Polska Policja Cyberprzestępczość Departament

[Nachos]

Witam,

 

wiem, że ten problem już był lecz na tym forum obowiązuje zasada, że każdy problem może mieć inne rozwiązanie. Proszę o pomoc gdyż został zainfekowany jeden z komputerów firmowych. W załączniku wysyłam logi z programu OTL oraz GMER(zamieszcze później, obecne się generuje, ale może OTL wystarczy). Wszystkie logi powstały na koncie administratora w trybie awaryjnym z obsługą sieci.

 

Pozdrawiam

OTL.Txt

Extras.Txt

[picasso]

Używałeś też ComboFix. Na ten temat: KLIK.

 

 

Wszystkie logi powstały na koncie administratora w trybie awaryjnym z obsługą sieci.

 

I nie jest to odpowiednie konto:

 

Computer Name: SOTE-KINGDOM | User Name: Administrator | Logged in as Administrator.

 

To konto nawet nie było aktywne wcześniej, widać świeży zrzut folderu na dysk. Logi muszą być zrobione z poziomu konta na którym ujawniła się infekcja. Konta mają inne rejestry i foldery, jeśli infekcja działa po stronie konkretnego konta (tak tu jest), nie jest widzialna między kontami. W Trybie awaryjnym przeloguj się na konto właściwe użytkownika Pawel, zrób nowe logi, podmień w pierwszym poście załączniki i na PW zawiadom mnie o edycji.

 

 

---

Logi podmienione. ComboFix musiał już pociąć nieco infekcję, bo na koncie Pawel jest tylko pusty skrót startowy ctfmon.lnk infekcji. Przechodzimy do czyszczenia:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
%userprofile%\Menu Start\Programy\Autostart\ctfmon.lnk
%userprofile%\Dane aplikacji\Mozilla\Firefox\Profiles\koctklqp.default\searchplugins\winampsearch.xml
C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software
 
:OTL
SRV - [2011-06-26 07:45:56 | 000,256,000 | R--- | M] () [Auto | Stopped] -- C:\ComboFix\pev.3XE -- (PEVSystemStart)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\ADMINI~1.SOT\USTAWI~1\Temp\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu. Opuść Tryb awaryjny.

 

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras). I mam pytanie, czy ESET działa? Jest tu poturbowany wpis antywirusa:

 

SRV - File not found [Disabled | Stopped] -- C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn)

 

 

 

.

[Nachos]

W załączniku plik OTL.

ESET prawdopodobnie został niewłaściwie odinstalowany.

Czy wiadomo, może jaka była przyczyna zainfekowania komputera ? Jest to sprzęt służbowy używany jedynie do ściagania różnych rzeczy z svn lub podglądu pod przeglądrkami z rodziny IE (stron klientów). Nie są wpinane żadne dyski zewnętrzne ani odwiedzane "dziwne" strony. Pomoże to w przyszłości uniknąć takich problemów.

OTL.Txt

[picasso]

Zadanie wykonane i możemy przejdź do wykończeń:

 

1. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Poprzednio ComboFix był uruchamiany z folderu konta Administrator. Przenieś plik ComboFix.exe wprost na C. Start > Uruchom > wklej komendę:

 

C:\ComboFix.exe /uninstall

 

Gdy komenda ukończy działanie, w OTL zastosuj Sprzątanie. I przez SHIFT+DEL skasuj folder C:\WINDOWS\erdnt.

 

2. Aktualizacje: KLIK. A konkretnie tu widać wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{2C154A86-DEF7-4B9E-907A-D5DAC6AFF165}" = SmartSVN 6.5
"{32A3A4F4-B792-11D6-A78A-00B0D0160180}" = Java™ SE Development Kit 6 Update 18
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1033-7B44-A95000000001}" = Adobe Reader 9.5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Aurora 8.0a2 (x86 pl)" = Aurora 8.0a2 (x86 pl)
"FileZilla Client" = FileZilla Client 3.5.3
"Mozilla Firefox 16.0.2 (x86 pl)" = Mozilla Firefox 16.0.2 (x86 pl)
"Mozilla Thunderbird 11.0.1 (x86 pl)" = Mozilla Thunderbird 11.0.1 (x86 pl)
"Opera 12.02.1578" = Opera 12.02
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1343024091-1547161642-725345543-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Google Chrome" = Google Chrome 23.0.1271.91
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

Odinstaluj wszystkie podane stare Adobe + Java + Silverlight i zastąp najnowszymi, zaktualizuj przeglądarki i FileZilla.

 

 

ESET prawdopodobnie został niewłaściwie odinstalowany.

 

Widzę zbyt dużo elementów jak na deinstalację, włącznie z wpisem na liście Dodaj/Usuń. Jeśli rzeczywiście to postać rzekomo "odinstalowana", to przejdź w Tryb awaryjny Windows i zastosuj narzędzie ESET Uninstaller.

 

 

Czy wiadomo, może jaka była przyczyna zainfekowania komputera ? Jest to sprzęt służbowy używany jedynie do ściagania różnych rzeczy z svn lub podglądu pod przeglądrkami z rodziny IE (stron klientów). Nie są wpinane żadne dyski zewnętrzne ani odwiedzane "dziwne" strony. Pomoże to w przyszłości uniknąć takich problemów.

 

Infekcja ładuje się przez exploity na stronach. Do wglądu dyskusja na forum: KLIK. Zakreślony w cytacie fragment bardzo prawdopodobny. Któryś klient mógł mieć zainfekowaną stronę.

 

 

 

.

[Nachos]

Dziękuje za bardzo szybką i profesjonalną pomoc. Poczytałem o wątku skąd ten wirus się bierze. Już wiem czemu kolega użył Combofix'a

 

Temat można zamknąć.