Dziwne przekierowanie strony banku

[jpatryk]

Witam

Jakiś czas temu pewnego dnia zauważyłem dziwny sposób logowania się do banku. Kilkakrotnie mimo prawidłowego logowania się na stronie banku pojawiał się proces weryfikacji konta. Mogę prosić o sprawdzenie logów z adwcleanera oraz FRST. Historia przeglądarki nic nie zarejestrowała niepokojącego.

FRST.txt

Shortcut.txt

Addition.txt

AdwCleanerS1.txt

[Miszel03]

System jest zainfekowany przez infekcję bankową Nymaim (weryfikacja banku była reakcją prawidłową) - KLIK / KLIK. Dezynfekcja nie będzie prosta i nie wiem czy dokończę ją ja, bo za 3 godziny wyjeżdżam. Skontaktuje się w tej spawie z picasso. 
Po doprowadzeniu systemu do prawowitego stanu będzie wymagana obowiązkowa zmiana haseł we wszystkich serwisach logowania, czyli m.in skrzynka elektroniczna, usługi zakupów online, bank. 
 

Nie loguj się teraz do żadnych serwisów związanych z płatnością online i nie wymieniaj plików z innymi urządzeniami.

 
P.S: Ewakuuj się z Windows XP na system posiadający wsparcie aktualizacji zabezpieczeń (Windows 7 / 8 / 10). 
 
Zaczynamy.
 

1. Detekcję AdwCleaner daj do kasacji. 

 

2. Odinstaluj oprogramowanie sponsorskie (przypuszczalnie tą techniką zainstalowane): McAfee Security Scan Plus.
 
3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:
 

CloseProcesses:
(Microsoft Corporation) C:\Windows\explorer.exe
CreateRestorePoint:
HKU\S-1-5-21-1390067357-764733703-1801674531-1003\...\Winlogon: [shell] C:\Documents and Settings\All Users\sound-1\sound-3.exe -29,explorer.exe Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\density-5.lnk [2017-04-11]
ShortcutTarget: density-5.lnk -> C:\Documents and Settings\ja\Dane aplikacji\density-0\density-99.exe (Brak pliku)
Startup: C:\Documents and Settings\ja\Menu Start\Programy\Autostart\MSQRY32.JSE [2017-03-22] ()
RemoveDirectory: C:\Documents and Settings\All Users\sound-1
RemoveDirectory: C:\Documents and Settings\ja\Dane aplikacji\density-0
C:\Documents and Settings\ja\Menu Start\Programy\Autostart\density-5.lnk
C:\Documents and Settings\ja\Menu Start\Programy\Autostart\MSQRY32.JSE
CHR HomePage: Default -> hxxp://search.babylon.com/?affID=110823&tt=120912_ccp_3812_5&babsrc=HP_ss&mntrId=805e72070000000000000013023f4ed0
CHR StartupUrls: Default -> "hxxps://www.google.pl/","hxxp://www.google.pl/","hxxp://www.tvn24.pl/","hxxp://otomoto.pl/","hxxp://www.searchqu.com/406"
U2 CertPropSvc; Brak ImagePath
U1 WS2IFSL; Brak ImagePath
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\ja\AppData\Local\Mozilla
C:\Users\ja\AppData\Roaming\Mozilla
C:\Users\ja\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

4. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin. 

5. Zastosuj skaner Kaspersky Virus Removal Tool (Ustawienia > Zaznacz pole System Drive), dla wszystkich wyników zastosuj opcję Kwarantanny. Przedstaw raport (opcja Report) z tego działania.
 
6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[jpatryk]

Witam,

dziękuję za szybką odpowiedź. Oczywiście wykonałem wszystkie powyższe kroki które zostały mi wskazane.

W załączniku przesyłam nowe logi. Nie mogłem dopatrzeć się zrzutu logów z kasperky, więc zrzuciłem print screen.

 

Komputer jest wyłączony od dostępu do internetu tak więc bardzo chciałbym zostać przy temacie ciut dłużej jeżeli oczywiście pozwolicie.

Co bezpośrednio wskazuje w logach na infekcję tego typu?

Rozumiem, że dzięki temu wirusowi pozyskiwane są wszystkie hasła i loginy, ale może on pełnić funkcję keylogerra i pozyskać wszystkie ruchy na komputerze ofiary?

Potencjalnie znam sprawcę całego zdarzenia - patrząc po autostarcie, a dokładnie co było dodane do niego w danym czasie nie długo trzeba było szukać, aby znaleźć meila w skrzynce pocztowej który zawierał potencjalnie fakturę, ale z rozszerzeniem .js ..... nie dbałość żony

Widząc skale jaką obejmuje Nymaim chyba raczej szukanie już potencjalnego intruza w sensie personalnie nie ma większego sensu, kopiąc po domenie itp itd pewnie natrafimy na tor'a, a może się mylę?

 

Fixlog.txt

Shortcut.txt

Addition.txt

FRST.txt

[Miszel03]

Wszystko prawidłowo wykonane. 

Wygląda na to, że infekcja ustąpiła (ale jeszcze się nigdzie nie logujesz), nie ustąpiły natomiast modyfikacje adware w Google Chrome i podejrzewam modyfikacje preferencji - zalecam kompleksową jej reinstalację.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

Następnie poproszę o kolejny całościowy skan systemu za pomocą narzędzia Malwarebytes Anti-Malware. Dla wszystkich wyników zastosuj opcję Kwaranntany i dostarcz raport z tego działania.

 

P.S: O wykrywalności na PW.