Тема закрыта
Member
Отправлено 25 Январь 2019 - 13:53
Здравствуйте!
Недавно начала появляться странное сообщение.
Вот логи
dwscanner.log 2,6Мб
2 Скачано раз и 
USER-PC_User_250119_154848.zip 4,72Мб
5 Скачано раз
Помогите пожалуйста выяснить, что происходит.
Сообщение было изменено javalove: 25 Январь 2019 - 13:54
Poster
Отправлено 25 Январь 2019 - 13:53
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.
2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,
- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;
3. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig
Для этого проделайте следующее:
Advanced Member
Отправлено 25 Январь 2019 - 14:21
Установите обновление
Перезагрузите компьютер.
Member
Отправлено 25 Январь 2019 - 14:52
Установите обновление
Перезагрузите компьютер.
Выполнил.
Advanced Member
Отправлено 25 Январь 2019 - 15:46
По логу нетфильтра, закачка выполняется через легальный процесс lsass.exe, а кто его провоцирует на это, нужно смотреть в полном отчёте.
[25/01/2019 15:35:22 000015ec] <DEBUG:1> Redirection: \Device\HarddiskVolume1\Windows\System32\lsass.exe (PID=628, user S-1-5-18): 57472 -> ( 57473 -> 57474 ) -> 208.77.45.211:9998 [25/01/2019 15:35:22 000015ec] <DEBUG:1> Trying to connect to: 208.77.45.211:9998 [25/01/2019 15:35:23 000015ec] <DEBUG:1> HTTP DETECTED [25/01/2019 15:35:23 000015ec] <DEBUG:1> URL: http://indonesias.me:9998/c32.exe [25/01/2019 15:35:23 000015ec] URL is blocked (malware): http://indonesias.me:9998/c32.exe [25/01/2019 15:35:23 000015ec] <DEBUG:1> DWS: matched base dwfmlw08.dws offset 1795577 url indonesias.me [25/01/2019 15:35:23 000015ec] <DEBUG:1> Disconnecting.
В общем, чтобы пазл сложился, нужен весь отчёт, а не его кусок.
Poster
Отправлено 25 Январь 2019 - 15:58
Вот этой версией соберите: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe
>По логу нетфильтра, закачка выполняется через легальный процесс lsass.exe, а кто его провоцирует на это, нужно смотреть в полном отчёте
EthernalBlue шеллкод как раз от него работает, если память не изменяет.
Member
Отправлено 26 Январь 2019 - 06:38
Вот новый лог по указ
Так как размер файла получился 24 Мб, не отправлялся, поэтому файлы разархивировал и повторно архивировал RARом.
USER-PC_User_260119_082332.rar 17,49Мб
6 Скачано раз
Member
Отправлено 26 Январь 2019 - 10:11
по ссылке
[24/01/2019 13:33:51 00000d84] <DEBUG:1> URL: хттп://indonesias.me:9998/iexplore.exe
[24/01/2019 13:33:51 00000d84] URL is blocked (malware): хттп://indonesias.me:9998/iexplore.exe
[24/01/2019 13:33:51 00000d84] <DEBUG:1> DWS: matched base dwfmlw08.dws offset 1795577 url indonesias.me
[24/01/2019 13:33:51 00000d84] <DEBUG:1> Disconnecting.
[24/01/2019 13:33:55 0000071c] <DEBUG:1> Redirection: \Device\HarddiskVolume1\Windows\System32\lsass.exe (PID=588, user S-1-5-18): 49305 -> ( 49306 -> 49307 ) -> 117.40.228.237:9998
[24/01/2019 13:33:55 0000071c] <DEBUG:1> Trying to connect to: 117.40.228.237:9998
[24/01/2019 13:33:56 0000071c] <DEBUG:1> HTTP DETECTED
подгружается и устанавливается майнер.
анализ задания:
https://app.any.run/tasks/f52ea826-ccc4-419d-ad30-d437a461143c
+
добавьте образ автозапуска в uVS для анализа системы.
Сообщение было изменено santy: 26 Январь 2019 - 10:14
Member
Отправлено 26 Январь 2019 - 10:28
по ссылке
[24/01/2019 13:33:51 00000d84] <DEBUG:1> URL: хттп://indonesias.me:9998/iexplore.exe
[24/01/2019 13:33:51 00000d84] URL is blocked (malware): хттп://indonesias.me:9998/iexplore.exe
[24/01/2019 13:33:51 00000d84] <DEBUG:1> DWS: matched base dwfmlw08.dws offset 1795577 url indonesias.me
[24/01/2019 13:33:51 00000d84] <DEBUG:1> Disconnecting.
[24/01/2019 13:33:55 0000071c] <DEBUG:1> Redirection: \Device\HarddiskVolume1\Windows\System32\lsass.exe (PID=588, user S-1-5-18): 49305 -> ( 49306 -> 49307 ) -> 117.40.228.237:9998
[24/01/2019 13:33:55 0000071c] <DEBUG:1> Trying to connect to: 117.40.228.237:9998
[24/01/2019 13:33:56 0000071c] <DEBUG:1> HTTP DETECTED
подгружается и устанавливается майнер.
анализ задания:
https://app.any.run/tasks/f52ea826-ccc4-419d-ad30-d437a461143c
+
добавьте образ автозапуска в uVS для анализа системы.
---------
архив распаковать в отдельный каталог и запустить start.exe, выполнить под текущим пользователем, если он является админом в системе.
Member
Отправлено 26 Январь 2019 - 12:21
Не совсем понял суть вашего задания. Программу вашу скачал, запустил, вот результат.
report.txt 2,28К
3 Скачано раз
Member
Отправлено 26 Январь 2019 - 12:27
из uVS нужен файл образа.
это будет файл с именем Ваш компьютер-дата-время.txt/или 7z
чтобы его получить необходимо в режиме "файл" в верхней панели инструментов запустить функцию
"сохранить полный образ автозапуска"
дождаться завершения ее выполнения (несколько минут)
и передать этот файл на форум для анализа.
Member
Отправлено 26 Январь 2019 - 12:43
Сделал, как просили.
USER-PC_2019-01-26_14-31-37_v4.1.2.7z 489,69К
3 Скачано раз
Member
Отправлено 26 Январь 2019 - 13:04
судя по образу каких то очевидных причин запуска задания по ссылке майнера нет.
может быть что-то есть в задачах SQLServer?
Member
Отправлено 26 Январь 2019 - 13:06
Кстати, сообщение как-то перестало появляться. Кажется, это произошло после установки вот этого: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu
Advanced Member
Отправлено 27 Январь 2019 - 17:14
Кстати, сообщение как-то перестало появляться. Кажется, это произошло после установки вот этого: kb4012212
Эксплуатировалась так называемая уязвимость АНБ. Не мешало бы систему обновлять, и доустановить все исправления безопасности, особенно MS17-010
Member
Отправлено 28 Январь 2019 - 07:13
Кстати, сообщение как-то перестало появляться. Кажется, это произошло после установки вот этого: kb4012212Эксплуатировалась так называемая уязвимость АНБ. Не мешало бы систему обновлять, и доустановить все исправления безопасности, особенно MS17-010
Вы не могли бы подсказать пошагово?
Poster
Отправлено 28 Январь 2019 - 07:13
>Теперь появляется такое:
Это ложное срабатывание. Уйдет с одним из ближайших обновлений баз.
Сообщение было изменено Ivan Korolev: 28 Январь 2019 - 07:15
Poster
Отправлено 28 Январь 2019 - 07:14
Кстати, сообщение как-то перестало появляться. Кажется, это произошло после установки вот этого: kb4012212Эксплуатировалась так называемая уязвимость АНБ. Не мешало бы систему обновлять, и доустановить все исправления безопасности, особенно MS17-010
Вы не могли бы подсказать пошагово?
Включите автоматическую проверку обновлений (Windows Update) и устанавливайте их по мере появления.
0 пользователей, 0 гостей, 0 скрытых
Community Forum Software by IP.Board
Владелец лицензии: Doctor Web, Ltd.
