Dziwne wydarzenia - robaki/atak sieciowy

[Lysy]

Witam

 

Kilka dni temu mieliśmy bardzo dziwną sytuację. Zarażonych zostało kilka komputerów w sieci. Zaczęło się od kilkudziesięciu aktualizacji windowsa, następnie podszywanie się pod usługi windows svchost.exe, services.exe itd. i uruchamianie wielu zdalnych połączeń RCP. Infekcja telefonu pod android i pojawienie się tam różnych aplikacji oraz dziwne zachowania iphona i ipada. Windows na, którym były zainstalowane telefony uruchamial uslugi iphone czy ipad i wysylal przez nie jakies dane. Uruchomione wiele usług pod windowsem i wzmożony ruch sieciowy.

2 systemy padły, ten z którego wysyłam logi przetrwał ale na nim najmniej się działo, ratujemy jeszcze 2 systemy. Jak na robaka to trochę dużo i myślałem o ataku sieciowym ale może to tylko zbieg okoliczności. Jak zbiorę inne informacje to zamieszczę, a na razie proszę

 

Addition.txt

Extras.Txt

FRST.txt

gmer.txt

anti-malware.txt

[picasso]

Trudno tu cokolwiek powiedzieć na podstawie opisowego przedstawienia sytuacji bez konkretów z tamtych systemów (raporty). Tu przedstawiony system nie wykazuje żadnych oznak infekcji. Wyniki MBAM także nie powiązane, to szczątki adware. Nawiasem mówiąc: niekompletny log OTL podany, brakuje głównego pliku, ale już to zostaw.

 

1. Do usunięcia tylko pozostałe drobne odpadki adware (nie związane w ogóle z sytuacją) i wpisy puste. Otwórz Notatnik i wklej w nim:

 

StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 - DefaultScope {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={74CB9C1D-E709-49DA-8AE6-CA3DEC8B93C5}
SearchScopes: HKLM-x32 - {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={74CB9C1D-E709-49DA-8AE6-CA3DEC8B93C5}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www2.delta-search.com/?q={searchTerms}&affID=119370&babsrc=SP_ss&mntrId=D0FFBC7737E659CA
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={74CB9C1D-E709-49DA-8AE6-CA3DEC8B93C5}
BHO: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File
FF NewTab: hxxp://www2.delta-search.com/?affID=119370&babsrc=NT_ss&mntrId=D0FFBC7737E659CA
FF Plugin-x32: @adobe.com/ShockwavePlayer - C:\Windows\system32\Adobe\Director\np32dsw.dll No File
FF SearchPlugin: C:\Users\Kasia TB\AppData\Roaming\Mozilla\Firefox\Profiles\quvdfzaf.default\searchplugins\sweetim.xml
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird
S3 EraserUtilDrv11120; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11120.sys [x]
Task: {049F2115-BB16-4B1A-AB80-A454E9D483F0} - System32\Tasks\DSite => C:\Users\KASIAT~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE
Task: {177E5FDA-FFBE-4B44-BF5A-927C73EEEE22} - System32\Tasks\{39101A1B-B6E5-4474-8994-05459AA960F4} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled
Task: {228D0C82-9ECB-4632-9C7E-1FBD0DC59E0C} - System32\Tasks\{84EB98E5-A373-40A7-BD79-71F5DACF53D6} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled
Task: {59A5CB01-AD21-4B1F-B1F6-3FDDA139C9A5} - System32\Tasks\{6C579F8D-630F-4C3C-BE5A-0753592B1624} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled
Task: {84F1C13B-9F7A-4669-9ECD-C05372F2771E} - System32\Tasks\{D2A14C44-80E7-407F-998C-83FF3F2DBE48} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled
Task: {F74C8AF3-1135-4BB5-A2EF-147A8B2FB20F} - System32\Tasks\{7C1815ED-E0A5-4B9D-B25B-90A00B4D0355} => Firefox.exe hxxp://ui.skype.com/ui/0/5.1.0.104.161/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled
Task: C:\Windows\Tasks\DSite.job => C:\Users\KASIAT~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Zredukuj ilość antywirusów. Obecnie dwa czynne: Kaspersky Small Office Security, Microsoft Security Essentials.

[Lysy]

Dziękuję.

 

Jeśli chodzi o tamte wydarzenia to udało się wykryć mnóstwo robali na dysku My Book Live i prawdopodobnie dalej poszły od niego. Jednym ze złośliwców był trojan orsam rts, a łącznie znaleźliśmy ponad 100 różnych robali. Jesteśmy na ukończeniu usuwania. Dołącze wkrótce kolejne logi z prośbą o pomoc.

 

Pozdrawiam