jpatryk Opublikowano 15 Czerwca 2017 Zgłoś Udostępnij Opublikowano 15 Czerwca 2017 Witam Jakiś czas temu pewnego dnia zauważyłem dziwny sposób logowania się do banku. Kilkakrotnie mimo prawidłowego logowania się na stronie banku pojawiał się proces weryfikacji konta. Mogę prosić o sprawdzenie logów z adwcleanera oraz FRST. Historia przeglądarki nic nie zarejestrowała niepokojącego. FRST.txt Shortcut.txt Addition.txt AdwCleanerS1.txt Odnośnik do komentarza
Miszel03 Opublikowano 15 Czerwca 2017 Zgłoś Udostępnij Opublikowano 15 Czerwca 2017 System jest zainfekowany przez infekcję bankową Nymaim (weryfikacja banku była reakcją prawidłową) - KLIK / KLIK. Dezynfekcja nie będzie prosta i nie wiem czy dokończę ją ja, bo za 3 godziny wyjeżdżam. Skontaktuje się w tej spawie z picasso. Po doprowadzeniu systemu do prawowitego stanu będzie wymagana obowiązkowa zmiana haseł we wszystkich serwisach logowania, czyli m.in skrzynka elektroniczna, usługi zakupów online, bank. Nie loguj się teraz do żadnych serwisów związanych z płatnością online i nie wymieniaj plików z innymi urządzeniami. P.S: Ewakuuj się z Windows XP na system posiadający wsparcie aktualizacji zabezpieczeń (Windows 7 / 8 / 10). Zaczynamy. 1. Detekcję AdwCleaner daj do kasacji. 2. Odinstaluj oprogramowanie sponsorskie (przypuszczalnie tą techniką zainstalowane): McAfee Security Scan Plus. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses:(Microsoft Corporation) C:\Windows\explorer.exeCreateRestorePoint:HKU\S-1-5-21-1390067357-764733703-1801674531-1003\...\Winlogon: [shell] C:\Documents and Settings\All Users\sound-1\sound-3.exe -29,explorer.exe Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\density-5.lnk [2017-04-11]ShortcutTarget: density-5.lnk -> C:\Documents and Settings\ja\Dane aplikacji\density-0\density-99.exe (Brak pliku)Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\MSQRY32.JSE [2017-03-22] ()RemoveDirectory: C:\Documents and Settings\All Users\sound-1RemoveDirectory: C:\Documents and Settings\ja\Dane aplikacji\density-0C:\Documents and Settings\ja\Menu Start\Programy\Autostart\density-5.lnkC:\Documents and Settings\ja\Menu Start\Programy\Autostart\MSQRY32.JSECHR HomePage: Default -> hxxp://search.babylon.com/?affID=110823&tt=120912_ccp_3812_5&babsrc=HP_ss&mntrId=805e72070000000000000013023f4ed0CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://www.google.pl/","hxxp://www.tvn24.pl/","hxxp://otomoto.pl/","hxxp://www.searchqu.com/406"U2 CertPropSvc; Brak ImagePathU1 WS2IFSL; Brak ImagePathDeleteKey: HKCU\Software\MozillaDeleteKey: HKCU\Software\MozillaPluginsDeleteKey: HKLM\SOFTWARE\MozillaDeleteKey: HKLM\SOFTWARE\MozillaPluginsDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaDeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.orgDeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPluginsC:\Users\ja\AppData\Local\MozillaC:\Users\ja\AppData\Roaming\MozillaC:\Users\ja\AppData\Roaming\ProfilesEmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 5. Zastosuj skaner Kaspersky Virus Removal Tool (Ustawienia > Zaznacz pole System Drive), dla wszystkich wyników zastosuj opcję Kwarantanny. Przedstaw raport (opcja Report) z tego działania. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
jpatryk Opublikowano 15 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 15 Czerwca 2017 Witam, dziękuję za szybką odpowiedź. Oczywiście wykonałem wszystkie powyższe kroki które zostały mi wskazane. W załączniku przesyłam nowe logi. Nie mogłem dopatrzeć się zrzutu logów z kasperky, więc zrzuciłem print screen. Komputer jest wyłączony od dostępu do internetu tak więc bardzo chciałbym zostać przy temacie ciut dłużej jeżeli oczywiście pozwolicie. Co bezpośrednio wskazuje w logach na infekcję tego typu? Rozumiem, że dzięki temu wirusowi pozyskiwane są wszystkie hasła i loginy, ale może on pełnić funkcję keylogerra i pozyskać wszystkie ruchy na komputerze ofiary? Potencjalnie znam sprawcę całego zdarzenia - patrząc po autostarcie, a dokładnie co było dodane do niego w danym czasie nie długo trzeba było szukać, aby znaleźć meila w skrzynce pocztowej który zawierał potencjalnie fakturę, ale z rozszerzeniem .js ..... nie dbałość żony Widząc skale jaką obejmuje Nymaim chyba raczej szukanie już potencjalnego intruza w sensie personalnie nie ma większego sensu, kopiąc po domenie itp itd pewnie natrafimy na tor'a, a może się mylę? Fixlog.txt Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 16 Czerwca 2017 Zgłoś Udostępnij Opublikowano 16 Czerwca 2017 Wszystko prawidłowo wykonane. Wygląda na to, że infekcja ustąpiła (ale jeszcze się nigdzie nie logujesz), nie ustąpiły natomiast modyfikacje adware w Google Chrome i podejrzewam modyfikacje preferencji - zalecam kompleksową jej reinstalację. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Następnie poproszę o kolejny całościowy skan systemu za pomocą narzędzia Malwarebytes Anti-Malware. Dla wszystkich wyników zastosuj opcję Kwaranntany i dostarcz raport z tego działania. P.S: O wykrywalności na PW. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się