mozartmozart Opublikowano 7 Października 2016 Zgłoś Udostępnij Opublikowano 7 Października 2016 Witam. Jakiś czas temu na komputerach sieci firmowo-domowej cybertarczaorange poinformowała nas o problemie w postaci ransomware.locky, a dzisiaj okazało się, że zhackowana została firmowa strona internetowa. W google pod stroną pojawił się napis:"Ta witryna mogła paść ofiarą ataku hakerów." Po wejściu na stronę użytkownik przekierowany zostanie na portal pornograficzny. W skrócie:1. 2-3 tygodnie temu informacja o ransomware.locky.2. 3 dni temu przestały mi działać pewne strony, ale restart routera rozwiązał problem.3. Wczoraj/dzisiaj zhackowano mi stronę - korzystam z program filezilla i zauważyłem, że on automatycznie zapisuje hasło do serwera. Może stąd zhackowana strona, ale jednak jakoś te dane musiały wypłynąć.Przeskanowałem swój komputer dwoma antywirusami (AVG i F-Secure), które nic nie wykryły. Inne Esetem i też czysto, więc według forumowej instrukcji proszę o sprawdzenie zawartości moich komputerów. Addition1.txt FRST1.txt gmer1.txt Shortcut1.txt Addition2.txt FRST2.txt gmer2.txt Shortcut2.txt Addition4.txt FRST4.txt gmer4.txt Shortcut4.txt Addition3.txt FRST3.txt gmer3.txt Shortcut3.txt Odnośnik do komentarza
picasso Opublikowano 8 Października 2016 Zgłoś Udostępnij Opublikowano 8 Października 2016 W żadnym z dostarczonych zestawów nie widać jawnej infekcji malware / trojanami, jedynie na zestawach 1 i 2 są śmieci adware/PUP, co nie powinno się wiązać z żadnym ze zgłaszanych zjawisk. Wczoraj/dzisiaj zhackowano mi stronę - korzystam z program filezilla i zauważyłem, że on automatycznie zapisuje hasło do serwera. Może stąd zhackowana strona, ale jednak jakoś te dane musiały wypłynąć. W kwestii FileZilla nic więcej nie zaradzę niż zmienić hasło i wyłączyć zapamiętywanie hasła. Skoro w podanych tu zestawach nie ma oznak infekcji, możliwości są następujące: - Była wcześniej infekcja zdolna prowadzić takie zadania i w owym momencie przechwyciła hasła. Infekcję dawno usunięto, haseł nie zmieniono, zostały użyte w późniejszym czasie. - Firmowa sieć, czy to są więc wszystkie komputery które działały pod jej kontrolą? Jeśli nie, to w infekcję i łowienie haseł mógł być zaprzężony całkiem inny komp niż tu przedstawiane, i to z jego poziomu złowiono hasło wprowadzane na innych komputerach. Cytuję z innego tematu, że przejęcie hasła FTP na całkowicie czystym komputerze jest możliwe poprzez nasłuch w sieci: Dokument PDF opisujący metodologię infekcji iframe: KLIK. Cytuję końcowy fragment: "Attention! The virus may be listening in (eavesdropping) on bypassing network traffic originating from other computers on the local network (packet sniffing) to steal FTP passwords! This means that you can clean up your PC but if another PC is infected located in the same network segment, the virus can still intercept the passwords you have entered on the clean PC! Also, be careful with FTP passwords you have saved in the past. The virus may have the potential to extract those saved passwords. Considering the dangers involved it is advisable to login to your FTP server using the SSH over FTP protocol. Source: KLIK." + Cytat z linka: "As it turned out, the malware steals FTP passwords with network sniffing a.k.a. promiscuous mode (at least among other ways, because I heard it can also read the stored passwords of well-know FTP clients). This means, it even steals the FTP user names and passwords that were used from a clean computer, if that computer was in the same Ethernet collision domain as the infected computer, and the password was actually used (i.e. the user has logged in to an FTP account) when the infected computer was on (and hence eavesdropping). In general, if you have some Ethernet hubs as opposed to Ethernet switches in your LAN, then depending on the exact network topology, possibly not only the infected computer is affected. Needless to say, the infected computer itself is always in its own collision domain, so even if you don't store the passwords in your FTP client (and you shouldn't), the malware still steals the password when you log in. The infected computer sends the stolen FTP credentials (and who knows what else it captured) to its masters, so the computer that will update the index.html-s via FTP (maybe hours, maybe days later) will be some random computer from around the world." Jeśli chodzi o doczyszczanie śmieci: ZESTAW 1 1. Odinstaluj adware foxydeal, Optimizer Pro v3.2 oraz firmowe "PUPy" AVG Web TuneUp, McAfee Security Scan Plus. Te instalacje adware wyglądają na uszkodzone / niepełne, w razie problemów z deinstalacją potem je doczyszczę. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer2749.exe [235776 2015-12-15] (MustangService) R1 StarOpen; C:\Windows\system32\Drivers\StarOpen.sys [5632 2006-07-24] () [brak podpisu cyfrowego] HKLM\...\Run: [NPSStartup] => [X] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1445982696&z=1af9da319f2a64796c6a49cgcz5z8wdtabeo3q4tfq&from=dae&uid=st3250410as_6ry6dn07xxxx6ry6dn07&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1445982696&z=1af9da319f2a64796c6a49cgcz5z8wdtabeo3q4tfq&from=dae&uid=st3250410as_6ry6dn07xxxx6ry6dn07&q={searchTerms} HKU\S-1-5-21-2696700359-2503137183-1314882984-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkId=619797&pc=UE12&ocid=UE12DHP SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-2696700359-2503137183-1314882984-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={E4FE2881-5B5A-4992-988F-41AD1FA2BDEA}&mid=f7e1d75593dd47cd9fcdd1a95adf06da-477740586ab7e2ef46f330033230d3b792368eab&lang=pl&ds=AVG&coid=avgtbavg&cmpid=0716tb&pr=fr&d=2015-05-05 12:49:54&v=4.3.1.831&pid=wtu&sg=&sap=dsp&q={searchTerms} CustomCLSID: HKU\S-1-5-21-2696700359-2503137183-1314882984-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Adam\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Adam\AppData\Roaming\Mozilla\Firefox\Profiles\aw2d3slu.default\extensions\deskCutv2@gmail.com => nie znaleziono FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\40.3.6\\npsitesafety.dll [brak pliku] DeleteKey: HKLM\SOFTWARE\Google C:\Program Files\prefs.js C:\Program Files\Mozilla Firefox\browser\searchplugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AVG\AVG 2015.lnk C:\ProgramData\F-Secure C:\ProgramData\TempMoudleSet C:\Users\Adam\AppData\Local\GG C:\Users\Adam\AppData\Local\F-Secure C:\Users\Adam\AppData\Local\FSDART C:\Users\Adam\AppData\Roaming\GG C:\Users\Adam\AppData\Roaming\OpenFM C:\Windows\system32\Drivers\StarOpen.sys Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. ZESTAW 2: 1. Odinstaluj adware Browser-Security, bardzo starą niebezpieczną wersję Java 6 Update 11 oraz sponsora instalacji Adobe McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-130948464-2774431362-447049553-1000\...\Run: [safe_urls768] => C:\Users\aaa\AppData\Roaming\Browser-Security\s768.exe [2548944 2016-06-20] () HKU\S-1-5-21-130948464-2774431362-447049553-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] Task: {CA6EF306-2B07-456F-A73A-033FB8FACA00} - System32\Tasks\{FF82C36F-3F5C-4538-A004-42BAD4754BC3} => Firefox.exe hxxp://ui.skype.com/ui/0/7.25.0.106/pl/abandoninstall?page=tsProgressBar Task: {DF0D298A-B2F9-40EE-818D-D5745E78C7A8} - System32\Tasks\McAfee Remediation (Prepare) => C:\Program Files\Common Files\AV\McAfee Anti-Virus And Anti-Spyware\upgrade.exe [2016-03-31] (McAfee, Inc.) C:\Program Files\Common Files\AV\McAfee Anti-Virus And Anti-Spyware C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox-branding.js C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox-l10n.js C:\Program Files (x86)\Mozilla Firefox\defaults\pref\firefox.js C:\Program Files (x86)\Mozilla Firefox\defaults\pref\reporter.js C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\aaa\AppData\Roaming\Browser-Security Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Czyszczenie Firefox wg tych samych kroków co we wcześniejszym secie. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. ZESTAW 3: Tutaj prawie nic się nie dzieje. Tylko drobne działania: 1. Odinstaluj Bing Bar, McAfee Security Scan Plus. Zainstaluj IE11, link w przyklejonym: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] C:\Users\user\AppData\Local\{*} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne. ZESTAW 4: Jeszcze mniej niż powyżej. 1. Zainstaluj IE11. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] RemoveDirectory; C:\AdwCleaner EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne. Odnośnik do komentarza
mozartmozart Opublikowano 19 Października 2016 Autor Zgłoś Udostępnij Opublikowano 19 Października 2016 Udało się stronę przywrócić do działania. Nie wiem jak to się stało, ale podejrzewam, że miałem zapisane hasło w kliencie ftp, chociaż mam tę opcję odznaczoną w filezilli. Problem polega na tym, że znowu tarcza orange poinformowała mnie o problemie w postaci ransomware.locky. Nic z tym nie robiłem oprócz działania polecanego z forum, czyli gmer i frst, więc proszę o ponowne sprawdzenie logów i jak nic nie uległo zmianie to następnym razem nie będę się przejmował tym komunikatem od orange (ewentualnie sprawdzę tylko antywirusem). Na pierwszym komputerze dodatkowo zainstalowałem comodo, a tak bez zmian. Addition1.txt FRST1.txt gmer1.txt Shortcut1.txt Addition2.txt FRST2.txt gmer2.txt Shortcut2.txt Addition3.txt FRST3.txt gmer3.txt Shortcut3.txt Shortcut4.txt gmer4.txt FRST4.txt Addition4.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się