birdas10 Opublikowano 27 Listopada 2010 Zgłoś Udostępnij Opublikowano 27 Listopada 2010 Witam ! Mam problem z jakimś malware przez którego nie mogę się zalogować do banku, a jeśli nawet to się uda to przelewu już nie da się zrobić. Pojawia się wówczas okienko z treścią: --- "We do not recognize the computer you are using. To continue with Online Banking, please provide the information requested below. Confirm Your Identity Instructions: Provide your Card Security Code and as much additional security information as you can. Your entries must match the information on the account record and will be used solely to confirm your identity." --- i poniżej jest pytanie o nr karty, kod itp. Próbowałem stosować programy antywirusowe, anty-malwer'owe, combofix itp. ale nie przynosi to efektu. Jak odtworzę obraz systemu to logowanie do banku działa przez jakiś czas - godzinę, dwie, czasami 5, a później znów jest to samo. Korzystając z pomocy innego forum (odesłali mnie tu) wygenerowałem trochę logów i zrobiłem trochę eksperymentów. Logi jakie posiadam dodałem w załączniku. Dodatkowo przeskanowałem cały system kilkoma skanerami on-line i tylko emsisoft znalazł zagrożenie w postaci "trojan downloader!IK". Nie wiem co z tym wszystkim zrobić dalej. Bardzo proszę o pomoc. Marcin Extras.Txt gmer.txt mbam.txt OTL.txt Odnośnik do komentarza
picasso Opublikowano 27 Listopada 2010 Zgłoś Udostępnij Opublikowano 27 Listopada 2010 Ja tu nie proszę o log z HijackThis. Całkowicie bezużyteczny. Usuwam z Załącznika. Formuła komunikatu sugeruje infekcję trojanem Zbot, jedyny odnośnik to GMER (hooki WS2_32.dll). Rozpocznij od pobrania i uruchomienia zgodnie z wytycznymi ComboFix. Przedstaw wynikowy raport. Jak odtworzę obraz systemu to logowanie do banku działa przez jakiś czas - godzinę, dwie, czasami 5, a później znów jest to samo. Co to za obraz, czym robiony? Poza tym: co jest na innych partycjach niż systemowa (czy te partycje były skanowane?), czy uruchamiasz jakieś "witaminy" do programów, czy podpinasz jakieś urządzenia przenośne USB? . Odnośnik do komentarza
birdas10 Opublikowano 27 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 27 Listopada 2010 Formuła komunikatu sugeruje infekcję trojanem Zbot, jedyny odnośnik to GMER (hooki WS2_32.dll). Na innym forum też dostałem taką informację ("W systemie jest rootkit zwany ZBOT ,albo ZeusBot."). Rozpocznij od pobrania i uruchomienia zgodnie z wytycznymi ComboFix. Przedstaw wynikowy raport. Jest w załączniku. Co to za obraz, czym robiony? Poza tym: co jest na innych partycjach niż systemowa (czy te partycje były skanowane?), czy uruchamiasz jakieś "witaminy" do programów, czy podpinasz jakieś urządzenia przenośne USB? System jest nowy (padł mi fizycznie dysk, dostałem nowy i system ma raptem 3 tygodnie). Poza systemem mam podstawowe oprogramowanie typu GG, Firefox, kodeki do odtwarzania filmów, Office'a i może jeszcze kilka drobiazgów. Partycji mam 3 - na drugiej jest quake'a (taka gra) + trochę zdjęć z aparatu, trzecia partycja jest pusta. Aktualnie mam zainstalowane sporo oprogramowania typu anty-malware (głównie to z czego uzyskałem logi do mojego pierwszego postu). Przy skanowaniu systamu były skanowane wszystkie partycje i jak była taka możliwośc to skonowanie było pełne. Urządzeń USB aktualnie nie mam podpiętych (pendrive) ale na nich raczej jest ok, bo używam ich na wielu komputerach i na żadnych podobny problem nie wystąpił. Obraz systemu (a w zasadzie partycji C) mam zrobiony za pomocą narzędzia norton ghost. combofix.txt Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2010 Zgłoś Udostępnij Opublikowano 28 Listopada 2010 W związku z tym, że jest tu "bezśladowo" (a efekt pojawia się magicznie nawet po zrzuceniu obrazu) + w globalnie otwartych portach figuruje "Remote Desktop", podejrzewam infekcję w MBR dysku. Poproszę o logi z: Kaspersky TDSSKiller (jeśli coś znajdzie, nie usuwaj, ustaw na Skip i tylko wytwórz log) + MBRCheck. Odnośnik do komentarza
birdas10 Opublikowano 28 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2010 TDSSKiller nic nie znalazł. Logi z obu programów w załączniku. TDSSKiller.2.4.9.0.txt MBRCheck_11.28.10_06.37.45.txt Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2010 Zgłoś Udostępnij Opublikowano 28 Listopada 2010 Ja nadal sądzę, że coś jest w MBR, mimo że żadne narzędzie na to nie wskazuje. Narzędzia można oszukać. To są charakterystyczne znaki pośrednie aktywnej infekcji rootkit MBR: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop"65533:TCP" = 65533:TCP:*:Enabled:Services"52344:TCP" = 52344:TCP:*:Enabled:Services"7390:TCP" = 7390:TCP:*:Enabled:Services"7391:TCP" = 7391:TCP:*:Enabled:Services"3291:TCP" = 3291:TCP:*:Enabled:Services"5082:TCP" = 5082:TCP:*:Enabled:Services"3832:TCP" = 3832:TCP:*:Enabled:Services"2666:TCP" = 2666:TCP:*:Enabled:Services [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]"3389:TCP" = 3389:TCP:*:Enabled:Remote Desktop"65533:TCP" = 65533:TCP:*:Enabled:Services"52344:TCP" = 52344:TCP:*:Enabled:Services"7390:TCP" = 7390:TCP:*:Enabled:Services"7391:TCP" = 7391:TCP:*:Enabled:Services"3291:TCP" = 3291:TCP:*:Enabled:Services"5082:TCP" = 5082:TCP:*:Enabled:Services"3832:TCP" = 3832:TCP:*:Enabled:Services"2666:TCP" = 2666:TCP:*:Enabled:Services W związku z tym podaję takie zalecenia: 1. Nadpisz MBR z poziomu izolowanego środowiska. Zastartuj z płyty do Konsoli Odzyskiwania i wklep komendę FIXMBR. 2. Po pomyślnym zalogowaniu do Windows usuń konfigurację portów: Start > Uruchom > regedit i skasuj klucze: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List 3. Bezwzględnie zmień wszystkie hasła! Rootkity MBR zbierają te dane. Zgłoś się tu z podsumowaniem działań. . Odnośnik do komentarza
birdas10 Opublikowano 28 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2010 Zrobiłem wszystko jak napisałeś i jak na razie (już 30 minut) jest wszystko ok. Bank działa, komp już nie muli. Już wcześniej się zastanawiałem nad tym poleceniem fixmbr lub fdisk /mbr, ale wolałem nie kombinować. Dam znać w ciągu 2 dni czy nadal jest wszystko w porządku. Mam pytanie. Skąś się to wzięło, czy teraz jak będę instalował resztę oprogramowania co mam ściągnięte to zaraz wrócę do punktu wyjścia ? Jeśli chodzi o zmianę haseł to chodzi o coś takiego jak poczta, allegro, bank, fora dyskusyjne itp. ? Pozdrawiam. Marcin Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2010 Zgłoś Udostępnij Opublikowano 28 Listopada 2010 Skąś się to wzięło, czy teraz jak będę instalował resztę oprogramowania co mam ściągnięte to zaraz wrócę do punktu wyjścia ? Prawdopodobnie z wejścia na jakąś stronę. Trudno powiedzieć. Jeśli chodzi o zmianę haseł to chodzi o coś takiego jak poczta, allegro, bank, fora dyskusyjne itp. ? Wszelkie hasła logowania (bank, aukcje, poczta etc.). Hasła musisz zmienić. Twoje hasła już mogą być "wysłane" i ktoś może się nimi posłużyć. . Odnośnik do komentarza
birdas10 Opublikowano 30 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2010 Wszystko jest w porządku. Bardzo dziękuję za pomoc. Pozdrawiam. Marcin Odnośnik do komentarza
picasso Opublikowano 30 Listopada 2010 Zgłoś Udostępnij Opublikowano 30 Listopada 2010 Należy jeszcze posprzątać po działaniach, czyli wykonać prawidłową deinstalację ComboFix. W Start > Uruchom > wklej polecenie c:\combofix\ComboFix.exe /uninstall. Odnośnik do komentarza
birdas10 Opublikowano 30 Listopada 2010 Autor Zgłoś Udostępnij Opublikowano 30 Listopada 2010 Zrobione. Dziękuję. Pozdrawiam. Marcin Odnośnik do komentarza
Rekomendowane odpowiedzi