jpatryk Opublikowano 21 Grudnia 2017 Zgłoś Udostępnij Opublikowano 21 Grudnia 2017 (edytowane) Witam, prosiłbym o analizę zawartych logów. Niepokoją mnie dwa wpisy w autostarcie: -jitter-03 oraz ycbr-9 AdwCleaner nic nie znalazł. Bardzo dziękuję za pomoc. Addition.txt FRST.txt Shortcut.txt Edytowane 6 Stycznia 2018 przez Rucek Temat poprawiony. Odnośnik do komentarza
Miszel03 Opublikowano 22 Grudnia 2017 Zgłoś Udostępnij Opublikowano 22 Grudnia 2017 W systemie widoczna jest czynna prawdopodobnie infekcja Trojna.Nymaim, to twardy zawodnik, mogą być problemy z jego usunięciem, ale dołożę wszelkich starań by wszystko poszło jak najszybciej. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers-x32-x32: [iB24SynchronizationPending] -> {08ad9864-e486-4cdb-8781-d507026cf5d6} => C:\Program Files (x86)\iBard24\\3.4.0.25713\IB24VirtualDrive.dll -> Brak pliku ShellIconOverlayIdentifiers-x32-x32-x32: [iB24Synchronized] -> {08ad9864-e486-4cdb-8781-d507026cf5d7} => C:\Program Files (x86)\iBard24\\3.4.0.25713\IB24VirtualDrive.dll -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku HKU\S-1-5-21-1196788396-3662627137-1388974550-1000\...\Run: [jitter-03] => C:\Users\admin\AppData\Local\jitter-67\jitter-2.exe [759808 2017-09-04] () HKU\S-1-5-21-1196788396-3662627137-1388974550-1000\...\Winlogon: [shell] C:\ProgramData\smbus-0\smbus-9.exe -4k,explorer.exe Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ycbcr-9.lnk [2017-09-13] ShortcutTarget: ycbcr-9.lnk -> C:\Users\admin\AppData\Roaming\ycbcr-17\ycbcr-99.exe () C:\Users\admin\AppData\Local\jitter-67 C:\ProgramData\smbus-0 C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ycbcr-9.lnk C:\Users\admin\AppData\Roaming\ycbcr-17\ycbcr-99.exe FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S2 InstallerService; "C:\Program Files\TrueKey\Mcafee.TrueKey.InstallerService.exe" [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Command Prompt.lnk C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Command Prompt.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Error: (12/21/2017 06:56:48 PM) (Source: Disk) (EventID: 11) (User: ) Description: Sterownik wykrył błąd kontrolera na \Device\Harddisk2\DR2. Błąd "Sterownik wykrył błąd kontrolera na \Device\HarddiskX\DRX" i jego interpretacja Odnośnik do komentarza
jpatryk Opublikowano 24 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 24 Grudnia 2017 Dziękuję za pomoc. Myślę że max do jutra wykonam skrypt. Ale analizując go bezpośrednio na zagrożenie wskazuje plik ycbcr-99 czy jitter-67, pytam ponieważ chciałbym dojść do tego w jaki sposób komputer został zainfekowany. W pierwszej kolejności chciałbym przeanalizować załączniki meili przed datą utworzenia plików. Odnośnik do komentarza
Miszel03 Opublikowano 24 Grudnia 2017 Zgłoś Udostępnij Opublikowano 24 Grudnia 2017 Nazwy są losowe, generowane w trakcie infekcji, ale w tym przypadku wygląda to na główne lokalizacje infekcji. Odpowiadając zaś, na PW to CERT już dawno wykonał kompleksową analizę, podlinkowałem ją już w pierwszym poście. Sposoby infekcji są różne, a jeśli masz rzeczywiście chęć to analizować to proszę bardzo mogę ewentualnie w czymś pomóc (np. leczenie zainfekowanych systemów). Odnośnik do komentarza
jpatryk Opublikowano 28 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 28 Grudnia 2017 Czy wpis Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ycbcr-9.lnk [2017-09-13] sugeruje datę zainfekowania komputera? Dzisiaj przez przypadek znalazłem plik w folderze Pobrane. Nazwa pliku i data pozwoliły trochę zawęzić poszukiwania w meilach. Odnalazłem meila który zawierał plik pdf z rzekomo nieopłaconymi płatnościami. Otwarcie pliku odrazu otwiera przeglądarkę z linkiem (sprawdzałem na komputerze bez dostępu do internetu). Pewnie plik pobiera wcześniej odnaleziony plik w folderze Pobrane który jest w javascripcie. Plik ten bez uruchamiania wrzuciłem na virustotal, oto wynik: https://www.virustotal.com/#/file/23d3ec6d0199209063a250469ab321e399a05b2fb35e8827c77b576e80edb256/detection Czy to jest źródło problemu? Ciekawi mi data utworzenia pliku był to 05-05-2017, a startup ze skanu wskazuje 2017-09-13. To jest data aktualizacji? Ostatniej modyfikacji? Odnośnik do komentarza
Miszel03 Opublikowano 28 Grudnia 2017 Zgłoś Udostępnij Opublikowano 28 Grudnia 2017 Czy wpis Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ycbcr-9.lnk [2017-09-13] sugeruje datę zainfekowania komputera? Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ycbcr-9.lnk [2017-09-13] Data zaznaczona na kolorowo jest datą utworzenia, ale zauważ, że to jest skrót i on może mieć inną datę niż plik, do którego prowadzi. Dzisiaj przez przypadek znalazłem plik w folderze Pobrane. Nazwa pliku i data pozwoliły trochę zawęzić poszukiwania w meilach. Odnalazłem meila który zawierał plik pdf z rzekomo nieopłaconymi płatnościami. Otwarcie pliku odrazu otwiera przeglądarkę z linkiem (sprawdzałem na komputerze bez dostępu do internetu). Pewnie plik pobiera wcześniej odnaleziony plik w folderze Pobrane który jest w javascripcie. Plik ten bez uruchamiania wrzuciłem na virustotal, oto wynik: https://www.virustot...db256/detection To przypuszczalny dropper tej infekcji. Data wykrycia tych fałszywych faktur prawie idealnie nakrywa się z datą wzmożonej liczby infekcji Nymaim. P.S: Wykonaj działania, bo ja tutaj leczę systemy. Odnośnik do komentarza
jpatryk Opublikowano 29 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 Witam Po ponownym skanie pliki w załączniku Addition.txt Fixlog.txt FRST.txt mbam.txt Odnośnik do komentarza
Miszel03 Opublikowano 29 Grudnia 2017 Zgłoś Udostępnij Opublikowano 29 Grudnia 2017 Wszystko pisz w temacie, trudno mi odpowiadać na Twoje PW tutaj. Hej wrzuciłem ponownie logi. Jakoś nie mogę znaleźć punktu zaczepienia na którego podstawie ty stwierdzasz że system jest zainfekowany konkretnym zagrożeniem. Opisałbyś mi na co zwrócić uwagę w tym konkretnym przypadku? Przelewy o których była mowa w poprzednich wiadomościach wykonały się od 6 września zatem trochę rozjeżdża mi się teoria ponieważ meil z dropperem był 5 maja, a w logu jest taka linijka:HKU\S-1-5-21-1196788396-3662627137-1388974550-1000\...\Run: [jitter-03] => C:\Users\admin\AppData\Local\jitter-67\jitter-2.exe [759808 2017-09-04] () która poniekąd datowo była by zgodna. Jakoś mi się to nie składa dlaczego nymaim czekałby tak długo może wpis w/w sugeruje inna infekcję. Ja nie wróże z fusów, to nie jest tak, że piszę sobie, że to konkretnie ta infekcja bez żadnych wątpliwości. Użyłem przecież formatu przypuszczalnie. W większości przypadków infekcje na forum powtarzają się i ja zapamiętuje wygląd wpisów (lokalizacja, losowe nazwy, charakterystyczne nazwy, trudności z usunięciem, przyczyny, objawy). Przykład z naszego forum KLIK i z forum pclab KLIK. Porównaj Twoje wpisy z tamtymi wpisami i detekcjami. Właśnie na takiej podstawie można stwierdzić z wyglądu co to za infekcja. Wróć do odpowiedzi na temat tego wpisu. Dropper mógł zostać przecież wykonany później. Ransom.Locky, C:\USERS\ADMIN\DOWNLOADS\BCC39C54539E1CA03148C13021AE366F.ZIP, Brak akcji, [118], [426720],1.0.0 Ktoś miał dużo szczęścia, że to się nie wykonało, bo pożegnał by się ze sowimi danymi (infekcja szyfrująca). Wszystko pomyślnie wykonane, infekcja usunięta. Teraz wykonamy doczyszczenia + powtórzymy akcje z listowaniem zawartości pewnych katalogów, bo teraz się coś nie wykonało. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: 2017-12-29 09:34 - 2016-03-24 19:46 - 000000000 ____D C:\Users\admin\AppData\Roaming\ycbcr-17 CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jak oceniasz obecną sytuację? Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się