arfi Opublikowano 13 Maja 2017 Zgłoś Udostępnij Opublikowano 13 Maja 2017 Witam. Od kilku dni dostaję z mBanku maila o treści: "Witaj,informujemy, że w wyniku przeprowadzonej analizy zachodzi podejrzenie, że komputer, z którego nastąpiło w ostatnim czasie logowanie do serwisu transakcyjnego mBanku, został zainfekowany złośliwym oprogramowaniem.W związku z tym bank podjął działania prewencyjne. W celu uzyskania szczegółów prosimy o pilny kontakt z bankiem za pośrednictwem konsultanta mLinii lub pracownika placówki banku.Jednocześnie zalecamy przeskanowanie komputera, z którego następuje logowanie, pod kątem złośliwego oprogramowania zainstalowanego w systemie operacyjnym. W tym celu warto użyć kilku programów antywirusowych. Jeśli w ostatnim czasie na telefonie były instalowane jakieś aplikacje z niezaufanych źródeł, telefon może być również zainfekowany i może wymagać przywrócenia ustawień fabrycznych." Jednocześnie dostęp do usług internetowych zostaje zablokowany. Po interwencji tel. zostaje odblokowany, ale zaraz po pierwszym logowaniu sytuacja się powtarza. Skanowałem kilkukrotnie programem Malwarebytes Anti-Malware. Przy pierwszym skanowaniu wyskoczyły 2 błędy (zał. zrzut z ekranu), są skasowane. Później już nic. Nie wiem, czy to awaria komputera czy nadgorliwe działania banku. Wydaje mi się, że komputer działa nieco wolniej niż zwykle, ale może to być sugestia. Załączam logi. Proszę o pomoc. PS. Nie otwiera się w ogóle strona logowania ING. Inne strony, w tym iPKO działają normalnie, choć jak pisałem chyba wolniej. ac. Addition.txt FRST.txt Shortcut.txt gmer.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Maja 2017 Zgłoś Udostępnij Opublikowano 13 Maja 2017 Reakcja systemu wykrywania zagrożeń zadziałała poprawnie - system jest zainfekowany przez infekcję bankową Nymaim - KLIK / KLIK. Zabezpieczenia uchroniły Cię przed kradzieżą - w przypadku tej infekcji wejście na stronę banku może się już okazać niebezpieczne. Z tego co wiem możesz powiadomić o zaistniałej sytuacji CERT ten Państwowy bądź ten drugi - http://www.cert.gov.pl/cer/zglaszanie-incydentu/16,Zglaszanie-incydentu.html, https://www.cert.pl/zglos-incydent/. Po dezynfekcji należy zmienić hasła w banku jak i we wszystkich innych serwisach logowania. Cofnij ostatnie przelewy (telefonicznie) jeśli zostały sfałszowane (podmiana numeru konta) - powtarzam o ile zostały źle wysłane i jeśli jest to możliwe. Przyszykuj urządzenia z pamięcią przenośną (infekcja chyba infekuję USB). Dezynfekcja: Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\Run: [molarity-4] => C:\ProgramData\molarity-3\molarity-3.exe [617472 2017-05-13] () HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\RunOnce: [vctcxo-35] => C:\Users\DG_Ochota\AppData\Roaming\vctcxo-26\vctcxo-5.exe [694784 2017-05-12] () HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\Winlogon: [shell] C:\ProgramData\anion-4\anion-5.exe -0,explorer.exe Startup: C:\Users\DG_Ochota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\maxton-1.lnk [2017-05-13] ShortcutTarget: maxton-1.lnk -> C:\Users\DG_Ochota\AppData\Roaming\maxton-12\maxton-4.exe () S3 dbx; system32\DRIVERS\dbx.sys [X] RemoveDirectory: C:\ProgramData\molarity-3 RemoveDirectory: C:\Users\DG_Ochota\AppData\Roaming\vctcxo-26 RemoveDirectory: C:\ProgramData\anion-4 RemoveDirectory: C:\Users\DG_Ochota\AppData\Roaming\maxton-12 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj. 3. Upewnij się, że Malwarebytes już niczego nie wykrywa, jeśli coś wykryję to daj do kasacji. Skan powtarzaj do wyniku zero infekcji. 4. Przeskanuj system całościowo narzędziem HitmanPro. Jeśli coś wykryje, to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
arfi Opublikowano 14 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 14 Maja 2017 (edytowane) Po naprawie.EDIT: Niestety, chyba nie pomogło. Bank cały czas blokuje dostęp, nawet po telefonicznym odblokowaniu. Przychodzi też komunikat mailem, ten co już wklejałem. Na moje żądanie mogą odblokować konto, ale na moja odpowiedzialność. Z kolei ING w ogóle nie otwiera strony logowania. Addition.txt FRST.txt Shortcut.txt HitmanPro_20170514_1229.txt Fixlog.txt Edytowane 16 Maja 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 15 Maja 2017 Zgłoś Udostępnij Opublikowano 15 Maja 2017 HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\Run: [parallel-3] => C:\ProgramData\parallel-36\parallel-47.exe [691200 2017-05-14] ()HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\RunOnce: [handover-2] => C:\Users\DG_Ochota\AppData\Roaming\handover-7\handover-57.exe [515584 2017-05-13] () Nawrót infekcji pomimo jej usunięcie sugeruje, że nie będzie łatwo usunąć ją z poziomu systemu. To jedyne co jest do korekty w systemie, reszta jest OK (te dwa zagrożenia w HitmanPro daj do kasacji, detekcja FRST to fałszywy alarm). Nie będę ukrywał, że w przypadku tak poważnej infekcji zaleciłbym format. Powiedz mi czy godzisz się na to czy próbujemy leczyć system z poziomu bootowalnego? Tutaj zachodzi to zjawisko kiedy proces obfuskacja jest zaporą nie do przejścia z poziomu systemu. Odnośnik do komentarza
arfi Opublikowano 15 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 15 Maja 2017 Jak usunąć te 2 zagrożenia? Z poziomu HitmanPro? Jeśli tylko format daje gwarancje sukcesu, to pewnie tak się skończy. Choć wolałbym nie. HitmanPro_20170515.txt Odnośnik do komentarza
Miszel03 Opublikowano 16 Maja 2017 Zgłoś Udostępnij Opublikowano 16 Maja 2017 (edytowane) Jak usunąć te 2 zagrożenia? Z poziomu HitmanPro? Tak - z poziomu HitmanPro. Jeśli tylko format daje gwarancje sukcesu, to pewnie tak się skończy. Choć wolałbym nie. W mojej opini w takim przypadku lepiej zrobić format. To nie jest pierwszy lepszy wirus, a zaawansowany szkodliwy kod. Nawet jeśli z poziomu bootowalnego udałoby się usunąć infekcję to nie wiadomo czy w całości. Edytowane 16 Maja 2017 przez Rucek Odnośnik do komentarza
arfi Opublikowano 16 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 16 Maja 2017 Jestem w trakcie instalacji.. Dzięki za pomoc. Odnośnik do komentarza
Miszel03 Opublikowano 16 Maja 2017 Zgłoś Udostępnij Opublikowano 16 Maja 2017 OK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się