pawel315

Fake AV ( fałszywy antywirus ) na przykładzie Live Security platinum

Podczas pzreglądania jakiejś strony wyświetla nam się komunikat, że nasz komputer jest zainfekowany i zachęca nas do pobrania "antyvirusa", który to usunie. Po pobraniu dochodzi do skanowania z błędnymi zawsze wynikami w którym najważniejsze pliki systemowe będą zainfekowane i żeby się ich pozbyć musimy kupić pełną wersję aplikacji. Podczas gdy zingorujemy ten komunikat nasz "antyvirus" zacznie blokować uruchamianie programów takich jak przeglądarka internetowa itp. Dodatkowo te programy mają zdolności "zapraszania" kolegów, np. Live Security Platinum dociąga nam trojana Sirefef

Główne okno programu z wynikami skanowania

1. Jak usunąć?

• Należy odinstalować program z pozimou "Dodaj lub usuń programy" jednak blokada plików nie ustąpi.
• Należy usunąć aplikacją o losowo generowanej nazwie, startującą ze startem Windows, co w logu z OTL może być widoczne jako:
  

  O4 - HKU\S-1-5-21-796845957-839522115-1417001333-1003..\RunOnce: [6F63A58B02ED2D94309E5F9481CB3EF3] C:\Documents and Settings\All Users\Dane aplikacji\6F63A58B02ED2D94309E5F9481CB3EF3\6F63A58B02ED2D94309E5F9481CB3EF3.exe ()
  i folder ( losowy )
  C:\Documents and Settings\All Users\Dane aplikacji\6F63A58B02ED2D94309E5F9481CB3EF3
  

• Aplikacje może usunąć skaner DrWeb CureIt i MalwareBytes Anti-malware

Trojan Sirefef ( rootkit ZeroAccsess )

Jest to bardzo groźna infekcja, która potrafi wykradać hasła, wyłączać Windows Update i wiele innych.

Jak zozpoznać? Mogą występować rózne wersje

• W logu z OTL może występować usługa podpisana jako Oak Technology Inc. i link symboliczny:
  

  SRV - [2008-04-15 13:00:00 | 000,005,632 | ---- | M] (Oak Technology Inc.) [Auto | Stopped] -- C:\WINDOWS\system32\intelide.dll -- (MTC0001_ESB) -> Usługa
  [color=#E56717]========== Hard Links - Junction Points - Mount Points - Symbolic Links ==========[/color]
  [C:\WINDOWS\$NtUninstallKB37650$] -> Error: Cannot create file handle -> Unknown point type -> Link symboliczny
  

• Może również występować wersja z plikiem consrv.sys którego nie należy usuwać ponieważ system może się nie uruchomić
• Charakterystycznym objawem niezależnie od wersji jest modyfikowanie łańcucha winsock co można zobaczyć w OTL jako:
  

  MOD - [2010-01-17 22:37:16 | 000,246,784 | ---- | M] () -- \\?\globalroot\systemroot\system32\mswsock.dll
  O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - mswsock.dll File not found
  O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - mswsock.dll File not found
  

• Z infekcją radzi sobie program TDSS killer jednak samemu trzeba sobie odbudować uszkodzone prze niego usługi

Brontok

Jest do dość denerwująca infekcja, która co jakiś czas wyświetla na ekranie taki komunikat ( może być okraszone restartami komputera )

Oprogramowanie antywirusowe czasami sobie nie radzi i komputer się resetuje podczas próby usuwania.

Charakterystyczne objawy:

• Pojawienie się następujących plików w lokalizacji C:\Users\[usr]\AppData\Local\
  

  C:\Users\[usr]\AppData\Local\Bron.tok.A16.em.bin
  C:\Users\[usr]\AppData\Local\winlogon.exe
  C:\Users\[usr]\AppData\Local\smss.exe
  C:\Users\[usr]\AppData\Local\services.exe
  C:\Users\[usr]\AppData\Local\lsass.exe
  C:\Users\[usr]\AppData\Local\inetinfo.exe
  C:\Users\[usr]\AppData\Local\csrss.exe
  C:\Users\[usr]\AppData\Local\[losowa nazwa].exe ( ten plik jest uruchamiany ze startem Windows )
  Przykład w OTL:
  O4 - HKU\S-1-5-21-3829066140-836857618-3098951380-1001..\Run: [Tok-Cirrhatus-1860] C:\Users\Ewa\AppData\Local\br4743on.exe ()
  O4 - Startup: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif ()
  

• Utworzenie shela w OTL będzie widoczne jako:
  

  O20 - HKLM Winlogon: Shell - ("C:\Windows\KesenjanganSosial.exe") - C:\Windows\KesenjanganSosial.exe ()
  

• Usuwanie MalwareBytes Anti-Malware ( lecz nie zawsze sobie radzi )
• Wykorzystanie skryptu, w OTL'u, który został przygotowany przez experta na forum

A więc chyba najpopularniejsza dzisiaj:
 
 

Infekcja UKASH ( Weelsof, ransomware )

Jest to ostatnio bardzo popularny rodzaj infekcji, która blokuje nam komputer i żąda pieniędzy za jego odblokowanie. "Nabawić się" tego można przez nieuważne korzystanie z Internetu ( klikanie w linki od nieznajomych itp. )
 

Charakterystyczny obrazek

Przez długi okres i to jak łatwo był on zwalczany przez różnych doświadczonych forumowiczów, trojan przechodził mutacje, poniżej przedstawię kilka z nich:
( Proszę się nie sugerować opisem usuwania jaki jest opisany na wp.pl - jest on błędny )


1. (Działają tryby awaryjne) Utworzenie wpisu w autostarcie i folderów w C:\ProgramData( losowy plik i sygnatura ) co w logu z OTL będzie widoczne jako np.:

O4 - HKCU..\Run: [iamdfoyionnrfzi] C:\ProgramData\iamdfoyi.exe (Sharkoon)
[2012-08-23 19:02:52 | 000,141,824 | ---- | C] (Sharkoon) -- C:\ProgramData\iamdfoyi.exe
[2012-08-23 19:02:53 | 000,000,000 | ---D | C] -- C:\ProgramData\dnalnhkoougcqjh
[2012-08-23 19:02:53 | 000,078,030 | ---- | M] () -- C:\ProgramData\yfcmoysbwjfdtil

• Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę, lub zlokalizowanie i ręczne usunięcie plików.

2. (Działaja tryby awaryjne) Utworzenie wpisu w autostarcie, który już startuje z folderu Windows, co w logu z OTL będzie widoczne jako np.:

O4 - HKLM..\Run: [Wpc] C:\Documents and Settings\Zioberki\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\1017\Wpc.exe ()

• Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę, lub zlokalizowanie i ręczne usunięcie pliku.

3. (Działa tylko tryb awaryjny z wierszem polecenia) Dodanie do shela pliku msconfig.dat, co w logu z OTL będzie widoczne jako np.:

O20 - HKU\Mama_i_Tata_ON_C Winlogon: Shell - (C:\Documents and Settings\Mama i Tata\Dane aplikacji\msconfig.dat) - C:\Documents and Settings\Mama i Tata\Dane aplikacji\msconfig.dat ()

• Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę.

4. (Działa tryb normalny - podczas przeglądania Internetu blokuje komputer) Pojawienie sie pliku lsass.exe z sygnaturą Microsoft, który startuje za pomoca ctfmon.lnk i dodatkowo losowy plik *.pad, co w logu z OTL będzie widoczne jako :

O4 - Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk = C:\ProgramData\lsass.exe (Microsoft Corporation)
C:\ProgramData\lsass.exe
C:\ProgramData\ism_0_llatsni.pad

• Procedura usuwania polega na utworzeniu skryptu w OTL'u, który zostanie wykonany przez poszkodowaną osobę.

Do kazdego z opisanych przypadków można uruchomić program https://www.malwarebytes.org/mwb-download/Malwarebytes anti-malware[/url] i uruchomić skanowanie.

Autoruns

 

Autoruns by sysinternals jest niewielkim, nieingerencyjnym programem, który wyświetla wszystkie wpisy związane z folderami autostartu, dzięki czemu nasz system bedzie startowa szybciej.
 

Więc tak:
1.Pobieramy i wypakowywujemy program Autoruns
2. Uruchamiamy plik autoruns.exe ( w systemach Windows Vista, Windows 7 klikamy prawym przyciskiem myszy i uruchom jako administrator. )

3. Z menu wybieramy "File"->"Save"->Zapisz jako typ: "Text" (*.txt) -> Zapisz.
4.Log wytworzony przez program należy wkleić na stronę Wklej.org i podać link do loga w poście lub w tagach [code=auto:0] bezpośrednio na forum.

W tym poradniku pokażę wam jak usunąć programy adware ( wyświetlające niechciane rekalmy ), jak i również usunąć toolbary ( paski narzędziowe psujące wygląd i zwalniające naszą przeglądarkę )
 
Więc potrzebny nam będzie program AdwCleaner Program może być traktowany przez oprogramowanie antywirusowe jako wirus, NIE jest nim w 100%.

1. Gdy pobierzemy AdwCleaner uruchamiamy go dwuklikiem ( w systemach Windows Vista, Windows 7 klikamy prawym przyciskiem myszy i uruchom jako administrator. )
 

 

 

2. Mamy do wyboru 5 opcji :

• Scan ( Wyszukiwanie komponentów Adware )
• Clean ( Usuwa komponenty adware, jednak wcześniej musić być wykonana opcja Scan )
• Report ( Skanuje i tworzy log )
• Uninstall ( Usuwa program i czyści jego kwarantannę )
• Donate ( Dotacja na utrzymanie programu )

UWAGA! Logi wytwarzane przez program należy wkleić na stronę Wklej.org i podać link do loga w poście lub w tagach [code=auto:0] bezpośrednio na forum.