siekieramotyka Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Witam, bardzo proszę o pomoc w znalezieniu syfu, który prawdopodobnie próbuje wykraść informacje z komputera. Jest też pewno jakiś adware. Podejrzewam pewne pliki ale chciałbym aby specjalista jeszcze raz zerknął. Załączam odpowiednie logi. Addition.txt Extras.Txt FRST.txt OTL.Txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Jest tu zainstalowany Dameware Mini Remote Control, w tle działa też usługa Tor. Potwierdź, że nie są to celowe instalacje, a przejdę do usuwania. Odnośnik do komentarza
siekieramotyka Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Dameware jest celowe, o Tor nic mi nie wiadomo, co to za usługa ? Odnośnik do komentarza
siekieramotyka Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Dameware jest celowe, o Tor nic mi nie wiadomo, co to za usługa ? Ok, już wiem co to Tor, czy to mógł zainstalować celowo użytkownik ? Rozumiem, że to usługa służąca do ukryawnia się w sieci, tak ? Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-09-02] () [File not signed] FRST obcina parametry, powinny być dodatkowe komendy. I tu nie jest pewne kto to zamontował, bo infekcje się też posługują usługą Tor. Normalna instalacja po stronie użytkownika to zwykle nie jest usługa tylko inny typ instalacji, tzn. Tor Browser for Windows. Dla porównania ten temat (użytkownik nie rozpoznaje instalacji) oraz pełne parametry usługi: ========= reg query HKLM\SYSTEM\CurrentControlSet\Services\tor /s ========= HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor Type REG_DWORD 0x10 Start REG_DWORD 0x2 ErrorControl REG_DWORD 0x0 ImagePath REG_EXPAND_SZ "C:\Program Files\Tor\tor.exe" --nt-service "-ControlPort" "9051" DisplayName REG_SZ Tor Win32 Service ObjectName REG_SZ NT AUTHORITY\LocalService Description REG_SZ Provides an anonymous Internet communication system HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\Security Security REG_BINARY 01001480900000009C000000140000003000000002001C000100000002801400FF010F00010100000000000100000000020060000400000000001400FD01020001010000000000051200000000001800FF010F0001020000000000052000000020020000000014008D01020001010000000000050B00000000001800FD01020001020000000000052000000023020000010100000000000512000000010100000000000512000000 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tor\Enum 0 REG_SZ Root\LEGACY_TOR\0000 Count REG_DWORD 0x1 NextInstance REG_DWORD 0x1 Podejrzewam pewne pliki O które Ci konkretnie chodzi? Odnośnik do komentarza
siekieramotyka Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 W takim razie wywalamy ten Tor, chodzi mi o dziwne pliki w uruchomianiu a msconfig, są odznaczone do uruchamiania: MSCONFIG\startupreg: HotKeysCmds => C:\WINDOWS\system32\hkcmd.exeMSCONFIG\startupreg: IgfxTray => C:\WINDOWS\system32\igfxtray.exeMSCONFIG\startupreg: Persistence => C:\WINDOWS\system32\igfxpers.exe oraz folder: ecyber. Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2014 Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Wpisy w msconfig są w porządku, to elementy instalacji Intel: HotKeysCmds + IgfxTray + Persistence ==================== Installed Programs ====================== Intel® Graphics Media Accelerator Driver (HKLM\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 6.14.10.5273 - Intel Corporation) Natomiast eCyber + iSafe to prawdopodobnie odpadki czegoś w rodzaju YAC (Yet Another Cleaner): KLIK. W podsumowaniu: poza podejrzanym elementem "Tor", nie widać w raportach żadnych oznak czynnej infekcji, ani adware. Do usunięcia tylko Tor i inne drobnostki / wpisy puste: 1. Odinstaluj stare dziurawe wtyczki: Adobe Flash Player 10 Plugin, Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 11.5, Java 7 Update 65, Java 6 Update 33, Java 6 Update 5. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-09-02] () [File not signed] S3 catchme; \??\C:\DOCUME~1\DDABRO~1\USTAWI~1\Temp\catchme.sys [X] U2 CertPropSvc; No ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 hoxxzuk; C:\WINDOWS\system32\xzrmiry.dll [X] NETSVC: hoxxzuk -> C:\WINDOWS\system32\xzrmiry.dll ==> No File. HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\bsz\Dane aplikacji\eCyber C:\Documents and Settings\bsz\Dane aplikacji\iSafe C:\Documents and Settings\dda\Dane aplikacji\eCyber C:\Documents and Settings\dda\Dane aplikacji\iSafe C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Program Files\Tor C:\WINDOWS\grep.exe C:\WINDOWS\MBR.exe C:\WINDOWS\PEV.exe C:\WINDOWS\sed.exe C:\WINDOWS\zip.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
siekieramotyka Opublikowano 17 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2014 Jutro to wykonam, dziwne jest też to, że dostałem info z banku o oprogramowaniu wyłudzajcym dane. Do tego w logach logowania widzać, że ktoś zalogował się do banku z Holandii z innego IP niż moje, były też dziwne przekierowania na stronie banku. Czy lepiej przeinstalować także przeglądarkę ? Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Jaki cel ma mieć reinstalacja przeglądarki? Jak mówię, nic tu nie widzę w raportach (poza podejrzanym Torem), ale raporty nie przedstawiają pełnego stanu. Komputer wygląda na typ domenowy, raporty są robione z kontekstu konta "pma", ale jest tu kupa innych nie sprawdzonych kont (raporty FRST muszą być robione z każdego konta po kolei): Loaded Profile: pma (Available profiles: ja & bsz & mpe & mba & dda & abi & pma) Przy czym FRST nawet nie wykrywa tych kont (z wyjątkiem "ja") jako lokalnych, wszystko co widać to: ========================= Accounts: ========================== ASPNET (S-1-5-21-1644491937-839522115-682003330-1004 - Limited - Enabled) bibinet (S-1-5-21-1644491937-839522115-682003330-1005 - Limited - Enabled) FGAdmin (S-1-5-21-1644491937-839522115-682003330-500 - Administrator - Enabled) Gość (S-1-5-21-1644491937-839522115-682003330-501 - Limited - Disabled) ja (S-1-5-21-1644491937-839522115-682003330-1003 - Limited - Enabled) => %SystemDrive%\Documents and Settings\ja Pomocnik (S-1-5-21-1644491937-839522115-682003330-1000 - Limited - Disabled) SUPPORT_388945a0 (S-1-5-21-1644491937-839522115-682003330-1002 - Limited - Disabled) Odnośnik do komentarza
siekieramotyka Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Dzięki, zrobię FRST jeszcze na tym koncie na którym był ten dziwny epizod. Odnośnik do komentarza
siekieramotyka Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Załaczam jeszcze do sprawdzenia FRST z profilu gdzie był błąd. Dziękuję ! Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 To konto jest zainfekowane, uruchamia się na nim następujący wpis: HKU\S-1-5-21-2094431546-3998815993-849199213-4764\...\Run: [speechEngines] => C:\Documents and Settings\bsz\Dane aplikacji\SpeechEngines\spcommon.exe [113664 2014-11-17] (zLoBrZWvG) Czyli poprzednie instrukcje na koncie "pma" nieaktualne, wszystko zrobisz z poziomu konta "bsz": 1. Odinstaluj dziurawce: Adobe Flash Player 10 Plugin, Adobe Flash Player 11 ActiveX, Adobe Shockwave Player 11.5, Java 7 Update 65, Java 6 Update 33, Java 6 Update 5. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKU\S-1-5-21-2094431546-3998815993-849199213-4764\...\Run: [speechEngines] => C:\Documents and Settings\bsz\Dane aplikacji\SpeechEngines\spcommon.exe [113664 2014-11-17] (zLoBrZWvG) R2 tor; C:\Program Files\Tor\tor.exe [3233806 2013-09-02] () [File not signed] S3 catchme; \??\C:\DOCUME~1\DDABRO~1\USTAWI~1\Temp\catchme.sys [X] U2 CertPropSvc; No ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 hoxxzuk; C:\WINDOWS\system32\xzrmiry.dll [X] NETSVC: hoxxzuk -> C:\WINDOWS\system32\xzrmiry.dll ==> No File. HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2094431546-3998815993-849199213-4764\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-2094431546-3998815993-849199213-4764\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-2094431546-3998815993-849199213-4764 -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKU\S-1-5-21-2094431546-3998815993-849199213-4764 -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = SearchScopes: HKU\S-1-5-21-2094431546-3998815993-849199213-4764 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\bsz\Dane aplikacji\eCyber C:\Documents and Settings\bsz\Dane aplikacji\iSafe C:\Documents and Settings\bsz\Dane aplikacji\SpeechEngines C:\Documents and Settings\dda\Dane aplikacji\eCyber C:\Documents and Settings\dda\Dane aplikacji\iSafe C:\Documents and Settings\LocalService\Dane aplikacji\tor C:\Program Files\Tor C:\WINDOWS\grep.exe C:\WINDOWS\MBR.exe C:\WINDOWS\PEV.exe C:\WINDOWS\sed.exe C:\WINDOWS\zip.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
siekieramotyka Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Załączam nowe logi. Jeśli data przy tym zawirusowanym wpisise jest wiarygona to już wiem kto jest winowajcą, to był mail. Mogę udostępnić załącznik z niego jeśli potrzebujecie do analizy. Dodam jeszcze, że przed fix usunąłem niepotrzebne profile. Zostały tylko 2 potrzebne. Dlatego w logu jest info o nie usunięciu niektóych wpisów. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 18 Grudnia 2014 Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Dodam jeszcze, że przed fix usunąłem niepotrzebne profile. Zostały tylko 2 potrzebne. Dlatego w logu jest info o nie usunięciu niektóych wpisów. Usunięcie kont to jedno. Ale dodatkowo ingerowałeś w mój skrypt. Na dysku były foldery: C:\Documents and Settings\dda\Dane aplikacji\eCyber C:\Documents and Settings\dda\Dane aplikacji\iSafe Natomiast Ty wstawiłeś rzeczy, których w raportach nie było wcale (nie ma takiego konta ani ścieżki w ogóle w żadnym spisie): C:\Documents and Settings\ddabrowski\Dane aplikacji\eCyber C:\Documents and Settings\ddabrowski\Dane aplikacji\iSafe Pomijając to, reszta zadań wykonana i przejdź do czynności finalizujących: 1. Standardowe kroki z DelFix i czyszczeniem folderów Przywracania systemu: KLIK. 2. Zmień dane logowania w serwisach (bank i podobne). Odnośnik do komentarza
siekieramotyka Opublikowano 18 Grudnia 2014 Autor Zgłoś Udostępnij Opublikowano 18 Grudnia 2014 Bardzo dziękuję za pomoc ! Odnośnik do komentarza
Rekomendowane odpowiedzi