 30,00 Gb Total Space | 4,74 Gb Free Space | 15,81% Space Free | Partition Type: NTFS
Drive E: | 34,53 Gb Total Space | 0,36 Gb Free Space | 1,03% Space Free | Partition Type: NTFS
Drive F: | 29,29 Gb Total Space | 6,83 Gb Free Space | 23,32% Space Free | Partition Type: NTFS
Drive G: | 30,00 Gb Total Space | 17,97 Gb Free Space | 59,89% Space Free | Partition Type: NTFS
Drive I: | 65,00 Gb Total Space | 15,71 Gb Free Space | 24,17% Space Free | Partition Type: NTFS
Drive J: | 24,75 Gb Total Space | 8,09 Gb Free Space | 32,69% Space Free | Partition Type: NTFS

Powtórz skanowanie Kasperskym. Nie może zostać ani jeden zarażony plik mający w nazwie Virut i Hidrag.

 

2. Na temat tych drobniejszych sponsorów:

----> ConduitEngine: skoro deinstalacja w panelu nie reaguje, uruchom AD-Remover w trybie czyszczenia. On to wykończy z preferencji Firefox i z dysku.

----> uTorrentBar Toolbar: jak jest sformułowany błąd?

 

 

.

[koorki]

1. Faktycznie musiałem przeoczyć te pliki w innych folderach.

 

Przywracanie systemu zostało wyłączone, zgodnie z instrukcją więc nie wiem w czym problem. Na dyskach znajdują się standardowe dane + pliki stron internetowych czy pliki do servera gry, ewentualnie jakaś gra.

 

2. Could not open INSTALL.LOG file.

 

@Edit

Skanowanie nic nie wykazało log jest czysty.

[picasso]

Skoro skanowanie nie wykazuje już żadnych infekcji, możemy kończyć.

 

1. Usuń zdefektowane wejście uTorrentBar Toolbar. Start > Uruchom > regedit i skasuj klucz:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar Toolbar

 

Jeśli w C:\Program files jest pasujący do tego folder, również usuń.

 

2. Aktualizacje oprogramowania:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java™ 6 Update 22
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.3 - Polish
"FileZilla Client" = FileZilla Client 3.3.4.1
"Gadu-Gadu" = Gadu-Gadu 7.0
"Gadu-Gadu 10" = Gadu-Gadu 10
"Mozilla Firefox (3.6.16)" = Mozilla Firefox (3.6.16)

- Obie przeglądarki, Java, Adobe Reader i FileZilla do aktualizacji: INSTRUKCJE.

- Bezsensowny duplikat GG7 + GG10 można zamienić jednym a porządnym programem bez reklam i z obsługą protokołu GG8/10. W opisie Darmowe komunikatory popatrz na opisy: WTW, Miranda i Kadu. Ewentualnie AQQ, jeśli reklamy są dopuszczalne....

 

3. W związku z kolejnymi procesami (de)instalacyjnymi jeszcze raz wyczyść lokalizacje tymczasowe i foldery Przywracania systemu.

 

Podsumuj sytuację systemową.

 

 

 

.

[koorki]

Log OTL Extras:

Extras.Txt

[picasso]

O logi już nie prosiłam (a podane są w porządku). To były końcowe zadania. Wypowiedz się wyraźnie czy wszystko działa prawidłowo i czy coś tu jeszcze należy zrobić.

Edytowane 5 Czerwca 2011 przez picasso
5.06.2011 - Upłynął miesiąc. Brak dodatkowych komentarzy. Temat uznaję za zamknięty. //picasso