Czy to możliwe, że mam pamiątkę po poniedziałku z forum?

[wieslaw531]

Komputer służbowy, XP x86 Pro SP3, MSO 2007 Pro, McAfee korporacyjny.

W poniedziałek wszedłem na tą stronę i McAfee wyświetlił komunikat, że zablokował tą stronę.

Bezmyślnie i podobnie jak Mysza kliknąłem Odblokuj i ponieważ strona jeszcze była dostępna (brak przerwy technicznej) chwilę tam byłem ale bez logowania się. To było 22.10.2012 16:05.

 

Dzisiaj uruchomiłem msconfig aby odptaszkować typowe wpisy adobe w zakładce uruchamianie i zauważyłem dziwny plik ycyq.exe.

Zacząłem szukać na dysku lokalizacji i jest kilka katalogów powiązanych występujących tylko na moim koncie (wykaz poniżej).

 

Odptaszkowanie w Uruchamianie, Autoruns jest nieskuteczne.

W Proces explorer nie występuje.

W Proces Monitor - występuje pod nazwą Adocqaqoe i aktywny jest co chwilę. W rejestrze występuje tylko w gałęzi HKCU (w kilku miejscach).

Na koncie lokalnego administratora oczywiście plik się nie uruchamia.

 

1. Nie mogę pobrać OTL - żadnej wersji. Blokada strony.

2. Nie mogę pobrać GMER. Blokada strony.

3. Nie mogę uruchomić skanowania systemu McAfee pomieważ wywala niezgodność msi.dll - już znalazłem przyczynę (nowsza wersja msiexec niż 3.1).

4. Pobiorę OTL i Gmer teraz w domu i jutro spróbuję je odpalić w pracy ale obawiam się problemów z powodu McAfee - brak dostępu do jakichkolwiek ustawień, konfiguracji, zawieszenia, wyłączenia itp.

5. Jutro spróbuję przy pomocy komputermanów rozwiązać problem McAfee.

 

Wykaz katalogów i plików jakie znalazłem:

 

Katalog: C:\Documents and Settings\wieslaw\Dane aplikacji\Ikdi

2012-10-22 16:05 <DIR> .

2012-10-22 16:05 <DIR> ..

2012-03-24 17:58 0 ydir.tmp

2012-10-24 18:41 3 087 ydir.ycy

2 plik(ów) 3 087 bajtów

Katalog: C:\Documents and Settings\wieslaw\Dane aplikacji\Iwaw

2012-10-22 16:05 <DIR> .

2012-10-22 16:05 <DIR> ..

2012-08-10 02:07 0 hacoe.okb

1 plik(ów) 0 bajtów

Katalog: C:\Documents and Settings\wieslaw\Dane aplikacji\Mede

2012-10-22 16:05 <DIR> .

2012-10-22 16:05 <DIR> ..

2012-03-27 14:13 171 520 ycyq.exe

1 plik(ów) 171 520 bajtów

Katalog: C:\Documents and Settings\wieslaw\Dane aplikacji\Microsoft\Address Book

2012-10-22 16:05 <DIR> .

2012-10-22 16:05 <DIR> ..

2012-10-22 16:05 176 596 wieslaw.wab

2012-10-22 16:05 176 596 wieslaw.wab~

2 plik(ów) 353 192 bajtów

 

Czy jest możliwe, że to jest skutek niefortunnego działania z próbą wejścia na stronę i czy to może być moja pierwsza w życiu infekcja?

Jeżeli tak to czy może być groźna wewnątrz sieci korporacjnej?

Jeżeli nie będę mógł zrobić logów - czy mogę inaczej próbować rozwiązać problem?

 

Czy zgodnie z informacją wyżej o starcie procesu tylko na koncie użytkownika mógłbym na koncie lokalnego administratora usunąć stosowne wpisy z rejestru oraz podane pliki i katalogi? Czy nie kombinować w ten sposób?

Edytowane 25 Października 2012 przez wieslaw531

[sam]

Czy może być groźna w sieci korporacyjnej to już udowodniło paru hakerów wbijając się przez najsłabsze ogniwa np do firm typu NASA. Ale to zależy oczywiście czy ktoś tym steruje no i na ile on ma doświadczenie.

[picasso]

Niestety Wiesław, wygląda na to, że miałeś pecha (dosłownie minuty) i to są skutki tego włamania, ponieważ daty plików odpowiadają czasowi gdy nastąpił atak.

 

 

Na koncie lokalnego administratora oczywiście plik się nie uruchamia.

 

1. Z poziomu tego konta przez SHIFT+DEL skasuj katalogi konta Wiesław:

 

C:\Documents and Settings\wieslaw\Dane aplikacji\Ikdi

C:\Documents and Settings\wieslaw\Dane aplikacji\Iwaw

C:\Documents and Settings\wieslaw\Dane aplikacji\Mede

 

2. Przeloguj się na konto Wiesław, uruchom Autoruns i usuń wpis startowy. I spróbuj zrobić logi z OTL + GMER.

 

 

 

.

[wieslaw531]

Dziękuję.

To moja pierwsza infekcja.

Edytowałem posta. Zobacz dolną część. Chodzi o rejestr.

 

Oczywiście dalsze działania jutro.

[picasso]

Instrukcję już podałam. Katalogi usuwasz z poziomu innego konta (gdyż tam nie jest czynna ta infekcja), ale edytujesz rejestr na końcie właściwym (wpisy będą już "not found"). I raporty OTL + GMER też ważne, o ile da się je uruchomić. Z OTL nie sądzę byś miał problem, ponieważ działa Autoruns. GMER to inna sprawa, z jego uruchomieniem są zawsze jakieś przeboje, tu działa w tle McAfee i to może wpływać na GMER.

 

 

.

 

 

 

[wieslaw531]

Zalecenia wykonane.

 

Logi po działaniach i restartach.

 

Otl.txt

 

Extras.txt

 

Gmer

 

Po ocenie logów i zakończeniu tematu bardzo proszę o usunięcie logów.

Edytowane 26 Października 2012 przez wieslaw531

[picasso]

Infekcja wygląda na pomyślnie usuniętą. Nic nie widzę w tych raportach. Czyli zalecenia końcowe:

 

1. Szczegół: są martwe dwie usługi Google Update gupdatem + gupdate i możesz je usunąć via Autoruns w karcie Services. Ustąpią błędy z Dziennika zdarzeń.

 

2. Czyszczenie lokalizacji tymczasowych za pomocą TFC - Temp Cleaner.

 

3. Czyszczenie folderów Przywracania systemu.

 

4. Wypadałoby zrobić też skanowanie, czy to nadal jest w fazie rozwiązywania (?):

 

3. Nie mogę uruchomić skanowania systemu McAfee pomieważ wywala niezgodność msi.dll - już znalazłem przyczynę (nowsza wersja msiexec niż 3.1).

 

Rozumiem, że jest wykluczona instalacja (nawet jeśli tylko tymczasowa) dodatkowego oprogramowania do skanu? Mam na uwadze MBAM, który ma dużą specjalizację w takich typach infekcji.

 

5. Nie wiem jak z wykonawstwem aktualizacji na firmowym kompie, ale są tu przestarzałe elementy ... Stare Java i wtyczka Silverlight, co dopiero wydany został też nowszy Adobe Reader. Twój log pokazuje wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216027FF}" = Java™ 6 Update 27
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.4) - Polish
 
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

6. Prewencyjnie pozmieniaj też hasła logowania / pocztowe.

 

 

Po ocenie logów i zakończeniu tematu bardzo proszę o usunięcie logów.

 

Jeśli chodzi o dane osobowe w ścieżce konta, to zamiast usuwać wystarczy zamienić w raportach na jakąś głupotę i już brak identyfikacji. Mogłeś to zrobić przed uploadem plików dając mi znać na PW, że jest modyfikacja. To nie utrudniłoby nic, bo w skryptach chodzą zmienne %userprofile% i to tu stosuję, gdy widzę, że ktoś szpanuje nazwiskiem w raporcie, nie chcąc w moim poście eksponować tych danych.

Poza tym szczegółem logi są jak wiele innych. Jeśli duży nacisk, to OK, logi mogą zostać usunięte, sam to możesz wykonać edytując powyższy post.

 

 

 

.

[wieslaw531]

1. Szczegół: są martwe dwie usługi Google Update gupdatem + gupdate i możesz je usunąć via Autoruns w karcie Services. Ustąpią błędy z Dziennika zdarzeń.

 

Znam ten problem tylko zapomniałem, że wisi. Bez problemu naprawię.

 

4. Wypadałoby zrobić też skanowanie, czy to nadal jest w fazie rozwiązywania (?):

 

To jest problem z agentem i skanerem McAfee. Korzystają z frameworka. Agent nie był usuwany (sam nie mogę) a skaner był reinstalowany.

Aktualna wersja Frameworka to 4.0 - wymagania Autodesk DWG TrueView.

Jestem już umówiony z adminem i to on musi mi rozwiązać problem. Po tym fakcie oczywiście pójdzie pełne skanowanie.

 

Rozumiem, że jest wykluczowa instalacja (nawet jeśli tylko tymczasowa) dodatkowego oprogramowania do skanu? Mam na uwadzę MBAM, który ma dużą specjalizację w takich typach infekcji.

 

Zaraz spróbuję to zrobić tylko czy nie będzie konfliktu z aktywnym McAfee?

Jeśli MBAM zadziała zedytuję tego posta.

 

5. Nie wiem jak z wykonawstwem aktualizacji na firmowym kompie, ale są tu przestarzałe elementy ...

 

To niestety są instalacje administracyjne i nie chcę im mieszać.

 

Jeśli duży nacisk, to OK, logi mogą zostać usunięte, sam to możesz wykonać edytując powyższy post.

 

Tak - wolę. Rozumiem, że mogę je już usunąć.

 

Dziękuję za pomoc.

[picasso]

Zaraz spróbuję to zrobić tylko czy nie będzie konfliktu z aktywnym McAfee?

Jeśli MBAM zadziała zedytuję tego posta.

 

Przy instalacji odmów wersji testowej, wybierz darmową bez rezydenta (by nie wszedł w kolizję z McAfee).

 

 

Tak - wolę. Rozumiem, że mogę je już usunąć.

 

Tak.

 

 

 

.

[wieslaw531]

Zainstalowałem zgodnie z zaleceniem ale niestety sieć blokuje mi dostęp do aktualizacji baz.

Skan wykonany bez aktualizacji.

Ostatnie 4 pozycje w katalogu D:\Zbiory\.... to raczej fałszywy alarm bo soft licencjonowany (kopia instalacyjna).

 

MBAM

 

 

 

Komp przeskanowany McAfee (pełny skan) - znalazł jakiś jeden Cookie. Nic więcej.

 

BTW

Skaner McAfee Enterprise v 8.8 wykrzacza się na Instalator Windows v 4.5. Na 3.1 funkcjonuje poprawnie.

Wyświetla monit, że plik msi.dll (z 4.5) nie jest poprawnym obrazem systemu WindowsNT lub podobnie.

Admin podmienił mi ten plik na wersję z 3.1 i skaner ruszył.

Ale to jest wg. mnie proteza, która będzie mi powodowała problemy związane z niezgodnością plików instalatora Windows.

Zrobiłem test instalacji nowszych sterowników do kombajnu Canon iR5000 wraz z softem dodatkowym i niestety sterowniki poszły ale już soft dodatkowy się wykrzaczył przy instalacji. Uruchom ponownie komputer i ponów instalację - i sina d.

 

Znają problem i piłka jest po ich stronie. W końcu soft licencjonowany z pełnym supportem.

Framework v 4.0 nie jest w końcu jakąś nowinką a on właśnie m.in. instaluje WI v 4.5.

 

Jeśli ze skanu MBAM nic nie wynika to myślę, że temat do potraktowania kluczykiem.

 

Stracić cnotę w wieku prawie 62 lat to dopiero wyczyn ale stracić cnotę na tym forum to przyjemność.

Edytowane 26 Października 2012 przez wieslaw531

[picasso]

Zainstalowałem zgodnie z zaleceniem ale niestety sieć blokuje mi dostęp do aktualizacji baz.

 

Bez najnowszych definicji skan nie jest aż tak wiarygodny. Bazy definicji ostatecznie można ręcznie podstawić: KLIK (w pierwszym poście punkt 4, skopiowanie plików definicji z innego komputera lub pobranie pliku definicji na innym kompie i przeniesienie na komp firmowy).

 

 

Jeśli ze skanu MBAM nic nie wynika to myślę, że temat do potraktowania kluczykiem.

 

Nic nie wynika. Jak zauważasz, te "wykryte pliki" to fałszywe alarmy. Natomiast wyniki PUM.* = Potencjalnie niepożądana modyfikacja, tu konkretnie program się czepia wyłączonych pozycji Moje Dokumenty, Szukaj, Wyloguj w Menu Start. Samo w sobie to nic nie oznacza. Program sprawdza pod kątem określonych edycji rejestru i notuje ich obecność, ale nie potrafi wywnioskować pochodzenia. Modyfikację może przeprowadzić: użytkownik ręcznie, użytkownik via tweaker, określona infekcja.

 

 

Admin podmienił mi ten plik na wersję z 3.1 i skaner ruszył.

Ale to jest wg. mnie proteza, która będzie mi powodowała problemy związane z niezgodnością plików instalatora Windows.

 

Nie sprawdzałam tego wariantu wydarzeń i solidnej obstawy techniczej tu nie mam.

 

 

Stracić cnotę w wieku prawie 62 lat to dopiero wyczyn ale stracić cnotę na tym forum to przyjemność.

 

Ale jest mi przykro.

 

 

 

.

[wieslaw531]

Pobiorę jutro wieczorem u siebie pliki bazy definicji i w poniedziałek zedytuję tego posta.

Tak stosowałem na tym kompie TweakUi MS w celu dostosowania ustawień wg. własnych upodobań ale w bardzo ograniczonym zakresie. Wg mojego starego tutka.

[wieslaw531]

Przepraszam za post ale nie bardzo wiem jak zrobić to co poniżej.

 

Bez najnowszych definicji skan nie jest aż tak wiarygodny. Bazy definicji ostatecznie można ręcznie podstawić: KLIK (w pierwszym poście punkt 4, skopiowanie plików definicji z innego komputera lub pobranie pliku definicji na innym kompie i przeniesienie na komp firmowy).

 

Pobrany plik to mbam-rules.exe. Wypakowanie przy pomocy 7-zip nie tworzy plików z linka. Ja ich nie widzę.

Czy to znaczy, że jutro mam odpalić na służbowym kompie ten exek?

 

Wybacz ale tych tematów nie znam.

[picasso]

Tam są dwa warianty wydarzeń do wyboru: pierwszy to skopiowanie plików z zainstalowanego i zaktualizowanego MBAM, drugi to uruchomienie pliku mbam-rules.exe (forma instalatora). Pierwszy wariant korzystniejszy, najnowsze bazy.

 

 

.

[wieslaw531]

Pobrałem soft. Zaktualizowałem bazę. Odpaliłem na swoim systemie.

Skopiuję stosowne pliki. I jutro przedstawię wyniki.

Ale mam pytanie:

Czy ten soft jest kompatybilny z W7 x64 do ewentualnego dalszego wykorzystania?

Bo tak jak NIS instaluje się w PFx86.

 

Mam najnowszy NIS - chyba 2013 (nie widzę info).

Edytowane 28 Października 2012 przez wieslaw531

[picasso]

MBAM również nie jest czysto natywny, komponenty mieszane: sterownik 64-bit, ale część programowa w Program Files (x86). Ale to nie jest niekompatybilność. Przykład z loga:

 

========== Driver Services (SafeList) ==========
 
DRV:64bit: - [2012-09-07 17:04:46 | 000,025,928 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\SysNative\drivers\mbam.sys -- (MBAMProtector)
 
[2012-09-10 20:36:46 | 000,025,928 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012-09-10 20:36:46 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware

 

SysNative = system32 (OTL jest 32-bitowy i pobiera dane przez obejście z aliasem SysNative)

 

 

.

[wieslaw531]

Zainstalowałem MBAM, przyniosłem z domu wczorajsze bazy oraz mbam-rules.exe.

Aktualizacja softu nie przechodzi, aktualizacja baz również.

Podmiana pliku bazy z wczoraj skutkuje natychmiastowym usunięciem tego pliku po odpaleniu programu z komunikatem, że brak pliku.

Już widzę swój błąd - powinienem skopiować również database.conf a tego nie zrobiłem.

Odpalenie mbam-rules daje bazy sprzed 7 dni.

 

Wynik skanowania podobny do porzedniego.

 

Mbam

 

 

W tweakUI wyłączałem pokazywanie moich dokumentów oraz wyszukiwanie.

Nie rozumiem powodu Logoff. W Start jest dostępny.

 

Cztery ostatnie wpisy to fałszywy alarm.

Chyba jest dobrze.

Edytowane 29 Października 2012 przez wieslaw531

[picasso]

Wyniki nie wzbogaciły się, czyli uznaję że to koniec zmagań na tym poziomie.

 

 

W tweakUI wyłączałem pokazywanie moich dokumentów oraz wyszukiwanie.

Nie rozumiem powodu Logoff. W Start jest dostępny.

 

Jest dostępny, bo ta modyfikacja nie ma skutków. Realne usunięcie Wyloguj wymagałoby edycji w innym kluczu (Policies). Ogólnie to nie ma nad czym tu dywagować, w Twoim przypadku te wpisy nie pochodzą od szkodnika.

 

 

 

.