tigzy-RK: avril 2011

jeudi 28 avril 2011

[Rogue] Windows Recovery -- TDSS TLD4

Nouvelle variante de TDSS TDL4 ces derniers jours

(English at the end)

Symptômes:

Impossibilité de booter parfois
Ecran noir au démarrage de windows
Windows Recovery qui revient sans cesse
Icones du bureau disparus
Impossibilité de faire un clic droit
Raccourcis du menu démarrer supprimés

Désinfection:
Démonstration en vidéo :

1. Si impossibilité de booter:

(Attention, si vous avez un PC tatoué, demander conseil avant!)

• Telecharger et dezipper BurnCDCC.zip : ftp://terabyteunlimited.com/burncdcc.zip
• Télécharger SuperGrubISO
• Lancer burncdcc
• Avec l'onglet "browse", sélectionner super_grub_disk_0.9799.iso
• Cocher "read verify" , "Finalyze" et "autoeject"
• Déplacer sous speed le curseur pour le mettre à 32X , inserer un cd vierge et cliquer sur start
• Booter dessus et choisir ?WIN=> MBR & !WIN!

Le PC doit pouvoir normalement rebooter sous windows.

2. Désinfection:

Edit du 01/05/2011:

Il semblerait que l'outil aswMBR soit en mesure de supprimer l'infection, de manière plus sûre (car il restaure l'ancien MBR au lieu de mettre un MBR standard comme le fait SuperGrubISO)

• Télécharger aswMBR sur le Bureau.
• Double cliquer sur aswMBR.exe pour l'exécuter (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN
• Cliquer sur le bouton «Scan»
• Cliquer sur "Fix" si une infection est trouvée

Edit du 05/05/2011:

TDSSKiller en version 2.5 semble en mesure de supprimer le rootkit \o/

• Télécharger et dézipper sur le bureau TDSSKILLER• Lancer TDSSKiller en faisant un double clique • Si une infection est trouvée, cliquer sur "Cure"

Ensuite,

• Passer un coup de RogueKiller pour dégager les processus infectieux
• Passer un scan avec Malwarebytes
• Passer un scan avec Combofix pour supprimer le driver infectieux. Attention, Combofix est un outil puissant, qui ne s'utilise pas dans n'importe quelle situation! Il peut mettre à mal votre PC.

Un exemple de rapport montrant l'infection dans Combofix:

c:\programdata\31973128.exe
c:\programdata\dlUnqaYBbo.exe
c:\users\Laura\AppData\Roaming\Adobe\plugs
c:\users\Laura\AppData\Roaming\Adobe\shed
c:\windows\system32\AutoRun.inf
c:\windows\system32\muzapp.exe
.
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p

• Je conseille de venir se faire aider sur un forum spécialisé avant de vérifier que tout est parti correctement

ENGLISH Version:

New variant of TDSS TDL4 these days

Symptoms:

Unable to boot (sometimes)
Black screen at startup
Windows Recovery comes again even when removed
Desktop icons hidden
Unable to do a right-click
Start menu shortcuts hidden

Removal:

Video demonstration :

1. If unable to boot:

(Warning, if you have a tatooed PC, ask some advices before!)
• Download and unrar BurnCDCC.zip : ftp://terabyteunlimited.com/burncdcc.zip
• Download SuperGrubISO
• Launch burncdcc
• With "browse", select super_grub_disk_0.9799.iso
• Check "read verify" , "Finalyze" and "autoeject"
• Set the speed cursor to 32X ,insert a new CD and click on "start"
• Boot on the CD and choose ?WIN=> MBR & !WIN!

The PC should now be able to boot again on windows

2. Removal:

05/01/2011 Edit:

It seems that the Avast tool aswMBR is now able to remove that bootkit with a safer maner than the previous liveCD (It can restaure the old MBR instead of writing a standard one)

• Download aswMBR on the desktop• Double click on aswMBR.exe to launch (right click -> "run as admin" for VISTA / SEVEN • Click on «Scan» • Click on "Fix" if a threat has been found

05/05/2011 Edit:

TDSSKiller 2.5 seems now to ba able to fix this rootkit \o/

• Download and unzip on the desktop TDSSKILLER• Start TDSSKiller by double click • If threat is found, click on "Cure"

Then,

• Do a scan with RogueKiller to remove malicious processes
• Do a scan with Malwarebytes
• Do a scan with Combofix to repair patched driver. Be careful, Combofix is a powerful tool, which should only be used in certain situations! It could blow your operating system up.

An example of report showing the infection in Comofix:

c:\programdata\31973128.exe
c:\programdata\dlUnqaYBbo.exe
c:\users\Laura\AppData\Roaming\Adobe\plugs
c:\users\Laura\AppData\Roaming\Adobe\shed
c:\windows\system32\AutoRun.inf
c:\windows\system32\muzapp.exe
.
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p

• I advise to query some help of specialized forums to check if your PC is OK

dimanche 17 avril 2011

Trend Web Protection Addon

Trend Web Protection Addon est un logiciel qui va faire office de proxy entre votre machine et internet (pas seulement le navigateur, mais toutes les connexions HTTP de la machine) et qui va filtrer les requêtes aux sites web. De cette façon si une connexion vers un site web malicieux est détectée, l'addon va couper cette connexion.

C'est plutôt efficace dans le cas de droppers qui vont chercher le malware sur un site internet, car ce dernier ne pourra pas être récupéré, et l'infection va être stoppée. Voir la vidéo de démo ci-après.

Pour information, l'addon est gratuite mais seulement utilisable 90 jours. Une simple réinstallation suffit à repartir pour 90 jours ;)

(English)

Trend Web Protection Addon is a software which is able to act as a proxy between your computer and internet (not only your browser, but every HTTP connection) and will filter every query to websites. As a result, if a malicious website query is detected, the connection is stopped.

This is usefull when droppers tries to get their malware back from a website, cause this one could not be reach, and the infection will be stopped. Check the following video.

The addon is free, but time-limited to 90 days. This is not a problem, simply re-sinstall the program to get 90 days more. ;)

samedi 16 avril 2011

[Rogue] Windows Restore

Comment supprimer Windows Restore

How to get rid of Windows Restore

Note:
Ce rogue est aussi connu sous les noms: Windows Diagnostique / Windows Repair

This rogue is also known as Windows Diagnostic / Windows Repair

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
Si le rogue empêche le lancement du programme -- If you're unable to launch the program

Si les associations de fichiers ne sont pas activées: Renommer en "winlogon" ou "firefox" -- If the file associations are not set: Rename as "winlogon" or "firefox"
Essayer de lancer à nouveau le programme -- Try again to start the program

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V4.3.9 [16/04/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 16/04/2011 16:31:01

Processus malicieux: 2
[APPDT/TMP/DESKTOP] aoChCgeHApgo.exe -- c:\documents and settings\all users\application data\aochcgehapgo.exe -> KILLED
[ROGUE ST] 15851316.exe -- c:\documents and settings\all users\application data\15851316.exe -> KILLED

Entrees de registre: 5
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : aoChCgeHApgo (C:\Documents and Settings\All Users\Application Data\aoChCgeHApgo.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\tigzy\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Relancer RogueKiller en mode 6 (Shortcut HJFix) pour retrouver les documents cachés par le rogue -- Restart RogueKiller with mode 6 to unhide the documents hidden by the rogue.

RogueKiller V4.3.9 [16/04/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 16/04/2011 16:31:48

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 21 / Fail 0
Lancement rapide: Success 5 / Fail 0
Programmes: Success 106 / Fail 0
Menu demarrer: Success 49 / Fail 0
Dossier utilisateur: Success 24 / Fail 0
Mes documents: Success 7 / Fail 0
Mes favoris: Success 10 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 4 / Fail 0

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6374

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

16/04/2011 16:35:41
mbam-log-2011-04-16 (16-35-41).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 130078
Temps écoulé: 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\tigzy\menu démarrer\programmes\windows restore (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\15851316.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\aochcgehapgo.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\local settings\temporary internet files\Content.IE5\G801B3VE\windows restore[1].vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\menu démarrer\programmes\windows restore\uninstall windows restore.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\tigzy\menu démarrer\programmes\windows restore\windows restore.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue should have been deleted

[Rogue] MS Removal Tool

Comment supprimer MS Removal Tool

How to get rid of MS Removal Tool

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
Si le rogue empêche le lancement du programme -- If you're unable to launch the program

Si les associations de fichiers ne sont pas activées: Renommer en "winlogon" ou "firefox". Sinon renommer en winlogon.exe ou firefox.exe (rajouter l'extension .exe) -- If the file associations are not set: Rename as "winlogon" or "firefox", else rename it with the .exe extension (firefox.exe or winlogon.exe)
Essayer de lancer à nouveau le programme -- Try again to start the program

Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V4.3.9 [16/04/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 16/04/2011 16:13:20

Processus malicieux: 1
[APPDT/TMP/DESKTOP] hAb16635eGnGj16635.exe -- c:\documents and settings\all users\application data\hab16635egngj16635\hab16635egngj16635.exe -> KILLED

Entrees de registre: 1
[APPDT/TMP/DESKTOP] HKCU\[...]\RunOnce : hAb16635eGnGj16635 (C:\Documents and Settings\All Users\Application Data\hAb16635eGnGj16635\hAb16635eGnGj16635.exe) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Version de la base de données: 6374

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

16/04/2011 16:05:28

mbam-log-2011-04-16 (16-05-28).txt

Type d'examen: Examen rapide

Elément(s) analysé(s): 130149

Temps écoulé: 1 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s):1

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\Documents and Settings\All Users\Application Data\hAb16635eGnGj16635\hAb16635eGnGj16635.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue should have been deleted

[Rogue] Antivirus Plus

Comment supprimer Antivirus Plus

How to get rid of Antivirus Plus

Télécharger et lancer RogueKiller en mode 2 (Suppression) -- Download and start RogueKiller with mode 2 (Delete)
Vous devriez avoir le rapport suivant -- You should obtain the following report

RogueKiller V4.3.9 [16/04/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: tigzy [Droits d'admin]
Mode: Suppression -- Date : 16/04/2011 15:55:00

Processus malicieux: 1
[RESIDUE] yitiden.dll -- C:\WINDOWS\system32\yitiden.dll -> KILLED

Entrees de registre: 1
[BLACKLIST DLL] HKLM\[...]\Run : husegan (Rundll32.exe "C:\WINDOWS\system32\yitiden.dll",r) -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt

Ensuite passer un scan avec Malwarebytes -- Then do a scan with Malwarebytes

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Version de la base de données: 6374

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

16/04/2011 16:05:28

mbam-log-2011-04-16 (16-05-28).txt

Type d'examen: Examen rapide

Elément(s) analysé(s): 130149

Temps écoulé: 1 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 4

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

c:\documents and settings\tigzy\Bureau\antivirusplus.exe (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\vosukid.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\WINDOWS\system32\yitiden.dll (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

c:\documents and settings\tigzy\local settings\temporary internet files\Content.IE5\9JK3VEXP\antivirusplus[1].vir (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

Le rogue devrait être supprimé -- The rogue should have been deleted

Site Officiel