Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Cybertarcza Orange - Botnet Sality

mlik

Przez mlik
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

mlik

mlik

Opublikowano
Opublikowano

Witam,

 

W dniu wczorajszym (10.03) po uruchomieniu przeglądarki internetowej włączyła mi się cybertarcza orange z informacją o łączeniu się z mojej sieci z botnetem sality. Przeskanowałem komputer antywirusem ESET NOD Antyvirus 9 - niczego nie znalazł. AdwCleaner również niczego nie znalazł. Proszę o pomoc w analizie logów.

 

FRST.txt Addition.txt Shortcut.txt GMER.txt

Odnośnik do komentarza
  • 4 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

W podanych tu raportach nie widać żadnych oznak tytułej infekcji. Natomiast zastanawiają mnie serwery DNS pobierane z routera. One nie wskazują na polskiego dostawcę (pod którym widać Cię na forum) tylko UK: KLIK. To wygląda na infekcję routera.

 

DNS Servers: 31.3.244.139 - 31.3.244.131

 

Jeśli chodzi o użyte narzędzia:

- AdwCleaner zajmuje się detekcją tylko adware/PUP, a nie trojanów i wirusów. W ogóle się nie nadaje do detekcji Sality i podobnych zjawisk.

- Był używany ComboFix i na ten temat: KLIK. Prawdopodobnie masz Windows instalowany z modyfikowanej płyty (wycięte określone usługi). Skutkiem uruchomienia ComboFix na takim XP jest dorobienie składników, których nie było. Prawdopodobnie poniższe usługi Windows w stanie nierozpoznanym to efekt końcowy tych "napraw". Niemniej zostawię je w spokoju.

  

U5 Browser; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation)
U5 lanmanserver; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation)
U5 Messenger; C:\WINDOWS\system32\svchost.exe [14848 2014-04-20] (Microsoft Corporation)
U5 Netlogon; C:\WINDOWS\system32\lsass.exe [13312 2014-04-20] (Microsoft Corporation)

 

 

Wstępnie do wykonania następujące działania:

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Odinstaluj Adobe Flash Player 16 NPAPI. Nie dość, że stara wersje, to jeszcze dla Firefoxa, który tu nie jest zainstalowany.

 

3. Zresetuj cache wtyczek w Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Otwórz Notatnik i wklej w nim:

  

CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-1220945662-1035525444-1417001333-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE ->
S4 AIDA64Driver; \??\C:\Documents and Settings\Admin\Pulpit\aida64extreme460\kerneld.x32 [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S4 cpuz137; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\cpuz137\cpuz137_x32.sys [X]
S4 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 eapihdrv; \??\C:\DOCUME~1\Admin\USTAWI~1\Temp\ehdrv.sys [X]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
RemoveDirectory: C:\Program Files\AdwCleaner
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\pss\Windows Search.lnkCommon Startup
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj jaki masz model routera.

 

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...