W sierpniu tego roku w sieci, pojawił się program Live Security Platinium. Nie jest to wirus, lecz program próbujący wyłudzić od Nas pieniądze. Program samoczynnie się instaluje na kontach z uprawnieniami administratora i blokuje dostęp do pozostałych programów udając program antywirusowy. Jest to skuteczna technika aby laikowi uniemożliwić korzystanie do komputera. Pojawiło się wiele wirusów działających na podobnej zasadzie, że pojawia się plansza i nic nie można zrobić. Przedstawię kilka technik jak radzić sobie z problemem.
1. Przywracanie systemu w trybie awaryjnym jest dobrą techniką jeżeli wykonamy ją poprawnie lecz nie ma 100% pewności czy wirus nie był na dysku wcześniej i nie był uśpiony. Podczas startu wchodzimy do trybu awaryjnego naciskając klawisz
F8 na klawiaturze po planszy ładowania biosu i wybierając
Tryb Awaryjny. W trybie awaryjnym ładowane są tylko podstawowe usługi systemowe, więc fałszywy program się nie załaduje. W trybie awaryjnym przechodzimy do
przywracania systemu. Po przywróceniu systemu uruchamiamy komputer ponownie w trybie awaryjnym, instalujemy oprogramowanie antywirusowe np. Avast i przeprowadzamy skanowanie. Skuteczność tej metody to ok 90%.
2. Kolejną techniką jest wykorzystanie skanerów antywirusowych w trybie awaryjnym punkt 1 bez przywracania systemu. Skuteczność tej metody jest niska(ok 70%) ze względu, że na chwilę obecną jest to świeży program i większość programów antywirusowych nie ma go jeszcze w sygnaturach.
3. Usuwanie programu ręcznie w trybie awaryjnym. Przechodzimy do trybu awaryjnego -> patrz początek punktu 1.
Musimy ustawić w opcjach folderów widoczność plików i folderów ukrytych oraz odhaczyć zaznaczenie przy
ukryj pliki systemowe i chronione Lokalizacja i usunięcie plików programu Live Security Platinium. Klikamy na skrót Live Security Platinium prawym przyciskiem i klikamy
otwórz lokalizację pliku lub
przejdź do folderu. Przechodzimy poziom wyżej i usuwamy cały folder. Poniżej listing gdzie jeszcze mogą gnieździć się pliki programu, usuwamy je wtedy lub całe foldery powyżej danego folderu.
C:\Documents and Settings\All Users\Dane aplikacji\036DFF3503822E0AA61C16F181CB3EF3\036DFF3503822E0AA61C16F181CB3EF3.exe
C:\Documents and Settings\lewyuser\Dane aplikacji\Mozilla\Firefox\Profiles\r0wky6op.default\searchplugins\daemon-search.xml
C:\Documents and Settings\All Users\Dane aplikacji\036DFF3503822E0AA61C16F181CB3EF3
ji83j.exe
C:\WINDOWS\Installer\{b261d3a6-a4dd-00b4-54bc-4d0e4c92de74}
C:\Documents and Settings\lewyuser\Ustawienia lokalne\Dane aplikacji\{b261d3a6-a4dd-00b4-54bc-4d0e4c92de74}
C:\Documents and Settings\lewyuser\Pulpit\Live Security Platinum.lnk
C:\Documents and Settings\lewyuser\Menu Start\Programy\Live Security Platinum
C:\Documents and Settings\All Users\Dane aplikacji\6F638BB3006AA0550008FDE74A174311
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
Po skasowaniu plików pora wyczyścić rejestr. Naciskamy na klawiaturze znaczek windows i wciskamy kombinację [znaczek windows]+[R] i wpisujemy w nowym okienku regedit.exe i naciskamy Enter na klawiaturze. W nowo uruchomionym oknie naciskamy kombinację klawiszy [Ctrl]+[F] i wpisujemy Live Security po znalezieniu kluczy prawa strona lub folderów lewa strona okna naciskamy na kluczu lub folderze lewy przycisk myszy po czym naciskamy Del na klawiaturze a następnie tak. Taką akcję przeprowadzamy dopóki nie usuniemy wszystkich kluczy i folderów w rejestrze nawet jeżeli mają dziwne nazwy np: S-1-5-21-1357060462-418291473-4154907092-1001.
Rejestr czysty teraz pora zobaczyć czy coś się Nam w autostarcie nie zapętało. Zobacz
tutaj jak usunąć programy startowe. Szukamy podejrzanych programów w sekcji Autouruchamianie oraz Usługi. Odznaczamy podejrzane programy.
Przeglądarki internetowe również wymagają interwencji. Wyłączamy podejrzane pluginy typu toolbar, vshare i podobne.
Ustawiamy strony startowe na google.pl lub bing.com.
Na koniec instalujemy najnowszy antywirus np. Avast oraz Malwarebytes Anti-malware. Przeprowadzamy Avastem skan w trakcie działania systemu a następnie restartujemy komputer aby avast przeprowadził skanowanie jeszcze przed uruchomieniem systemu Windows.
Skuteczność powyższej metody to ok 95%.
4. Wykorzystanie OTL to jedna ze skuteczniejszych metod, której pewność działania w walce z wirusami wynosi ok 98%. Program skanuje najczęstsze lokalizacje w których uwielbiają gromadzić się wirusy, trojany czy malware. Program po pobraniu uruchamiamy w trybie normalnym
(koniecznie!!). Przeprowadzamy skanowanie i czekamy. Teraz musimy przełączyć się do trybu awaryjnego aby móc usunąć pliki i wykonać działania administracyjne na usługach i procesach. Wygenerowany raport musimy przejrzeć i sprawdzić pod kątem podejrzanych plików, czy programów na listach. W polu własne opcje skanowania wklejamy: Linie z sekcji
Driver Services oraz Services które nie są używane i nie znamy ich, następnie wklejamy podejrzane rzeczy oznaczone numerami O1,O2 z raportu. I dalszą część, podejrzanych plików i wpisów w rejestrze. Poniżej przykładowy skrypt do wklejenia.
Raport domyślnie zapisuje się w położeniu pliku EXE programu OTL pod nazwą OTL.txt i Extras.txt. Po wklejeniu podejrzanych elementów i etc klikamy na wykonaj skrypt.
:OTL
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Zune -- (ZuneWlanCfgSvc)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Zune -- (ZuneNetworkSvc)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\Zune -- (WMZuneComm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\cnnctfy2.sys
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No CLSID value found.
O3 - HKU\S-1-5-21-1838049677-4024885954-364754580-1000\..\Toolbar\ShellBrowser: (no name) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - No CLSID value found.
O3 - HKU\S-1-5-21-1838049677-4024885954-364754580-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-1838049677-4024885954-364754580-1000\..\Toolbar\WebBrowser: (VShareToolBar) - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - C:\Program Files\vShare.tv plugin\BarLcher.dll (VShare Inc.)
O4 - HKLM..\Run: [eRecoveryService] File not found
O4 - HKU\S-1-5-21-1838049677-4024885954-364754580-1000..\RunOnce: [036DFF85E54634B44BE65B646C44B161]
C:\ProgramData\036DFF85E54634B44BE65B646C44B161\036DFF85E54634B44BE65B646C44B161.exe ()
[2012-08-25 12:06:02 | 000,000,000 | ---D | C] -- C:\Users\Krzysiek\lewyuser\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum
[2012-08-25 12:06:02 | 000,001,982 | ---- | M] () -- C:\Users\lewyuser\Desktop\Live Security Platinum.lnk
:Files
C:\ProgramData\036DFF85E54634B44BE65B646C44B161
:Reg
[-HKEY_USERS\S-1-5-21-1838049677-4024885954-364754580-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum]
:Commands
[emptytemp]
Po wykonaniu skryptów i pozbyciu się podejrzanych rzeczy instalujemy dodatkowo Malwarebytes Anti-Malware i przeprowadzamy skan. W międzyczasie ustawiamy strony startowe(link w pkt. 3) w przeglądarkach na google.pl lub bing.com oraz wyłączamy podejrzane pluginy typu toolbar jeżeli takie znajdziemy. Restartujemy komputer.
Strona Główna
Internet
Bezpieczeństwo
