Перейти к содержимому


Фото
- - - - -

Угроза Linux.Mirai1483


  • Закрыто Тема закрыта
59 ответов в этой теме

#1 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 16:23

Здравствуйте. Сегодня утром др.веб 11.5 начал блокировать какие-то сетевые вторжения под названием Linux.Mirai1483, проверял разными утилитами (spyhunter, hitmanpro, cureit и встроенный в антивир сканер), ничего не нашёл, но атаки так и продолжались. В итоге переустановил винду и спустя время снова появилось уведомление об атаке, они происходят по две атаки. Решил поставить комодо фаерволл, он тоже стал блокировать, только уже больше, только теперь в одну и другую сторону, везде адрес был 82.112.185.99. Как нагуглил - это сервер вашего антивируса. До этого, никаких левых программ не ставил, всё, что стояло - использовал уже долгое время.

 

Архив с логами весит 30мб и тут прикрепить не смог, т.к 20мб макс. размер. Вот ссылка на диск.

https://yadi.sk/d/Wk48yFKE3Yxw3B

Прикрепленные файлы:



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 2 571 Сообщений:

Отправлено 09 Июль 2018 - 16:23

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 VVS

VVS

    The Master

  • Moderators
  • 16 363 Сообщений:

Отправлено 09 Июль 2018 - 16:58

После того, как Вы переустановили Windows и DrWeb, DrWeb детектировал какие-нибудь "атаки"?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#4 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 16:59

После того, как Вы переустановили Windows и DrWeb, DrWeb детектировал какие-нибудь "атаки"?

да, на том скрине и вот прям только что

Прикрепленные файлы:



#5 VVS

VVS

    The Master

  • Moderators
  • 16 363 Сообщений:

Отправлено 09 Июль 2018 - 17:05

Ну тогда приложите сюда отчёт доктора, где были бы видны эти "атаки".


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#6 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 17:11

Не могу найти, как сделать его?


Сообщение было изменено NekoPower: 09 Июль 2018 - 17:13


#7 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 17:19

https://yadi.sk/i/pSUxit5F3Yy5tN вот такое только сделать смог, если это оно.



#8 VVS

VVS

    The Master

  • Moderators
  • 16 363 Сообщений:

Отправлено 09 Июль 2018 - 17:20

Не могу найти, как сделать его?

Также, как и раньше - http://people.drweb.com/people/yudin/private/public/sysinfo-next/dwsysinfo.exe


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#9 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 263 Сообщений:

Отправлено 09 Июль 2018 - 17:22

в логах нет этих детектов, похоже перетерлось. как только сработает детект соберите новый отчет. не понять от кого идет закачка
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#10 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 17:25

вот папка с логами из програм даты.

Прикрепленные файлы:

  • Прикрепленный файл  Logs.rar   841,93К   2 Скачано раз


#11 VVS

VVS

    The Master

  • Moderators
  • 16 363 Сообщений:

Отправлено 09 Июль 2018 - 17:35

В логах опять ничего нет.

Если не запускать D:\steam\steam.exe, детекты будут?


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#12 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 17:36

https://yadi.sk/d/BcdNcSq73Yy83qвот после прошедших атак, только я пк перезагружал прям после этого, комодо удалял, не знаю, сохранились ли.



#13 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 17:39

В логах опять ничего нет.

Если не запускать D:\steam\steam.exe, детекты будут?

Не знаю, они происходят с переодичностью 30-60 минут. Вот пока стим работает, если детект будет, сообщу. Потом выключу стим и буду смотреть.



#14 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 17 263 Сообщений:

Отправлено 09 Июль 2018 - 17:52

похоже вот это

[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server
[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server
[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server
[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server
[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server

перетирает логи влет. нужно включить расширенный лог в настройках для SpiderGate и дождаться воспроизведения и опять собрать отчет. после этого выключить расширенный лог иначе диск заполнит
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#15 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 17:55

похоже вот это

[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server
[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server
[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server
[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server
[09/07/2018 19:01:51 00000120] <DEBUG:1> SSL: Appending data from server

перетирает логи влет. нужно включить расширенный лог в настройках для SpiderGate и дождаться воспроизведения и опять собрать отчет. после этого выключить расширенный лог иначе диск заполнит

А точнее, где это сделать? Полагаю, что атака будет в 20:00, через пять минут.

Вот так сделал

Прикрепленные файлы:


Сообщение было изменено NekoPower: 09 Июль 2018 - 17:57


#16 VVS

VVS

    The Master

  • Moderators
  • 16 363 Сообщений:

Отправлено 09 Июль 2018 - 17:58

Настройки - основные - дополнительно - журнал - (SpIDer Mail, SpIDer Gate)


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#17 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 18:02

Пока тишина, как произойдёт, сразу соберу отчёт и напишу вам.



#18 Dmitry Shutov

Dmitry Shutov

    Poster

  • Virus hunters
  • 1 273 Сообщений:

Отправлено 09 Июль 2018 - 18:39

Это Ваши IP? Сомнительно....
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}: NameServer = 199.85.126.10 199.85.127.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}: NameServer = 199.85.126.10 199.85.127.10
 
 
 
<dns>
<item sid="HKLM" key="System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}" value="NameServer" data="199.85.126.10 199.85.127.10" threat="DRH:Adware.DNS.Changer" arkstatus="suspicious" />
</dns>


#19 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 18:44

 

Это Ваши IP? Сомнительно....
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}: NameServer = 199.85.126.10 199.85.127.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}: NameServer = 199.85.126.10 199.85.127.10
 
 
 
<dns>
<item sid="HKLM" key="System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0D36B2F5-F051-4ED2-A8DA-3B5C89788F1C}" value="NameServer" data="199.85.126.10 199.85.127.10" threat="DRH:Adware.DNS.Changer" arkstatus="suspicious" />
</dns>

 

Нет конечно, у меня другой диапазон адресов. Но у меня стоит нортоновский днс на ip4

стоит удалить эти ключи?


Сообщение было изменено NekoPower: 09 Июль 2018 - 18:49


#20 NekoPower

NekoPower

    Newbie

  • Posters
  • 30 Сообщений:

Отправлено 09 Июль 2018 - 18:53

  • Preferred DNS: 199.85.126.10
  • Alternate DNS: 199.85.127.10

Ну это днс. По крайней мере, уже почти два часа прошло и ни одной атаки.




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых