Перейти к содержимому


Фото
- - - - -

Появляется странное сообщение


  • Закрыто Тема закрыта
20 ответов в этой теме

#1 javalove

javalove

    Member

  • Posters
  • 136 Сообщений:

Отправлено 25 Январь 2019 - 13:53

Здравствуйте!

Недавно начала появляться странное сообщение.

Alert.jpg

Вот логиПрикрепленный файл  dwscanner.log   2,6Мб   0 Скачано раз и Прикрепленный файл  USER-PC_User_250119_154848.zip   4,72Мб   3 Скачано раз

Помогите пожалуйста выяснить, что происходит.


Сообщение было изменено javalove: 25 Январь 2019 - 13:54

Я люблю DrWeb!

#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 640 Сообщений:

Отправлено 25 Январь 2019 - 13:53

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 javalove

javalove

    Member

  • Posters
  • 136 Сообщений:

Отправлено 25 Январь 2019 - 14:03

Вот лог Hijack

Прикрепленные файлы:


Я люблю DrWeb!

#4 AndreyKa

AndreyKa

    Advanced Member

  • Posters
  • 615 Сообщений:

Отправлено 25 Январь 2019 - 14:21

Установите обновление

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

Перезагрузите компьютер.



#5 javalove

javalove

    Member

  • Posters
  • 136 Сообщений:

Отправлено 25 Январь 2019 - 14:52

Выполнил.


Я люблю DrWeb!

#6 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 356 Сообщений:

Отправлено 25 Январь 2019 - 15:46

По логу нетфильтра, закачка выполняется через легальный процесс lsass.exe, а кто его провоцирует на это, нужно смотреть в полном отчёте.

[25/01/2019 15:35:22 000015ec] <DEBUG:1> Redirection: \Device\HarddiskVolume1\Windows\System32\lsass.exe (PID=628, user S-1-5-18): 57472 -> ( 57473 -> 57474 ) -> 208.77.45.211:9998
[25/01/2019 15:35:22 000015ec] <DEBUG:1> Trying to connect to: 208.77.45.211:9998
[25/01/2019 15:35:23 000015ec] <DEBUG:1> HTTP DETECTED
[25/01/2019 15:35:23 000015ec] <DEBUG:1> URL: http://indonesias.me:9998/c32.exe 
[25/01/2019 15:35:23 000015ec] URL is blocked (malware): http://indonesias.me:9998/c32.exe
[25/01/2019 15:35:23 000015ec] <DEBUG:1> DWS: matched base dwfmlw08.dws offset 1795577 url indonesias.me
[25/01/2019 15:35:23 000015ec] <DEBUG:1> Disconnecting. 

В общем, чтобы пазл сложился, нужен весь отчёт, а не его кусок.


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#7 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 874 Сообщений:

Отправлено 25 Январь 2019 - 15:58

Вот этой версией соберите: http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe

 

>По логу нетфильтра, закачка выполняется через легальный процесс lsass.exe, а кто его провоцирует на это, нужно смотреть в полном отчёте

 

EthernalBlue шеллкод как раз от него работает, если память не изменяет.



#8 javalove

javalove

    Member

  • Posters
  • 136 Сообщений:

Отправлено 26 Январь 2019 - 06:38

Вот новый лог по указ

Так как размер файла получился 24 Мб, не отправлялся, поэтому файлы разархивировал и повторно архивировал RARом.

Прикрепленные файлы:


Я люблю DrWeb!

#9 santy

santy

    Member

  • Posters
  • 194 Сообщений:

Отправлено 26 Январь 2019 - 10:11

по ссылке

[24/01/2019 13:33:51 00000d84] <DEBUG:1> URL: хттп://indonesias.me:9998/iexplore.exe
[24/01/2019 13:33:51 00000d84] URL is blocked (malware): хттп://indonesias.me:9998/iexplore.exe
[24/01/2019 13:33:51 00000d84] <DEBUG:1> DWS: matched base dwfmlw08.dws offset 1795577 url indonesias.me
[24/01/2019 13:33:51 00000d84] <DEBUG:1> Disconnecting.
[24/01/2019 13:33:55 0000071c] <DEBUG:1> Redirection: \Device\HarddiskVolume1\Windows\System32\lsass.exe (PID=588, user S-1-5-18): 49305 -> ( 49306 -> 49307 ) -> 117.40.228.237:9998
[24/01/2019 13:33:55 0000071c] <DEBUG:1> Trying to connect to: 117.40.228.237:9998
[24/01/2019 13:33:56 0000071c] <DEBUG:1> HTTP DETECTED

 

подгружается и устанавливается майнер.

https://www.virustotal.com/ru/file/6f85c3cad16c4f9e490f240c57448bdd12310c0bc11f4f9231440daefe81237e/analysis/

 

анализ задания:

https://app.any.run/tasks/f52ea826-ccc4-419d-ad30-d437a461143c

 

+

добавьте образ автозапуска в uVS для анализа системы.


Сообщение было изменено santy: 26 Январь 2019 - 10:14


#10 santy

santy

    Member

  • Posters
  • 194 Сообщений:

Отправлено 26 Январь 2019 - 10:28

по ссылке

[24/01/2019 13:33:51 00000d84] <DEBUG:1> URL: хттп://indonesias.me:9998/iexplore.exe
[24/01/2019 13:33:51 00000d84] URL is blocked (malware): хттп://indonesias.me:9998/iexplore.exe
[24/01/2019 13:33:51 00000d84] <DEBUG:1> DWS: matched base dwfmlw08.dws offset 1795577 url indonesias.me
[24/01/2019 13:33:51 00000d84] <DEBUG:1> Disconnecting.
[24/01/2019 13:33:55 0000071c] <DEBUG:1> Redirection: \Device\HarddiskVolume1\Windows\System32\lsass.exe (PID=588, user S-1-5-18): 49305 -> ( 49306 -> 49307 ) -> 117.40.228.237:9998
[24/01/2019 13:33:55 0000071c] <DEBUG:1> Trying to connect to: 117.40.228.237:9998
[24/01/2019 13:33:56 0000071c] <DEBUG:1> HTTP DETECTED

 

подгружается и устанавливается майнер.

https://www.virustotal.com/ru/file/6f85c3cad16c4f9e490f240c57448bdd12310c0bc11f4f9231440daefe81237e/analysis/

 

анализ задания:

https://app.any.run/tasks/f52ea826-ccc4-419d-ad30-d437a461143c

 

+

добавьте образ автозапуска в uVS для анализа системы.

---------

архив распаковать в отдельный каталог и запустить start.exe, выполнить под текущим пользователем, если он является админом в системе.



#11 javalove

javalove

    Member

  • Posters
  • 136 Сообщений:

Отправлено 26 Январь 2019 - 12:21

Не совсем понял суть вашего задания. Программу вашу скачал, запустил, вот результат.

Прикрепленные файлы:

  • Прикрепленный файл  report.txt   2,28К   2 Скачано раз

Я люблю DrWeb!

#12 santy

santy

    Member

  • Posters
  • 194 Сообщений:

Отправлено 26 Январь 2019 - 12:27

@javalove,

 

из uVS нужен файл образа.

это будет файл с именем Ваш компьютер-дата-время.txt/или 7z

чтобы его получить необходимо в режиме "файл" в верхней панели инструментов запустить функцию

"сохранить полный образ автозапуска"

дождаться завершения ее выполнения (несколько минут)

и передать этот файл на форум для анализа.



#13 javalove

javalove

    Member

  • Posters
  • 136 Сообщений:

Отправлено 26 Январь 2019 - 12:43

Сделал, как просили.

Прикрепленные файлы:


Я люблю DrWeb!

#14 santy

santy

    Member

  • Posters
  • 194 Сообщений:

Отправлено 26 Январь 2019 - 13:04

судя по образу каких то очевидных причин запуска задания по ссылке майнера нет.

может быть что-то есть в задачах SQLServer?



#15 javalove

javalove

    Member

  • Posters
  • 136 Сообщений:

Отправлено 26 Январь 2019 - 13:06

Кстати, сообщение как-то перестало появляться. Кажется, это произошло после установки вот этого: http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu


Я люблю DrWeb!

#16 Eugen Engelhardt

Eugen Engelhardt

    Member

  • Dr.Web Staff
  • 356 Сообщений:

Отправлено 27 Январь 2019 - 17:14

Кстати, сообщение как-то перестало появляться. Кажется, это произошло после установки вот этого: kb4012212

Эксплуатировалась так называемая уязвимость АНБ. Не мешало бы систему обновлять, и доустановить все исправления безопасности, особенно MS17-010


With best regards, Eugen Engelhardt
Doctor Web, Ltd.

#17 javalove

javalove

    Member

  • Posters
  • 136 Сообщений:

Отправлено 28 Январь 2019 - 07:11

Теперь появляется такое:

Прикрепленные файлы:

  • Прикрепленный файл  Alert2.jpg   14,58К   0 Скачано раз

Я люблю DrWeb!

#18 javalove

javalove

    Member

  • Posters
  • 136 Сообщений:

Отправлено 28 Январь 2019 - 07:13

 

Кстати, сообщение как-то перестало появляться. Кажется, это произошло после установки вот этого: kb4012212

Эксплуатировалась так называемая уязвимость АНБ. Не мешало бы систему обновлять, и доустановить все исправления безопасности, особенно MS17-010

 

Вы не могли бы подсказать пошагово?


Я люблю DrWeb!

#19 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 874 Сообщений:

Отправлено 28 Январь 2019 - 07:13

>Теперь появляется такое:

 

Это ложное срабатывание. Уйдет с одним из ближайших обновлений баз.


Сообщение было изменено Ivan Korolev: 28 Январь 2019 - 07:15


#20 Ivan Korolev

Ivan Korolev

    Advanced Member

  • Virus Analysts
  • 874 Сообщений:

Отправлено 28 Январь 2019 - 07:14

 

 

Кстати, сообщение как-то перестало появляться. Кажется, это произошло после установки вот этого: kb4012212

Эксплуатировалась так называемая уязвимость АНБ. Не мешало бы систему обновлять, и доустановить все исправления безопасности, особенно MS17-010

 

Вы не могли бы подсказать пошагово?

 

 

Включите автоматическую проверку обновлений (Windows Update) и устанавливайте их по мере появления.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых