Skocz do zawartości

Wirus wg mBanku.


Rekomendowane odpowiedzi

Witam.

Od kilku dni dostaję z mBanku maila o treści: "Witaj,

informujemy, że w wyniku przeprowadzonej analizy zachodzi podejrzenie, że komputer, z którego nastąpiło w ostatnim czasie logowanie do serwisu transakcyjnego mBanku, został zainfekowany złośliwym oprogramowaniem.

W związku z tym bank podjął działania prewencyjne. W celu uzyskania szczegółów prosimy o pilny kontakt z bankiem za pośrednictwem konsultanta mLinii lub pracownika placówki banku.

Jednocześnie zalecamy przeskanowanie komputera, z którego następuje logowanie, pod kątem złośliwego oprogramowania zainstalowanego w systemie operacyjnym. W tym celu warto użyć kilku programów antywirusowych. Jeśli w ostatnim czasie na telefonie były instalowane jakieś aplikacje z niezaufanych źródeł, telefon może być również zainfekowany i może wymagać przywrócenia ustawień fabrycznych."

 

Jednocześnie dostęp do usług internetowych zostaje zablokowany. Po interwencji tel. zostaje odblokowany, ale zaraz po pierwszym logowaniu sytuacja się powtarza. Skanowałem kilkukrotnie programem Malwarebytes Anti-Malware. Przy pierwszym skanowaniu wyskoczyły 2 błędy (zał. zrzut z ekranu), są skasowane. Później już nic. Nie wiem, czy to awaria komputera czy nadgorliwe działania banku. Wydaje mi się, że komputer działa nieco wolniej niż zwykle, ale może to być sugestia. Załączam logi. Proszę o pomoc.

PS. Nie otwiera się w ogóle strona logowania ING. Inne strony, w tym iPKO działają normalnie, choć jak pisałem chyba wolniej.

ac.

Addition.txt

FRST.txt

Shortcut.txt

post-14764-0-90710000-1494680126_thumb.png

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Reakcja systemu wykrywania zagrożeń zadziałała poprawnie - system jest zainfekowany przez infekcję bankową Nymaim - KLIK / KLIK. Zabezpieczenia uchroniły Cię przed kradzieżą - w przypadku tej infekcji wejście na stronę banku może się już okazać niebezpieczne. Z tego co wiem możesz powiadomić o zaistniałej sytuacji CERT ten Państwowy bądź ten drugi - http://www.cert.gov.pl/cer/zglaszanie-incydentu/16,Zglaszanie-incydentu.html, https://www.cert.pl/zglos-incydent/.

 

Po dezynfekcji należy zmienić hasła w banku jak i we wszystkich innych serwisach logowania. Cofnij ostatnie przelewy (telefonicznie) jeśli zostały sfałszowane (podmiana numeru konta) - powtarzam o ile zostały źle wysłane i jeśli jest to możliwe. Przyszykuj urządzenia z pamięcią przenośną (infekcja chyba infekuję USB).

 

Dezynfekcja:

Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.  

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\Run: [molarity-4] => C:\ProgramData\molarity-3\molarity-3.exe [617472 2017-05-13] ()
HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\RunOnce: [vctcxo-35] => C:\Users\DG_Ochota\AppData\Roaming\vctcxo-26\vctcxo-5.exe [694784 2017-05-12] ()
HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\Winlogon: [shell] C:\ProgramData\anion-4\anion-5.exe -0,explorer.exe 
Startup: C:\Users\DG_Ochota\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\maxton-1.lnk [2017-05-13]
ShortcutTarget: maxton-1.lnk -> C:\Users\DG_Ochota\AppData\Roaming\maxton-12\maxton-4.exe ()
S3 dbx; system32\DRIVERS\dbx.sys [X]
RemoveDirectory: C:\ProgramData\molarity-3
RemoveDirectory: C:\Users\DG_Ochota\AppData\Roaming\vctcxo-26
RemoveDirectory: C:\ProgramData\anion-4
RemoveDirectory: C:\Users\DG_Ochota\AppData\Roaming\maxton-12
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Kliknij klawisz z flagą Windows + R > wklej komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p lub "C:\Program Files\Mozilla Firefox\firefox.exe" -p > załóż nowy profil, wszystkie poprzednie skasuj.

 

3. Upewnij się, że Malwarebytes już niczego nie wykrywa, jeśli coś wykryję to daj do kasacji. Skan powtarzaj do wyniku zero infekcji. 

 

4. Przeskanuj system całościowo narzędziem HitmanPro. Jeśli coś wykryje, to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Po naprawie.
EDIT: Niestety, chyba nie pomogło. Bank cały czas blokuje dostęp, nawet po telefonicznym odblokowaniu. Przychodzi też komunikat mailem, ten co już wklejałem. Na moje żądanie mogą odblokować konto, ale na moja odpowiedzialność. Z kolei ING w ogóle nie otwiera strony logowania.

Addition.txt

FRST.txt

Shortcut.txt

HitmanPro_20170514_1229.txt

Fixlog.txt

Edytowane przez Rucek
Odnośnik do komentarza

HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\Run: [parallel-3] => C:\ProgramData\parallel-36\parallel-47.exe [691200 2017-05-14] ()
HKU\S-1-5-21-2882476764-1616236546-509559111-1000\...\RunOnce: [handover-2] => C:\Users\DG_Ochota\AppData\Roaming\handover-7\handover-57.exe [515584 2017-05-13] ()

 
Nawrót infekcji pomimo jej usunięcie sugeruje, że nie będzie łatwo usunąć ją z poziomu systemu. 
To jedyne co jest do korekty w systemie, reszta jest OK (te dwa zagrożenia w HitmanPro daj do kasacji, detekcja FRST to fałszywy alarm). 
 
Nie będę ukrywał, że w przypadku tak poważnej infekcji zaleciłbym format. Powiedz mi czy godzisz się na to czy próbujemy leczyć system z poziomu bootowalnego? Tutaj zachodzi to zjawisko kiedy proces obfuskacja jest zaporą nie do przejścia z poziomu systemu.

Odnośnik do komentarza

Jak usunąć te 2 zagrożenia? Z poziomu HitmanPro?

 

Tak - z poziomu HitmanPro.

 

Jeśli tylko format daje gwarancje sukcesu, to pewnie tak się skończy. Choć wolałbym nie.

 

W mojej opini w takim przypadku lepiej zrobić format. To nie jest pierwszy lepszy wirus, a zaawansowany szkodliwy kod. Nawet jeśli z poziomu bootowalnego udałoby się usunąć infekcję to nie wiadomo czy w całości.

Edytowane przez Rucek
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...