karololszak Opublikowano 9 Czerwca 2011 Zgłoś Udostępnij Opublikowano 9 Czerwca 2011 Witam, jutro zostanie mi dostarczona maszyna prawdopodobnie zainfekowana Trojan/Ransomware (identyfikacja po 'telefonicznym przekazie' tego co użytkownik widzi na ekranie, szybkie google + to: http://deletemalware.blogspot.com/2011/04/system-plugin-at-address-0x00874324-got.html i potwierdzenie...). Proszę o skuteczną metodę pozbycia się tego zatruwającego życie trojana (co prawda na tamtej stronie jakaś metoda podana jest, ale Wam ufam). Logi z OTLa i GMERa (również w razie innych, przewidywanych infekcji) zamieszczę jutro, podejrzewam że około godziny 19. Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Dla porównania temat: KLIK (zmodyfikowany Userinit). Logów nie będziesz w stanie wykonać spod tego systemu. Dostarcz log wytworzony z poziomu środowiska zewnętrznego OTLPE. Odnośnik do komentarza
Bonifacy Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Nieśmiało chciałbym zapytać z ciekawości, czy z poziomu płyty WinRE można ewentualnie dodatkowo na trojana Ransom zastosować te dwa narzędzia od Kaspersky?: RectorDecryptor - http://www.softpedia.com/get/Antivirus/RectorDecryptor.shtml XoristDecryptor - http://www.softpedia.com/get/Antivirus/XoristDecryptor.shtml Chodzi mi o to, czy dostarczone na pendrivie uruchomią się w tym środowisku poprzez FreeCommander'a? Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Nieśmiało chciałbym zapytać z ciekawości, czy z poziomu płyty WinRE można ewentualnie dodatkowo na trojana Ransom zastosować te dwa narzędzia od Kaspersky? "Ransom" (= "okup") to cała rodzina, szkodniki działające różnymi technikami. Podajesz linki do Softpedia, ale porównaj z oryginalną treścią w bazie danych Kasperskiego jakie objawy te narzędzia likwidują: KLIK / KLIK. Te narzędzia nie pasują. To nie jest ten wariant, o ile oczywiście nie nastąpiła tu pomyłka w opisie. Wróć do linkowanego przeze mnie tematu, brak szyfrowania plików tylko zmodyfikowana wartość Userinit posiłkująca się falsyfikatem svchost.exe, a uniemożliwiająca w ogóle wejście do Windows. Wystarczy tylko zdjąć Userinit. PS. Ale tak, te narzędzia z linii poleceń WinRE można uruchomić. . Odnośnik do komentarza
karololszak Opublikowano 10 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Udało mi się dostać do systemu normalnie, tytułowego trojana (jeszcze?) nie ujżałem, w ogóle oprócz dziwnych procesów działających w tle nie ma żadnych oznak jakichkolwiek infekcji... Sterownik wyłączony Defoggerem, logi z GMERa i OTLa w załączniku. Wygląda na to, że GMER wykrył rootkita?... Czekam na analizę, w międzyczasie wywalę śmieciowe toolbary itp. #Edit: w logu z GMERa widzę TDL4, pobrałem Kaspersky TDSSKiller, już zadziałał, teraz reboot. A ile wirów (samemu pobranych?!) było w C:\Users\Ewelina - no tragedia... PS wiem, że to wygląda jakbym nie stosował się do poleceń, ale wyszedłem z założenia, że tamtą płytą należy się posiłkować gdy logów normalnie uzyskać się nie da - a tu się dało... OTL.Txt Extras.Txt gmer.log.txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 (edytowane) PS wiem, że to wygląda jakbym nie stosował się do poleceń, ale wyszedłem z założenia, że tamtą płytą należy się posiłkować gdy logów normalnie uzyskać się nie da - a tu się dało... Słusznie, tak należało zrobić jak uczyniłeś. Tylko pytaniem jest skąd tu w ogóle się wzięła teoria Ransom? Użytkownik na pewno takie coś widział? W raporcie nie widzę tego typu oznak, za to jest rootkit w MBR i wianek trojanów w około. 1. Zastosuj Kaspersky TDSSKiller i dla wyniku TDL4 wystosuj opcję Cure. Restart komputera. 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files RECYCLER /alldrives C:\windows\System32\config\systemprofile\AppData\Roaming\KB819460.exe C:\windows\System32\Config.MPF C:\Users\Ewelina\wuaucldt.exe C:\Users\Ewelina\fv6ap3xh7c.exe C:\Users\Ewelina\fGv77YEw.exe C:\Users\Ewelina\igfsvc.exe C:\Users\Ewelina\rdxagggq.exe C:\Users\Ewelina\peogue.exe C:\Users\Ewelina\vobfux.exe C:\Users\Ewelina\wobfud.exe C:\Users\Ewelina\vopnat.exe C:\Users\Ewelina\zupnat.exe C:\Users\Ewelina\supnat.exe C:\Users\Ewelina\veehn.exe C:\Users\Ewelina\fiasn.exe C:\Users\Ewelina\lophost.exe C:\Users\Ewelina\jochost.exe C:\Users\Ewelina\aciz.exe C:\Users\Ewelina\optable.exe C:\Users\Ewelina\euxo.exe C:\Users\Ewelina\AppData\Roaming\Pgrqrf.exe C:\Users\Ewelina\AppData\Roaming\FB93.exe C:\Users\Ewelina\AppData\Roaming\85D3.exe C:\Users\Ewelina\AppData\Roaming\4F9F.exe C:\Users\Ewelina\AppData\Roaming\Vfrqrl.exe C:\Users\Ewelina\AppData\Roaming\engel C:\Users\Ewelina\AppData\Roaming\OpenCandy C:\Users\Public\E-73473-3674-74335\msnrsmsn.exe :Services AMService :Reg [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "12CFG214-K641-12SF-N85P"=- "ares"=- "engel"=- "fv6ap3xh7c"=- "Microsoft3264OSUpdate"=- "Pgrqrf"=- "rdxagggq"=- "Regedit32"=- "taiti"=- "Vfrqrl"=- "wuaucldt"=- [HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AMService"=- "KB819460.exe"=- [HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "AMService"=- "KB819460.exe"=- :Commands [emptyflash] [emptytemp] Klik w Wykonaj skrypt. 3. System nie ma pliku HOSTS: Hosts file not found + Error - 6/8/2011 4:52:51 AM | Computer Name = samsung | Source = Microsoft-Windows-DNS-Client | ID = 1012Description = Wystąpił błąd podczas próby odczytu lokalnego pliku hosts. Otwórz Notatnik i wklej w nim: # 127.0.0.1 localhost # ::1 localhost Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia Plik wstaw do folderu C:\Windows\System32\drivers\etc. 4. Generujesz set logów: OTL, GMER, Kaspersky TDSSKiller. Dołącz log z wykonania skryptu OTL z punktu 2. . Edytowane 10 Czerwca 2011 przez picasso Drobna poprawka. Z rozpędu dałam inną zawartość HOSTS. Windows 7 ma wpisy obu protokołów skomentowane. //picasso Odnośnik do komentarza
karololszak Opublikowano 10 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Ransom wziął się stąd: system plugin pod adresem 0xE4783995 jeszcze krytycznego błędu, wykonaj następujące kroki, aby je wyłaczyć, i dalej jakieś dziwne nr tel.- tak mi napisała znajoma... Jak już napisałem wcześniej, punkt 1 wykonany, log w załączniku Punkt drugi również częściowo wykonałem (), dlatego w logu będzie o tym że niektórych plików bądź wpisów nie znaleziono. Hosts też uzupełniłem, z tym że jak widzę, nie tak jak trzeba Nowe logi z GMERa i OTLa w załączniku (zostały zrobione przed utworzeniem hosts, bo nie miałem uprawnień, więc wpisy o tym że go nie ma dalej są - uruchomiłem notatnik jako admina, i udało się zapisać). TDSSKiller.2.5.4.0_10.06.2011_20.03.29_log.txt 06102011_202831.log.txt OTL.Txt gmer.log.txt Odnośnik do komentarza
picasso Opublikowano 10 Czerwca 2011 Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Nierówno działamy. Wracając do meritum, to wygląda na to, że podstawowy problem z rootkitem jest zażegnany, GMER opustoszał. Reszta zgodnie z planem przetrzebiona. Wykonaj podstawowe porządki oraz po tym pełny skan, gdyż logi to jednak wąskie wycinki. 1. "w międzyczasie wywalę śmieciowe toolbary itp." = WinAmp Toolbar na Ciebie czeka. 2. Uruchom Sprzątanie w OTL. 3. Przejedź system przy udziale Kaspersky Virus Removal Tool. Jeśli będą jakieś wyniki, zaprezentuj raport do oceny. Jeśli nie, to już kurcgalopkiem do: 4. Czyszczenie folderów Przywracania systemu (zaprawiony jesteś, linka nie daję ). 5. Aktualizacje: Home Premium Edition (Version = 6.1.7600) - Type = NTWorkstationInternet Explorer (Version = 8.0.7600.16385) ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022FF}" = Java 6 Update 22 Nadrób podstawy systemowe (SP1+IE9) i zaktualizuj Java: INSTRUKCJE. 6. Wymiana wszystkich haseł logowań w serwisach. . Odnośnik do komentarza
karololszak Opublikowano 10 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 10 Czerwca 2011 Ad. 1, to był tam jeszcze Google Toolbar, ale niepotrzebny, to i też wyrzucony Sprzątanie zrobione. Narzędzie Kaspersky'ego wykryło kilka infekcji, ale to zdaje się heurestyka wykryła pliki tymczasowe (pozostałe po tych wirach co były pobierane do C:\Users\Ewelina). Jak coś, to log w załączniku. Punkty przywracania usunięte. I właśnie, apropos, to wydaje mi się że właściciel mógł skorzystać z opcji "ostatnia dobra konfiguracja", przez co infekcji Ransomem jakby w ogóle nie było... Wyżej wymienione zaktualizowane, wcześniej odinstalowany Acrobat Reader 9 zastąpiony najnowszym Foxit Reader'em, (wygaśnięty...) trial McAffe'go zastąpiony avast! 6. Zainstalowany FF4, Adblock Plus z odpowiednimi filtrami + jest WebRep od avast!a. A zmianę haseł sugeruję zawsze, nawet jeśli komputer nie był zainfekowany czymś zdolnym do ich przechwytywania - profilaktyczna zmiana hasła nikomu nie zaszkodzi (zwłaszcza, że wiele osób korzysta z takiego samego hasła wszędzie, i go nie zmienia...). To chyba wszystko? Dzięki za asystę kaspersky_s_tool.txt Odnośnik do komentarza
picasso Opublikowano 11 Czerwca 2011 Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 to był tam jeszcze Google Toolbar, ale niepotrzebny, to i też wyrzucony Nie traktuję tych pasków równorzędnie, ze względu na naturę modyfikacji prowadzonych przez paski (na niekorzyść WinAmp oczywiście). Narzędzie Kaspersky'ego wykryło kilka infekcji, ale to zdaje się heurestyka wykryła pliki tymczasowe (pozostałe po tych wirach co były pobierane do C:\Users\Ewelina). W wynikach jest też plik MP3, który prawdopodobnie miał robótki w nagłówku i mógł być downloaderem malware. Punkty przywracania usunięte. I właśnie, apropos, to wydaje mi się że właściciel mógł skorzystać z opcji "ostatnia dobra konfiguracja", przez co infekcji Ransomem jakby w ogóle nie było... Nie pasuje mi to do koncepcji, nie te klucze rejestru. Ostatnia dobra konfiguracja resetuje klucz HKLM\SYSTEM\CurrentControlSet (pobierając numer Ostatniej poprawnej z klucza HKLM\SYSTEM\Select), czyli odkręca status pliku SYSTEM a nie SOFTWARE. Ale skoro ten ekran "Ransom" w ogóle Ci się nie pokazał, przypuszczam jedno z dwóch: użytkownik "ratował się" na własną rękę (Przywracanie systemu?) lub nie było to potrzebne. W Windows 7 (o jakiej platformie mowa, dopiero z logów wyszło) mogła zastartować jakaś procedura "resetująca" samego systemu. Ponadto, z tego co ja pamiętam ze swoich starych testów w wirtualu, na Windows 7 nie mogłam wymusić usterki Userinit, Windows sam mi resetował wartość / wchodziłam w Windows bez problemu. Jeśli nie ma więcej pytań / problemów do rozwiązywania, temat na kluczyk. . Odnośnik do komentarza
karololszak Opublikowano 11 Czerwca 2011 Autor Zgłoś Udostępnij Opublikowano 11 Czerwca 2011 No, możliwe że stosowane było przywracanie systemu, bądź coś w tym guście... Ten laptop ma też zamontowane jakieś "firmowe" recovery powiązane z BIOSem, tj. jest ukryta partycja odzyskiwania... Albo, tak jak piszesz, Windows 7 sam się obronił. Wszystko już rozwiązane, dzięki za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi