-
Postów
8 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez Uriziel01
-
-
Jeżeli chodzi o LOG z wykonania OTL:
========== FILES ==========
C:\Windows\assembly\GAC_64\Desktop.ini moved successfully.
C:\Windows\assembly\GAC_32\Desktop.ini moved successfully.
C:\Windows\assembly\tmp\loader.tlb moved successfully.
C:\Windows\assembly\tmp\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6} moved successfully.
OTL by OldTimer - Version 3.2.35.1 log created on 03062012_075550
Oczywiście w tej samej chwili MS SE zaczął krzyczeć o tych plikach.
EDIT:
Wręcz przeciwnie, są wszystkie elementy na które dawałam skan,Wybacz ale sam zobaczyłem po chwili że jestem w błędzie i zedytowałem post, niestety już wcześniej zdążyłaś go przeczytać i zacytować, przepraszam za kłopot.
Teraz SE wykrył kolejne zarażone pliki tym razem jest to Conedex.
2012-03-06T07:00:47.446Z DETECTION Trojan:Win32/Conedex.B file:C:\Windows\assembly\tmp\U\000000c0.@Po wyczyszczeniu SE nie zgłasza już danych infekcji w '\assembly\'.
-
Piję tu do innych użytkowników, nie Ciebie.
Spokojnie, byłem bardzo daleki od takiego stwierdzenia.
Tak jak zabronione formaty w rodzaju REG czy EVT/EVTX nagminnie tu występujące.
No ale jednak przyznaj że to jest zupełnie inna para kaloszy, zapewne tylko nieliczni użytkownicy mają podpięte w systemie akcję pod rozszerzenie *.log, już nie wspomnę że z pewnością nie jest to coś co mogło by go interpretować jako jakikolwiek kod wykonywalny (Może nie 100% ale powiedzmy że prawię zawsze). W przypadku *.reg jednak jest zdecydowanie inaczej, każda domyślna konfiguracja powoduje że ściągnięcie takiego pliku i dwuklik na nim jest może być potencjalnie niebezpieczny.
Ba, ja obmyślam jak tu w ogóle ukrócić Załączniki i przekierować logi na bazę danych, upostaciowując całość jako system para-wklejkowy
Powiem ci że stosujemy u nas takie coś, jednak przy odpowiedniej wielkości bazy (U nas był to moment przekroczenia bodajże 15GB) ten mechanizm potrzebuje wsparcia przez jakieś indeksy geometryczne lub środki pośrednie pokroju Sphinx'a dla zwiększenia wydajności wyszukiwania. jedynie zrzut kopii zapasowej jest prostszy gdyż można to przekazać do cron'a w wygodnych paczkach bo takie dane jest stosunkowo łatwo dzielić. U nas dodanie kolejno spatial indeksów oraz użycie Sphinxa podniosło wydajność o jakieś 10-15x ponadto ograniczyło znacznie obciążenie serwera, co zapewne także stanie się (jeżeli jeszcze to nie nastąpiło) bolączką Twojego hostingu.
A tak przy okazji to przecież można by wszystkie załączniki serwować jako .txt, jeżeli ktoś będzie na tyle głupi (no przykro mi ale jak to nazwać) aby taki załącznik pobrać zmienić jego rozszerzenie na (dajmy na to) .reg a następnie go uruchomi do interpretacji, no to jest swojej szkodzie w 100% winien. Nie sądzę aby dało się ochronić użytkownika przed jego własną głupotą.
-
Widzimy te rzeczone pliki w \tmp. Załączam skan.
P.s-Ślicznie dziękuję za dokładny opis natury tych wpisów, nie sądzę aby jakiś inny serwis wykazał się tak pełnym profesjonalizmem, gratuluje. Widzę że choć w IT siedzę od 12 lat to jeszcze daleka droga przede mną do poziomu który ty reprezentujesz. Ale jednak fakt faktem działamy w zupełnie różnych dziedzinach.
-
Witam serdecznie.
Chyba nie do końca rozumiem tę sztuczną limitację do rozszerzenia .txt, spora część wygenerowanych logów to pliki .log (Jak to na logi przystało) i w umożliwieniu upload'u tychże nie mogę się dopatrzyć żadnego ryzyka manipulacji danymi lub egzekucji jakiegokolwiek szkodliwego kodu, jeżeli już na prawdę chcieć się uprzeć przy 100% bezpieczeństwie wystarczy dodać do waszego .htaccess'a wpis ustawiający nagłówek tekstowy dla wszystkich plików .log, pomijając już nawet możliwość automatycznego wysyłania plików .log jako .txt przez drobną edycję klasy załączników ale to w takim przypadku porywanie się z motyką na słońce.
Zmuszanie użytkowników do ręcznej zmiany rozszerzeń do .txt niczego tutaj nie wprowadza, bo nie wpływa ani na jakość świadczonej usługi ani tym bardziej na poziom bezpieczeństwa rozumianego ogólnie (w jakimkolwiek aspekcie).
Chyba że kryją się tutaj jeszcze jakieś inne kwestię których nie dane mi było poznać w czasie (bardzo krótkim poniekąd) pobytu na forum ?
Pozdrawiam, -Paweł.
-
-Jeżeli tylko powiesz mi czy i jak mogę wykonać zrzut historii z MS SE to oczywiście to załączę jednak nie widzę tam takiej opcji, Google także niczego oczywistego nie podpowiada, także przejrzenie katalogu aplikacji niczego nie przyniosło bo nie widzę aby gdzieś tam ten log był trzymany w jakiejś oczywistej formie niestety. Kontrolki użyte w oknie historii nie obsługują nawet CTRL+C więc musiałbym to wszystko ręcznie 'przeklepywać' co mogło by mi zając resztę dnia.
-Polecenia na rejestrze wykonane
-Katalog kwarantanny OTL'a usunięty
-Wynik skanu z MAM załączony zostanie jak tylko się skończy, dopnę go do tego posta który w tej chwili piszę aby uzyskać jakieś informacje na temat tego zrzutu z historii z MS SE.
-Nietypowe wpisy mogą wynikać z wielu podłoży, instalowałem oprogramowanie do wirtualizacji, aplikację emulującą dodatkowy DNS, liczne kompilatory i środowiska które potrafią zawierać naprawdę wiele nieznanych mi komponentów więc nie mam pojęcia cóż to za wpisy.
-W tak zwanym między czasie usuniętę zostało sporo starego i nieużywanego oprogramowania, niczego nowego nie dogrywałem aby nie rozwalić logiki czytania tych skanów przez waszą ekipę, jedynie informuje iż części wpisów może brakować z powodu ich zwyczajnego usunięcia.
EDIT:
Ok po sprawdzeniu MSDN'a jednak jest na to sposób, więc załączam log z MS SE. Swoją drogą jestem ciekaw co powodowało niemożność skopiowania części plików z tego folderu z logami efektem operacji kopiuj w eksploratorze było jego całkowite zawieszenie. Udało się dopiero przez Total Commander'a.
Nie wiem też czy dobrze zrobiłem wyłączając ochronę rezydentną w SE na czas skanu przez Malwarebytes Anti-Malware ale wydało mi się to dosyć logiczne posunięcie aby przypadkiem nie skolidować tych dwóch skanerów i nie wygenerować fałszywie pozytywnych wyników.
EDIT2:
Log z M A-M dołączony.
Z tej listy oczywiście nie przejmujemy się crackiem do Ultra ISO (Jedynie odrobina wstydu dla mnie.) no i WPEPro. Pozostałe wpisy zaznaczyłem do usunięcia.
Dodatkowo załączam też log z SUPERAntiSpyware choć po tylu zmianach nie jestem pewien czy jeszcze jego zawartość cokolwiek znaczy.
MPDetection-03042012-023713.txt
-
OK wszystkie zalecenia wykonane, załączam LOG'i z:
-Wykonania skryptu w OTL (zmienione rozszerzenie z powodu limitacji załączników)
-Przefiltrowany log z 'sfc /scannow'
-Ponowne skany z OTL
-Farbar Service Scanner.
-
Witam.
Historia infekcji:
-Po wejściu na pewną stronę ze skryptami JS przeglądarka samoistnie się wyłączyła, uruchomiony został fałszywy antywirus 'Internet Security' który zabijał wszelkie otwarte aplikacje. Wszelkie wyniki wyszukiwania google były przekierowane na 'abnow.com'.
-Na własną rękę podjełem próbę naprawy systemu przez SUPERAntiSpyware oraz TDSSKiller jak zasugerowano mi na innym forum.
-Po tym kroku wirus nie został usunięty a jedynie po każdym starcie systemu i minięciu 1 minuty dostawałem BSOD (także w trybie awaryjnym)
-Ostatecznie wykonanie naprawy systemu (i skanowanie dysku systemowym narzędziem) naprawiło problem z crashami oraz pozornie usunęło infekcję.
-Zainstalowałem Microsoft Security Essentials i przeskanowałem nim dysk, znalazł kilkadziesiąt zarażonych plików infekcje zindectyfikowane jako: Sirefef. oraz Karagany.
Tak że w efekcie tego wszystkiego system wygląda na czysty ale aż ciężko jest mi w to uwierzyć, załączam wszystkie wymagane logi:
P.s-Niezmiernie zależy mi na usunięciu wszelkich infekcji gdyż jest to firmowy laptop zawierający istotne dane.
P.s2-Choć nie mam zielonego pojęcia o walce z malware to jestem jednak na codzień programistą i można do mnie pisać w telegraficzny sposób. (Z pominięciem 'Kliknij Plik->Zapisz Jako->....' etc.). Dziękuję.
EDIT:
Właśnie widzę że infekcja nie jest zażegnana gdyż antywirus (tutaj Security Essectials) krzyczy o pliku C:/ProgramData/isecurity.exe a jest to właśnie plik wykonywalny 'Internet Security'.
MS SE identyfikuje go jako Win32/FakeRean.
Może w czymś to pomoże, ale dołączam skan z aplikacji TDSSKiller który był wykonany zaraz po wykryciu infekcji.
Przekierowanie na 'abnow.com' oraz fałszywy antywirus 'Internet Security'
w Dział pomocy doraźnej
Opublikowano
Tak więc jako finał tej sprawy:
-Wszystkie pliki po naprawie usunięte
-Punkty przywracania usunięte
-Flash Player zaktualizowany
-Zmiana haseł w toku
Tak, na pewno wskazałem do usunięcia te pliki, miejmy nadzieje że to nie oznacza powrotu infekcji. Na wszelki wypadek właśnie robię skan.
Dziękuję ci serdecznie Picasso i mogę zdecydowanie powiedzieć że jesteś jeszcze większa profesjonalistką niż za czasów SE, podejście do sprawy kapitalne (Support kilku dużych korporacji mógł by się wiele od twojej metodyki nauczyć). Życzę ci powodzenia w prowadzeniu tego serwisu i w walce z infekcjami.
Pozdrawiam, Paweł.
EDIT:
Skan całkowicie czysty, (poza WPE) tak że uczciwie uznaje że gdzieś tam popełniłem błąd, w razie jakichkolwiek zmian na pewno poinformuje o rozwoju wydarzeń.