apr
30
Fake Windows Recovery, descrizione e rimozione
Author - Filed Under Virus, Trojans & Worms
Nome file: WindowsRecoveryInstaller.exe
Dimensione file: 546816 bytes
MD5 : ba6497434caec5125f677757816e7828
Publisher: HiTech
=========================================================================
Appartiene alla famiglia degli analizzatori fake di computer, rilascia falsi messaggi sulla sicurezza della nostra macchina e false rilevazioni di malware.
Dopo aver eseguito il file WindowsRecoveryInstaller.exe, viene creata una nuova chiave di registro per disattivare il taskmanager
HKCU\..\System
valore: DisableTaskMgr
dati: 0×0000001
Viene creato un file con nome random e con attributo nascosto nella cartella di sistema
Su sistemi operativi XP in
C:\Documents and Settings\All Users\Dati applicazioni\nome_random.exe (546.816 bytes)
mentre su sistemi operativi Vista e 7 in
C:\utenti\nome_random.exe (546.816 bytes)
Viene creata una nuova chiave di registro, attiva al riavvio della macchina, in
HKCU\..Run\
Nome: nome_random
Dati: C:\Documents and Settings\All Users\Dati applicazioni\nome_random.exe
Viene eseguita una richiesta DNS per trasferire i dati sensibili dal computer verso un server remoto, nome_random.exe modifica le seguenti chiavi di registro:
===============
HKCU\..\Advanced
Nome: Hidden
Dati: 0×0000001
in
Nome: Hidden
Dati: 0×0000000
===============
HKCU\..\Advanced
Nome: ShowSuperHidden
Dati: Dati: 0×0000001
in
Nome: ShowSuperHidden
Dati: 0×0000000
===============
HKCU\..\Download
Nome: CheckExeSignatures
Dati: yes
in
Nome: CheckExeSignatures
Dati: no
===============
Vengono create le seguenti chiavi di regsitro
HKCU\..\Policies\Attachments
Nome: SaveZoneInformation
Dati: 0×0000001
===============
HKCU\..\Policies\ActiveDesktop
Nome: NoChangingWallPaper
Dati: 0×0000001
===============
HKCU\..\Policies\Associations
Nome: LowRiskFileTypes
Dati: /{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:
===============
Viene eseguito il processo
%SysDir%\attrib.exe
e creato un nuovo valore nel registro (il file .tmp verrà successivamente eliminato)
HKLM\..\Session Manager
Nome: PendingFileRenameOperations
Dati: \??\C:\DOCUME~1\nome_utente\IMPOST~1\Temp\tmp1.tmp
===============
%SysDir%\attrib.exe
avrà accesso in scrittura al file di HOSTS
===============
Falsi messaggi d’errore verranno mostrati a video
Un file con nome random numerico (8 cifre) e con estensione .exe verrà creato nella dir
C:\Document and Settings\All Users\Dati Applicazione
Il computer, una volta chiuse tutte le finestre d’errore, verrà riavviato.
Come descritto precedentemente il malware modificherà due chiavi del registro per nascondere i file e le cartelle, per renderle nuovamente visibili ed eliminare l’infezione, ci serviremo di tre programmi:
rkill ==> http://download.bleepingcomputer.com/grinler/rkill.com
unhide ==> http://download.bleepingcomputer.com/grinler/unhide.exe
Malwarebytes ==> http://www.malwarebytes.org/mbam-download.php
Rimozione
Riavviamo il computer in modalità provvisoria con rete (riavviamo il nostro computer e premiamo il tasto F8 più volte)
selezioniamo l’utente principale
avviamo il nostro browser e scarichiamo sul desktop i tre programmi rkill, unhide, Malwarebytes
eseguiamo il tool rkill ed attendiamo fino a quando non verrà aperto un file di log come riportato nell’immagine qui sotto
eseguiamo ora il tool unhide ed attendiamo pazientemente fino a quando non verrà mostrato a video il messaggio “Your files should now be visible.”
ora installiamo Malwarebytes, dopo l’aggiornamento delle definizioni eseguiamo una scansione completa del nostro computer su tutte le unità disco presenti ed eliminiamo i valori infetti. Riavviamo la macchina.
Ora non ci resta che ripristinare lo sfondo del nostro desktop e rimuovere manualmente la seguente chiave di registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
Nome: LowRiskFileTypes
Dati: /{hq:/s`s:/ogn:/uyu:/dyd:/c`u:/bnl:/ble:/sdf:/lrh:/iul:/iulm:/fhg:/clq:/kqf:/`wh:/lqf:/lqdf:/lnw:/lq2:/l2t:/v`w:/rbs:
Apriamo il registro di sistema e, aiutandoci con i segni +, portiamoci fino alla sottochiave
Associations, click sulla cartellina gialla Associations e, dal pannello di dx, clicchiamo di dx su LowRiskFileTypes e selezioniamo “Elimina”.
Chiudiamo il registro di sistema e riavviamo il nostro computer.
grazzzzzzzzie!!!!!!! alle indicazioni ho risolto perfettamente l’infezione di Windows recovery in pochissimo tempo
Ciao Carlo,
sono contento tu abbia risolto
Nel ringraziarla per il grande aiuto che mi ha reso, grazie alla semplicità e chiarezza della guida alla rimozione da lei proposta, anche a chi come me è un neofita del pc, le pongo un quesito che forse la farà sorridere: io nel registro non ho trovato nessuna voce Association in \Policies\ se non Explorer… ho sbagliato qualcosa nella root o è possibile che non ci sia nulla tenuto conto che il programma malevolo era appena comparso sul pc? La ringrazio ancora infinitamente ed anche anticipatamente per ogni eventuale risposta
Buonasera Igor,
in effetti nella sottochiave Associations non sempre viene creato il valore LowRiskFileTypes, ho eseguito tre volte il malware sulla mia macchina prima di scrivere l’articolo e in un caso non si era creata.
Ringrazio io Lei per i complimenti che mi fa
Le auguro un buon fine settimana,
Marco
ciao, innanzitutto ti volevo ringraziare per l’aiuto che date a tutti noi non esperti. anch’io sono riuscito a rimuovere il malware, solo che non riesco a fare l’ultimo passo non trovo il registro di sistema, e forse per questo le icone del desktop non sono visibili, e quando sempre sul desktop, clicco con il tasto destro non mi si apre niente.grazie di nuovo,
spero mi potette dare un consiglio,
ciao ale,
scarica sul desktop
http://www.suspectfile.com/systemscan
aprilo ed assicurati che tutte le opzioni siano spuntate, clicca su “Scan Now” al termine della scansione verranno rilasciati (sempre sul desktop all’interno della cartella suspectfile) due file. Vai su http://www.wikisend.com e carica il file con estensione .zip
Nella tua prossima risposta copia/incolla l’URL per poter scaricare il report.
Ricordati d’effettuare la scansione senza connessione attiva.
NB:
ricordati di disattivare l’antivirus prima di scaricare il programma e prima d’effettuare la scansione e di riattivarlo prima di riconnetterti ad internet.
Sia SystemScan che la cartella “suspectfile” dovrebbero essere visibili sul desktop, se non dovesse essere così modificheremo a mano alcuni valori nel registro
Ciao, ti ringrazio molto degli ottimi consigli offerti Sono stato anch’io vittima del Malware e grazie alle tue indicazioni sono riuscito a rimettere “in vita” il portatile.
Resta un problema: il programma Explorer non parte, o meglio: si apre la finestra ma non riesco a utilizzare internet (messaggio “Connessione in corso”). La cosa strana è che il programma di posta elettronica funziona regolarmente ma non c’è modo di aprire internet explorer.
Mi puoi dare una mano a risolvere anche quest’ultimo problema? Grazie in anticipo!!! Luigi
Ciao Luigi,
purtroppo momentaneamente ho problemi a seguire in maniera costante le richieste d’aiuto.
Puoi però iscriverti, se già non lo sei, nel nostro forum ed aprore una discussione spiegando il tuo problema, verrai seguito ed aiutato a risolverlo.
Un saluto,
Marco
http://www.suspectfile.com/forum/viewforum.php?f=4
Grazie veramente, dopo tanto cercare sono capitato qui e con poche e chiare istruzioni ho risolto il problema!
Un saluto
Andrea
Grazie mille per l’aiuto e complimenti per l’ottima guida.Ho risolto il problema in pochissimo tempo.
Un saluto
Luigi
Grazie a te Luigi, un saluto e buon fine settimana
Marco