PawelPS Opublikowano 23 Listopada 2014 Zgłoś Udostępnij Opublikowano 23 Listopada 2014 WitamPrzypadkowo zauważyłem w menedżerze zadań, że czasem jest kilkukrotnie uruchomiony Internet Explorer (iexplore.exe w wersji 64-bitowej), choć nie był on w żaden sposób ręcznie uruchamiany. Nie widzę też żadnego okna od niego na pasku zadań.Na chwilę obecną żadnych skutków ubocznych nie widzę (żadnych błędów, żadynch wyskakującyh okienek czy reklam, spowolnienia pracy komputera lub internetu).Uruchomiłem Proces Explorer i sytuacja wygląda jak na pliku w załączniku - screen.png Wygląda jakby uruchamiał go svchost.exe (c:\Windows\system32\svchost.exe DComLaunch, Plug and Play, Proces uruchamiający proces serwera DCOM, Zasilanie Power).W menedżerze zadań jako nazwa użytkownika przy iexplore.exe jest bieżący zalogowany użytkownik.Nie wiem z czego wynika taka sytuacja, wydaje mi się, że prawidłowa nie jest. Nie udało mi się nic samemu znaleźć. Nie odwiedzam stron o wątpliwej reputacji, używam Seamonkey + NoScript, staram się patrzeć co instaluję i omijam programy o wątpliwej reputacji. Skanowałem komputer za pomocą DrWeb LiveCD, ale jedyne co wykrył to: Exploit.PDF.9030W pliku (dla poszczególnych użytkownków):C:\Users\Pawel\AppData\LocalLow\Adobe\Acrobat\11.0\Reader\Synchronizer\resources\resource-18 oraz w plikach tymczasowych Internet Explorer'a Wrzuciłem ten plik na www.virustotal.com i tylko DrWeb CureIt tu infekcję wykrywa (data utworzenia i modyfikacji pliku jest podobna do dat innych plików Adobe Reader'a). TDSS killer również nic nie znalazł. W załącznikach wymagane logi. Wszystkie logi wykonane bez problemu, programy pobrane z domyślnych lokalizacji wskazanych na forum. gmer.txt FRST.txt Addition.txt Shortcut.txt OTL.Txt Extras.Txt TDSSKiller.3.0.0.41_23.11.2014_21.28.10_log.txt Odnośnik do komentarza
picasso Opublikowano 23 Listopada 2014 Zgłoś Udostępnij Opublikowano 23 Listopada 2014 W raportach nic nie widzę, ale efekt jest bardzo podejrzany i sugeruje zaszytą infekcję. Żaden iexplore.exe nie powinien być uruchamiany w takim układzie drzewa i to samoczynnie po cichu.1. Poproszę o pełną kopię rejestru do analizy, wygenerowaną przez FRST podczas uruchomienia: spakuj do ZIP cały folder C:\FRST\Hives, shostuj gdzieś i wyślij mi na PW link do tego. Analiza zajmie mi trochę czasu.2. Dodatkowo, w systemie są dwa konta: ========================= Accounts: ==========================Andrzej (S-1-5-21-3168405963-2265878042-1484963834-1001 - Administrator - Enabled) => C:\Users\AndrzejPawel (S-1-5-21-3168405963-2265878042-1484963834-1000 - Administrator - Enabled) => C:\Users\Pawel Logi z FRST zostały zrobione z poziomu konta Pawel - poproszę jeszcze o logi z drugiego konta. Zaloguj się na Andrzeja poprzez pełny restart systemu (a nie opcję Wyloguj czy Przełącz użytkownika) i zrób dwa raporty FRST (główny + Addition, Shortcut zbędny). Odnośnik do komentarza
PawelPS Opublikowano 23 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 23 Listopada 2014 Dziękuję za szybką odpowiedź. Dodatkowo zauważyłem, że w proces monitor, gdy najeżdżam na poszczególne procesy iexplore.exe i wybieram zakładkę TCP/IPProtocol Local Address Remote Address StateTCP 192.168.1.100:50313 68.232.34.200:443 CLOSE_WAITTCP 192.168.1.100:50312 68.232.34.200:443 CLOSE_WAITTCP 192.168.1.100:50315 68.232.34.200:443 CLOSE_WAITTCP 192.168.1.100:50314 68.232.34.200:443 CLOSE_WAIT Wysłałem na PW link do pliku Hives.zip. Nie mam pojęcia którędy to weszło. Przeskanowałem jeszcze komputer za pomocą Kaspersky Virus Removal Tool i też nic nie widzi... W załączniku w tym poście logi z konta Andrzej. Pozdrawiam Addition_andrzej.txt FRST_andrzej.txt Odnośnik do komentarza
picasso Opublikowano 24 Listopada 2014 Zgłoś Udostępnij Opublikowano 24 Listopada 2014 Wstępnie przeleciałam dane rejestru, ale nic się nie rzuca w oczy, rejestr będę jednak nadal drażyć. Poproszę też o: 1. Nagranie logów czasu rzeczywistego za pomocą Process Monitor, co ma wykazać dokładniej gdzie te procesy uzyskują dostęp. Dostarcz dwa typy logów: W obecnej sytuacji, gdy w tle działają owe procesy, uruchom program i zostaw nagrywanie na chwilę, następnie spróbuj te procesy zabić i poczekaj czy się odpalą samodzielnie ponownie, na koniec zatrzymaj nagrywanie ikonką lupki na pasku narzędzi i zapisz log. Podczas startu systemu opcją Boot Logging. Opis w ogłoszeniu w punkcie 4: KLIK. Wszystkie logi PML (będą spore) spakuj do ZIP, shostuj gdzieś i podaj link do paczki. 2. Spis ewentualnych transferów BITS. Start > w polu szukania wklep Windows PowerShell > z prawokliku Uruchom jako Administrator > wklep po kolei te dwie komendy i ENTER: Import-Module BITSTransferGet-BitsTransfer -AllUsers | select * Przeklej z okna wyniki. Protocol Local Address Remote Address StateTCP 192.168.1.100:50313 68.232.34.200:443 CLOSE_WAIT Ten zdalny IP 68.232.34.200 wg Whois jest powiązany z Edgecast Networks / Verizon: KLIK / KLIK. Tu jest możliwość, że jednak następuje połączenie z jakimś hostem Microsoftu. Porównaj z dalszym postem w tym wątku (treść po holendersku): KLIK. Een bijzonder griezelig SHA1 certificaat krijg je van https://ajax.aspnetcdn.com/ (68.232.34.200). Het subject daarvan is "*.vo.msecnd.net", maar het ondersteunt ook de volgende alternate names:DNS Name=*.microsoft.comDNS Name=*.msn-int.comDNS Name=*.msn.comDNS Name=*.live-int.comDNS Name=*.windowsphone-int.comDNS Name=*.windowsphone.comDNS Name=*.cmsresources.windowsphone-int.comDNS Name=*.marketplace.windowsmobile-int.comDNS Name=*.wlxrs-int.comDNS Name=*.shared.live-int.comDNS Name=*.shared.live.comDNS Name=*.wlxrs.comDNS Name=*.cdn.office.netDNS Name=*.ads2.msads.netDNS Name=*.aspnetcdn.comDNS Name=*.c3scs.jp.msn.comDNS Name=*.cmsresources.windowsphone.comDNS Name=*.f1ds.shared.live-int.comDNS Name=*.f1ds.wlxrs-int.comDNS Name=*.jp.msn.comDNS Name=*.live-int.netDNS Name=*.live.comDNS Name=*.live.netDNS Name=*.manage.microsoft.comDNS Name=*.marketplace.windowsmobile-perf.comDNS Name=*.marketplace.windowsmobile.comDNS Name=*.microsoft-sbs-domains.comDNS Name=*.msads.netDNS Name=*.partner-df.windowsphone-int.comDNS Name=*.partners.msn.comDNS Name=*.s-msn.comDNS Name=*.st.s-msn.comDNS Name=*.stb.s-msn.comDNS Name=*.stc.s-msn.comDNS Name=*.stj.s-msn.comDNS Name=*.wlxrsu-int.comDNS Name=images.partner.windowsphone-int.comDNS Name=images.partner.windowsphone.comDNS Name=*.dev.skype.comDNS Name=*.ucwa.lync.comDNS Name=*.vo.msecnd.netDNS Name=*.s.windows.microsoft.comDNS Name=*.azureedge.netDNS Name=*.wpc.azureedge.netDNS Name=*.wac.azureedge.netDNS Name=*.adn.azureedge.netDNS Name=*.fms.azureedge.netDNS Name=*.azurecomcdn.netDNS Name=*.cdn.skype.netDNS Name=*.cdn.skype.comDNS Name=*.msdn.comAls je SHA1 kunt kraken, d.w.z. de public key in dit certificaat kunt vervangen door een zelf gegenereerde en dit met andere wijzigingen in het certificaat combineert zodanig dat de SHA1sum over het certificaat niet wijzigt (de handtekening dus hetzelfde kan blijven), heb je in potentie een groot deel van Microsoft's infrastructuur ondermijnd.Nb. dit certificaat en bijbehorende private key zijn waarschijnlijk in het bezit van de eigenaar van IP-adres 68.232.34.200, EdgeCast Networks, Inc. wat betekent dat ook andere dan Microsoft medewerkers hier mogelijk bij kunnen. Odnośnik do komentarza
PawelPS Opublikowano 24 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 24 Listopada 2014 Informacje postaram się stopniowo uzupełniać, najdłużej pewnie zejdzie się z pkt 1, bo nie potrafię powiedzieć w jakich okolicznościach te procesy iexplore.exe się uruchamiają (nie zawsze sa uruchamiane podczas działania komputera), więc trochę potrwa zanim go wykonam. 1 * - będzie uzupełnione * obecnie wrzucam log z Process Monitor z etapu uruchamiania systemu - przed restartem systemu, jak i po restarcie, podczas logowania procesy iexplore.exe nie były uruchomiane. Paczkę umieściłem tutaj: http://chomikuj.pl/Kloss-J23/publiczne plik Bootlog.zip 2- Wyniki pozwoliłem sobie przekierować od razu do pliku - PowerShellWynik.txt w załączniku Uruchamiałem 64-bitową wersję PowerShell. W momencie działania PoowerShell brak procesów iexplore.exe Ten zdalny IP 68.232.34.200 wg Whois jest powiązany z Edgecast Networks / Verizon: KLIK / KLIK. Tu jest możliwość, że jednak następuje połączenie z jakimś hostem Microsoftu. Porównaj z dalszym postem w tym wątku (treść po holendersku): KLIK. Nie do końca zrozumiałem co tutaj mam zrobić (nawet wspierany przez google translate). Łaty KB2977629, KB2998527 nie są zainstalowane. Spisałem adres, jaki zobaczyłem w Proces Explorer, ale nie wiem czy to jest jedyny adres z jakim próbowały się łączyć te procesy iexplore.exe PowerShellWynik.txt Odnośnik do komentarza
picasso Opublikowano 25 Listopada 2014 Zgłoś Udostępnij Opublikowano 25 Listopada 2014 Informacje postaram się stopniowo uzupełniać, najdłużej pewnie zejdzie się z pkt 1, bo nie potrafię powiedzieć w jakich okolicznościach te procesy iexplore.exe się uruchamiają (nie zawsze sa uruchamiane podczas działania komputera), więc trochę potrwa zanim go wykonam. Może to się łączy z odpaleniem jakiegoś szczególnego programu? Tu znalazłam bardzo podobny efekt, tylko Ty nie posiadasz Bitcasy: KLIK. 2- Wyniki pozwoliłem sobie przekierować od razu do pliku - PowerShellWynik.txt w załączniku Uruchamiałem 64-bitową wersję PowerShell. W momencie działania PoowerShell brak procesów iexplore.exe W tym przypadku aktywność procesów nieistotna, chodziło o pobranie spisu zakolejkowanych zadań BITS. Nic tam podejrzanego nie ma, ale kolejka związana z pobieraniem Windows Update jest spora. Czas utworzenia tych zadań jest daleki - sierpień 2014. Postaraj się dokończyć wszystkie odłożone w czasie instalacje aktulizacji, a jeśli niby wszystko jest zainstalowane, to możesz oczyścić kolejkę BITS egzekwując komendę czyszczenia Temp w FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Przedstaw wynikowy fixlog.txt. Sprawdź w linii poleceń Windows PowerShell czy kolejka jest pusta. Nie do końca zrozumiałem co tutaj mam zrobić (nawet wspierany przez google translate). Łaty KB2977629, KB2998527 nie są zainstalowane. Wątek na holenderskim forum jest na inny temat, nie chodziło mi o wykonywanie żadnych instrukcji. Z owego wątku tylko do wglądu była informacja z jakimi hostami jest związany ten adres IP 68.232.34.200 (zakreśliłam ją w spoilerze dla jasności). . Odnośnik do komentarza
PawelPS Opublikowano 26 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2014 Skrypt FRST wykonany, żadnych problemów nie było. Wynik: Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 26-11-2014 01 Ran by Pawel at 2014-11-26 23:28:38 Run:1 Running from D:\Pawel Loaded Profile: Pawel (Available profiles: Pawel & Andrzej) Boot Mode: Normal ============================================== Content of fixlist: ***************** CloseProcesses: EmptyTemp: ***************** Processes closed successfully. EmptyTemp: => Removed 20.2 MB temporary data. The system needed a reboot. ==== End of Fixlog ==== Teraz PowerShell pokazuje, że kolejka jest pusta. W sierpniu aktualizowałem system, był problem z feralną aktualizacją KB2862330 (BSOD związany z portami USB, sterowniki USB3.0 Intel'a i wprowadzony przez nie monitor portów) były wtedy zainstalowane), po paru nieudanych próbach (BSODy z dokładnie tym samym komunikatem) uruchomiło się przywracanie systemu. Potem aktualizacje zainstalowałem (za wyjątkiem KB2862330) i problemu nie było. Pewnie dlatego kolejka była niepusta. Może to się łączy z odpaleniem jakiegoś szczególnego programu? Tu znalazłam bardzo podobny efekt, tylko Ty nie posiadasz Bitcasy: KLIK. Hmm...będę stopniowo "przeklikiwał" zainstalowane aplikacja, ale obecnie nic mi do głowy nie przychodzi. Dotychczas procesu iexplore.exe nie widziałem, więc logu z Process monitora nie załączę. Mam jeszcze pytanie - czy w obecnej chwili jest sens instalować program antywirusowy (może pokaże coś więcej na temat bieżących działań) czy to tylko zaciemni sytuację przy dalszej analizie logów ? Czy skanery antywirusowe (np. DrWeb CureIt albo Kaspersky Virus Removal Tool) również skanują tą 100MB'ajtową partycję Windowsa ? Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2014 Zgłoś Udostępnij Opublikowano 27 Listopada 2014 Mam jeszcze pytanie - czy w obecnej chwili jest sens instalować program antywirusowy (może pokaże coś więcej na temat bieżących działań) czy to tylko zaciemni sytuację przy dalszej analizie logów ? Czy skanery antywirusowe (np. DrWeb CureIt albo Kaspersky Virus Removal Tool) również skanują tą 100MB'ajtową partycję Windowsa ? - Powstrzymałabym się z tym, log Process Monitor będzie upstrzony aktywnościami, ciężej będzie odsiać niektóre rzeczy. O ile dojdzie tu do wytwarzania raportu ProcMon... - Narzędzia co najwyżej mogą skanować sektor rozruchowy, ale nie skanują zawartości partycji, która jest ukryta. Dopiero jej uwidocznienie poprzez tymczasowe przypisanie litery oraz konkretne jej wskazanie w skanerze umożliwi ręczną weryfikację. Wątpię jednak, byś tam coś znalazł. . Odnośnik do komentarza
PawelPS Opublikowano 27 Listopada 2014 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2014 Udało się zrobić log działalności procesu iexplore.exe Wrzuciłem go tutaj: http://chomikuj.pl/Kloss-J23/publiczne w pliku Logfile_iexplore.zip Jednak miałaś rację: Może to się łączy z odpaleniem jakiegoś szczególnego programu? Tu znalazłam bardzo podobny efekt, tylko Ty nie posiadasz Bitcasy: KLIK. Efekt taki uzyskuję po uruchomieniu 64-bitowej wersji WinRAR'a 5.11 po upływie 40 dniowego okresu ewaluacyjnego (wersja czysta, z polskiej strony WinRar, bez żadnych cracków i tego typu rzeczy) ! Wówczas pokazuje się takie okienko reklamowe od WinRAR'a jak w załączniku. Przy pierwszym uruchomieniu WinRAR'a tworzony jest jeden nadrzędny proces iexplore.exe (jako rodzic svchost.exe) i jeden potomny. Zamknięcie i ponowne uruchomienie WinRAR'a to dołożenie kolejnego potomnego procesu iexplore.exe. Procesy te same się nie zamykają, można to bez problemu zrobić ręcznie. Adres IP, z którym próbują się łączyć te procesy jest taki jak podałem wcześniej. Może komuś z użytkowników forum uda się ten scenariusz powtórzyć ? Wtedy miałbym pewność, że mój przypadek nie jest odosobniony, choć dość dziwny (bo w takiej sytuacji spodziewałbym się WinRAR'a jako rodzica). Chciałbym picasso bardzo podziękować za pomoc w wątku i za podpowiedzi. Skoro to nie jest infekcja to nie zajmuję dalej Twojego czasu, bo i tak masz na forum już dużo roboty. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się