venerdì 29 marzo 2013

Eliminare virus Polizia di Stato - Polizia Penitenziaria - Carabinieri e varianti usando FRST


Per le continue richieste che ho avuto da diversi utenti ho creato una semplice miniguida per aiutare tutti coloro che sono stati infettati dal virus o ransom della Polizia di Stato,Polizia Penitenziaria,Polizia Postale,Siae,ecc. a rimuovere l’infezione da soli.
Il virus può essere eliminato in meno di 10 minuti seguendo attentamente queste istruzioni.
Per chi fosse poco esperto potrà chiedere assistenza qui www.aiuto-pc.forumfrere.it

Tengo presente che i modi per cercare di eliminare l'infezione sono molteplici(ripristino configurazione di sistema,live cd come per es. quello di kaspersky,ecc.)ma tutti a volte non sono risolutivi in quanto dipende dal tipo di infezione stessa.Il ripristino configurazione di sistema può non funzionare ed inoltre non elimina comletamente l'infezione,i live cd, la cui scansione può durare molto, a volte non dispongono delle firme antivirali per eliminare dei file che di solito sono random.

Per chi ha windows vista,windows 7,windows 8 deve seguire questa guida ed eseguire Farbar Recovery Scan Tool. Una volta eseguito il tool come da istruzioni riceverete un log chiamato FRST.txt che dovrete allegare qui virus carabinieri,Polizia di Stato,Polizia Penitenziaria

 Ora vi aiuterò a capire cosa andrà eliminato manualmente analizzando il log per ripristinare il corretto funzionamento di windows. Vi posterò alcuni esempi per capire meglio cosa si dovrà inserire nel fix. Ho suddiviso la spiegazione in 4 parti in base al tipo di infezione che potremo trovare.
 La parte importante da controllare del log è quella dove c’è scritto registry(Whitelisted).

 Parte prima
  
 Vengono infettate chiavi relative al valore Shell ed userinit della chiave Winlogon. Si deve prestare particolare attenzione a queste 3 chiavi se presenti nel log.

 Esempio 1) HKU\nome utente\...\Winlogon: [Shell] explorer.exe,C:\Users\nome utente\AppData\Roaming\skype.dat [88064 2011-11-17] ()

 Esempio 2) HKLM\...\Winlogon: [Shell] C:\PROGRA~3\dsgsdgdsgdsgw.bat [x ] ()

 Esempio 3 HKLM\...\Winlogon: [Userinit] C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\0034F198804F1EA2EE0C.exe, [58880 2012-04-18] ()

 Queste 3 chiavi vengono infettate dal ransom:
La prima chiave qualora compaia nel log con dei valori dopo
HKU\nome utente\...\Winlogon: [Shell] explorer.exe,…….......
va inserita nel fix per l’eliminazione.
 Nella seconda il valore corretto della chiave Winlogon:[Shell] è explorer.exe come mostato qui sotto: (HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon:[Shell] explorer.exe)
Quindi se troviamo una chiave come nell’esempio 2 che al posto del valore explorer .exe c’è C:\PROGRA~3\dsgsdgdsgdsgw.bat o qualsiasi altra cosa, va’ inserita nel fix per il ripristino del giusto valore(explorer.exe).Il tool farà il resto.
 Nella terza chiave il valore corretto della chiaveWinlogon:[Userinit]   è C:\WINDOWS\system32\userinit.exe, come mostrato qui sotto
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon:[Userinit] C:\WINDOWS\system32\userinit.exe,
(nel caso il valore sia corretto, non comparirà nel log. Quindi se troviamo una chiave come nell’esempio 3 che insieme al valore userinit.exe, riporta un altro file sospetto andrà inserita nel fix.Il tool ripristinerà la chiave.

 Qui sotto ci sono altri esempi di chiavi infettate dal ransom

HKU\utente\...\Winlogon: [Shell] explorer.exe,C:\Users\utente\AppData\Roaming\msconfig.dat [76135 2011-11-17] ()
HKLM\...\Winlogon: [Shell] C:\PROGRA~3\17936195.bat [x ] ()
HKLM-x32\...\Winlogon: [Shell] C:\PROGRA~3\17936195.bat [x ] ()
HKU\utente\...\Winlogon: [Shell] C:\Users\luigina\AppData\Roaming\id.cff,explorer.exe

 Parte seconda 

L'infezione crea una chiave all’avvio per attivare il virus.
Ecco alcuni esempi:
HKU\Stefano\...\Run: [Update] C:\Users\Stefano\AppData\Roaming\wgsdgsdgdsgsd.exe [116872 2013-01-11] ()
HKU\Mario\...\Run: [K0FnljCdupF1YvH] C:\Users\Mario\AppData\Roaming\07F4HkiN.exe [204647 2012-10-07] ()
HKU\utente\...\Run: [hsfg9w8gujsokgahi8gy] C:\Users\utente\AppData\Local\Temp\avp32.exe [x]

 Per riconoscere questa infezione si deve prestare attenzione al file che di solito si trova in cartelle tipo queste C:\Users\Stefano\AppData\Roaming o nelle cartelle dei file temporanei C:\Users\utente\AppData\Local\Temp,ma può trovarsi anche in altre cartelle.Di solito sono file con nomi strani. La cosa importante da fare se non si è molto esperti è di andare a controllare nella parte del log dove c’è scritto One Month Created Files and Folders quale siano stati gli ultimi file creati e controllare se tali file vengono caricati da queste chiavi.

Parte terza 

L'infezione crea una chiave in esecuzione automatica che richiama il file infetto
Ecco alcuni esempi:
Startup: C:\Users\Clare\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk 
ShortcutTarget: runctf.lnk -> c:\users\clare\8513635.dll ()

Nella chiave chiamata Startup ci sono i file in esecuzione automatica.Va prestata molta attenzione a questa chiave per controllare quale sia il file che viene caricato dal collegamento per poi eliminarlo. In questo caso il collegamento runctf.lnk richiama il file c:\users\clare\8513635.dll per infettare il sistema.
 In questa sezione ci sono anche collegamenti e relativi file non infetti,quindi per capire se si tratti veramente di un’infezione fare sempre riferimento agli ultimi file creati.

 Parte quarta 

L'infezione infetta un servizio di windows sostituendo il valore ImagePath nel registro con quello del suo file infetto
Ecco alcuni esempi:
 2 Winmgmt; C:\Users\utente\1092689.dll [212992 2013-02-05] (Microsoft Corporation)

 In questo caso viene danneggiata una chiave del registro che una volta eliminata l’infezione va poi corretta con un fix. Per eliminare il virus si dovrà inserire nel fix la chiave con i relativi file che verranno cercati sempre negli ultimi file creati facendo attenzione a rilevare anche altri file che abbiano la stessa data ed ora del file infetto.
Esempio:
2 Winmgmt; C:\Users\sofia\1092689.dll [212992 2013-02-05] (Microsoft Corporation)

 2012-02-02 07:25 - 2012-02-0409:52 - 95023320 ___AT C:\Users\All Users\9862901.pad
 2012-02-02 07:25 - 2012-02-0307:48 - 00002734 ____A C:\Users\All Users\9862901.js
 2012-02-02 07:25 - 2012-02-02 07:25 - 00212992 ____A (Microsoft Corporation) C:\Users\sofia\1092689.dll

COME CREARE IL FIX PER RIMUOVERE LE INFEZIONI 
Dobbiamo creare un file di testo e chiamarlo fixlist.txt.Tale file andrà copiato sulla pendrive dove abbiamo Farbar Recovery Scan Tool.
Riavviare poi FRST come avete già fatto precedentemente,solo che questa volta dovrete cliccare sul pulsante fix una sola volta.
Sulla pendrive troverete un file fixlog.txt con le relative rimozioni effettuate dal tool.

 Nel file verranno inserite copiandole dal log le chiavi con i relativi file infetti. Quando inseriamo la chiave dobbiamo avere l’accortezza di inserire anche il relativo file infetto. Sotto ho postato un esempio di come si dovrà creare il file.

Esempio:(in grassetto le chiavi e file infetti)

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 12-02-2013
 Ran by SYSTEM at 13-02-2013 04:27:48
Running from G:\
 Windows 7 Home Premium Service Pack 1 (X64) OS Language: Italian Standard
 The current controlset is ControlSet001
 ==================== Registry (Whitelisted) ===================
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [2370856 2010-09-24] (Synaptics Incorporated)
HKLM\...\Run: [FreeFallProtection] C:\Program Files (x86)\STMicroelectronics\AccelerometerP11\FF_Protection.exe [686704 2010-12-17] ()
HKLM\...\Run: [BTMTrayAgent] rundll32.exe "C:\Program Files (x86)\Intel\Bluetooth\btmshell.dll",TrayApp [10355200 2011-01-24] (Intel Corporation)
HKLM\...\Run: [IntelWireless] "C:\Program Files\Common Files\Intel\WirelessCommon\iFrmewrk.exe" /tf Intel Wireless Tray [1933584 2010-12-17] (Intel(R) Corporation)
HKU\Paolo\...\Run: [] C:\Users\Paolo\kumopytjfhd.exe [x] 
HKU\Paolo\...\Winlogon: [Shell] explorer.exe,C:\Users\Paolo\AppData\Roaming\skype.dat [122880 2011-11-17] () 
Winlogon\Notify\LBTWlgn: c:\program files\common files\logishrd\bluetooth\LBTWlgn.dll (Logitech, Inc.) HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] ATTENTION! ====> ZeroAccess 

 ==================== Services (Whitelisted) ===================

2 AntiVirSchedulerService; "C:\Program Files\Avira\AntiVir Desktop\sched.exe" [86224 2012-07-02] (Avira Operations GmbH & Co. KG)
2 AntiVirService; "C:\Program Files\Avira\AntiVir Desktop\avguard.exe" [110032 2012-07-02] (Avira Operations GmbH & Co. KG)

==================== Drivers (Whitelisted) ====================

2 avgntflt; C:\Windows\System32\DRIVERS\avgntflt.sys [83392 2012-06-05] (Avira GmbH)
1 avipbb; C:\Windows\System32\DRIVERS\avipbb.sys [137928 2012-06-05] (Avira GmbH)
1 avkmgr; C:\Windows\System32\DRIVERS\avkmgr.sys [36000 2012-06-05] (Avira GmbH)
3 hwusbdev; C:\Windows\System32\DRIVERS\ewusbdev.sys [101120 2009-10-12] (Huawei Technologies Co., Ltd.)
3 MTsensor; C:\Windows\System32\DRIVERS\ATKACPI.sys [7680 2007-07-31] (ATK0100)


==================== One Month Modified Files and Folders =======
2013-02-13 04:27 - 2013-02-13 04:27 - 00000000 ____D C:\FRST
2013-02-13 02:48 - 2013-02-13 02:23 - 00000004 ____A C:\Users\Paolo\AppData\Roaming\skype.ini
2013-02-13 02:47 - 2012-01-13 05:44 - 00001144 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-02-13 02:47 - 2012-01-08 23:50 - 00000000 ____D C:\Users\All Users\LogMeIn

ZeroAccess: C:\$Recycle.Bin\S-1-5-21-2807113057-1905336936-2577259114-1000\$792f41990b73e2f47b46706eb422a6b8 

 ZeroAccess: C:\$Recycle.Bin\S-1-5-18\$792f41990b73e2f47b46706eb422a6b8

 ==================== Known DLLs (Whitelisted) =================


==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points  =========================

Restore point made on: 2013-02-11 21:27:27
Restore point made on: 2013-02-14 02:11:21


In questo esempio la variante del ransom è skype.dat.Questa variante potrebbe portare dentro anche il rootkit zero access come risulta dal log.Quando controlliamo il log prestiamo attenzione anche alla dicitura ZeroAccess:. Per eliminare l’infezione basta inserire nel file fixlist.txt le seguenti righe:

start
HKU\Paolo\...\Run: [] C:\Users\Paolo\kumopytjfhd.exe [x]
HKU\Paolo\...\Winlogon: [Shell] explorer.exe,C:\Users\Paolo\AppData\Roaming\skype.dat [122880 2011-11-17] ()
HKLM\...D6A79037F57F\InprocServer32: [Default-fastprox] ATTENTION! ====> ZeroAccess 2013-02-13 02:48 - 2013-02-13 02:23 - 00000004 ____A C:\Users\Paolo\AppData\Roaming\skype.ini C:\$Recycle.Bin\S-1-5-21-2807113057-1905336936-2577259114-1000\$792f41990b73e2f47b46706eb422a6b8
 C:\$Recycle.Bin\S-1-5-18\$792f41990b73e2f47b46706eb422a6b8
C:\Users\Paolo\kumopytjfhd.exe
C:\Users\Paolo\AppData\Roaming\skype.dat 
end

 In rosso ho messo in evidenza il file skype.dat e kumopytjfhd.exe che non venivano rilevati negli ultimi file creati ma che comunque esistono perchè rilevati dalla chiave HKU\Paolo\...\Winlogon: [Shell] explorer.exe,C:\Users\Paolo\AppData\Roaming\skype.dat [122880 2011-11-17] () e dalla chiave HKU\Paolo\...\Run: [] C:\Users\Paolo\kumopytjfhd.exe [x]
Di conseguenza dovremo inserirlo nel fix come nell’esempio. Qui ci sono alcuni esempi di varianti del ransom che verranno evidenziate nei log di FRST.

Variante 0(in questa variante,abbastanza datata, troverete dei file diversi da quelli qui sotto perché saranno file random  ma sempre nelle stesse chiavi di registro)

HKU\Domenico\...\CurrentVersion\Windows: [Load] C:\DOCUME~1\Domenico\IMPOST~1\Temp\2C92BC84804F1EA26939.exe,
 HKLM\...\Winlogon: [Userinit] C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\0034F198804F1EA2EE0C.exe, [58880 2012-04-18] ()
2012-04-18 16:53 - 2012-04-09 16:50 - 0960056 ____A C:\Windows\System32\winsh324
2012-04-18 16:53 - 2012-04-09 16:50 - 0960056 ____AC:\Windows\System32\winsh323
2012-04-18 16:53 - 2012-04-09 16:50 - 0960056 ____A C:\Windows\System32\winsh322
2012-04-18 16:53 - 2012-04-09 16:49 - 0960056 ____A C:\Windows\System32\winsh321
2012-04-18 16:53 - 2008-04-14 02:13 - 0960056 ____A C:\Windows\System32\winsh320
2012-04-18 16:52 - 2008-03-05 12:45 - 0058880 ___AH C:\Windows\System32\0034F198804F1EA2EE0C.exe

Variante1 (la più diffusa,qui troverete sempre questi 2 file.Prestare attenzione perché in questo caso verrà rilevato anche il rootkit zero access)

HKU\claudio\...\Winlogon: [Shell] explorer.exe,C:\Users\claudio\AppData\Roaming\msconfig.dat [74607 2011-11-16] ()
2012-08-12 09:09 - 2012-08-13 03:54 - 00000045 ____A C:\Users\claudio\AppData\Roaming\msconfig.ini

Variante 2

 Startup: C:\Users\Clare\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk ShortcutTarget: runctf.lnk -> c:\users\clare\8513635.dll ()
2 Winmgmt; C:\Users\Clare\8513635.dll [102400 2013-03-06] ()
2013-03-06 10:27 - 2013-03-06 12:37 - 95023320 ___AT C:\ProgramData\5363158.pad
2013-03-06 10:27 - 2013-03-06 12:37 - 00002733 ____A C:\ProgramData\5363158.js
2013-03-06 10:27 - 2013-03-06 10:27 - 00102400 ____A C:\Users\Clare\8513635.dll
2013-02-19 13:20 - 2013-02-19 13:20 - 00093696 ____A C:\Users\Clare\6115401.dll

Variante 3 

 HKU\Vittorio\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\Vittorio\Documents\1b122214.exe [30720 2013-03-12] (Intel Corporation)
HKU\Vittorio\...\Winlogon: [Shell] cmd.exe [344576 2009-07-13] (Microsoft Corporation) 2013-03-12 13:17 - 2013-03-12 13:17 - 00030720 ____A (Intel Corporation) C:\Users\Vittorio\Documents\1b122214.exe

Variante 4

 Startup: C:\Users\utente\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk ShortcutTarget: runctf.lnk -> C:\Users\utente\8263031.dll (Microsoft Corporation)
 2 Winmgmt; C:\Users\utente\8263031.dll [151552 2013-03-14] (Microsoft Corporation)
2013-03-14 16:23 - 2013-03-14 17:22 - 95023320 ___AT C:\ProgramData\1303628.pad
2013-03-14 16:23 - 2013-03-14 17:22 - 95023320 ___AT C:\ProgramData\1303628.pad
2013-03-14 16:22 - 2013-03-14 16:23 - 00151552 ____A (Microsoft Corporation) C:\Users\utente\8263031.dll
2013-03-12 15:37 - 2013-03-12 15:38 - 00077312 ____A C:\Users\utente\3399654.exe
2013-03-12 15:37 - 2013-03-12 15:37 - 00054806 ____A C:\Users\utente\7963898.exe
2013-03-04 16:46 - 2013-03-04 16:46 - 00118784 ____A (?????????? ??????????) C:\Users\Administrator\5665492.dll

Variante 5 

HKU\Tina\...\Winlogon: [Shell] C:\Users\Tina\AppData\Roaming\ldr.mcb,explorer.exe
2013-03-19 08:24 - 2013-03-19 08:24 - 00000000 ____D C:\ProgramData\ctju
HKU\Utente\...\Run: [qcgce2mrvjq91kk1e7pnbb19m52fx] C:\Users\Utente\Documents\7358aee6.exe [31232 2013-03-21] (Intel Corporation)
HKU\Utente\...\Winlogon: [Shell] cmd.exe
2013-03-21 11:11 - 2013-03-21 11:11 - 00031232 ____A (Intel Corporation) C:\Users\Utente\Documents\7358aee6.exe
2013-03-21 11:11 - 2013-03-21 11:11 - 00031232 ____A (Intel Corporation) C:\Users\Utente\Documents\7358aee6.dll

Le varianti saranno molte di più ma tutte operano tenedo presente le 4 parti che vi ho descritto sopra.

Questa miniguida è stata create a grosse linee per permettere di riavviare windows eliminando l’infezione. Chi avesse bisogno di ulteriore assistenza o chiedere delucidazioni può postare direttamente sul mio forum http://aiuto-pc.forumfree.it/