Перейти к содержимому


Фото
- - - - -

Трафик бекконект прокси в фиддлере

неизвестный вирус

  • Закрыто Тема закрыта
15 ответов в этой теме

#1 Sliiva

Sliiva

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2019 - 09:07

dr. web ничего не нашел. проблема осталась

avira и hitmanpro аналогично

 

летит трафик http post запросов авторизаций на различные букмекерские конторы и тд.

не хочется переустанавливать ОС

 

PID процесса в снифере не определяется

 

http://prntscr.com/nfljc8
http://prntscr.com/nflk04

 

Спасите помогите



#2 Dr.Robot

Dr.Robot

    Poster

  • Helpers
  • 3 088 Сообщений:

Отправлено 23 Апрель 2019 - 09:07

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы трёх программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), Hijackthis и DrWeb SysInfo. Где найти эти программы и как сделать логи описано в Инструкции. Без логов помочь Вам не сможет даже самый квалифицированный специалист.

2. Если у Вас при включении компьютера появляется окно с требованием перечислить некоторую сумму денег и при этом блокируется доступ к рабочему столу,

- попытайтесь найти коды разблокировки здесь https://www.drweb.com/xperf/unlocker/
- детально опишите как выглядит это окно (цвет, текст, количество кнопок, появляется ли оно до появления окна приветствия Windows или сразу же после включении компьютера);
- дождаться ответа аналитика или хелпера;

3. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена коммерческая лицензия Dr.Web Security Space не ниже версии 9.0, Антивирус Dr.Web для Windows не ниже версии 9.0 или Dr.Web Enterprise Security Suite не ниже версии 6.0. подробнее.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];


4. При возникновении проблем с интернетом, таких как "не открываются сайты", в браузерах появляются картинки с порно или рекламным содержанием там, где раньше ничего подобного не было, появляются надписи типа "Содержание сайта заблокировано" и пр. нестандартные уведомления необходимо выложить дополнительно к логам из п.1 лог команды ipconfig


Для этого проделайте следующее:

  • Зайдите в меню Пуск на Рабочем столе, вызовите в нем окно команды Выполнить...
  • В появившемся окне наберите cmd и нажмите клавишу <Enter>. Появится черное окно консоли (интерпретатора команд).
  • Напишите в этом черном окне команду ipconfig /all>"%userprofile%\ipc.log" и нажмите клавишу <Enter>, затем наберите там же команду explorer.exe /select,"%userprofile%\ipc.log" и нажмите клавишу <Enter>, нужный файл будет показан в Проводнике Windows.
  • Приложите этот файл к своему сообщению на форуме.
Чтобы не сделать ошибок в написании команд, можно скопировать эти команды отсюда и последовательно вставлять в черное окно консоли путем выбора пункта Вставить из меню, появляющегося при нажатии правой кнопки мыши в черном окне консоли.



#3 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 23 Апрель 2019 - 10:20

Нет логов - нет проблемы. По скриншотам не лечим. (с) :)



#4 Sliiva

Sliiva

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2019 - 14:50

Нет логов - нет проблемы. По скриншотам не лечим. (с) :)

Я Hijaks не смог найти и подумал - горит сарай гори и хата.
Вот сделал логи по инструкции.
https://dropmefiles.com/qIH0C
https://dropmefiles.com/n21jm
 



#5 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 23 Апрель 2019 - 17:00

летит трафик http post запросов авторизаций на различные букмекерские конторы и тд.

не хочется переустанавливать ОС

И не нужно, скорее всего. Для начала пробуем завершить всякие хромы и прочие программы, лезущие в инет явным образом (проконтролировать завершение процессов с помощью дисп. задач). Смотрим, кто и куда ломится теперь (и ломится ли вообще). Зачастую такое поведение может быть вызвано браузерным расширением, так что ревизия плагинов тоже необходима. И в темпах у вас сидит какая-то непонятная вещь, запускается из Планировщика:
C:\Users\Andrew\AppData\Local\Temp\cisC957.exe --PostUninstall {81EFDD93-DBBE-415B-BE6E-49B9664E3E82}

Вещь неплохо бы проанализировать на virustotal. Строку в Планировщике - чистить, равно как и темпы.



#6 Sliiva

Sliiva

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2019 - 17:07

 

летит трафик http post запросов авторизаций на различные букмекерские конторы и тд.

не хочется переустанавливать ОС

И не нужно, скорее всего. Для начала пробуем завершить всякие хромы и прочие программы, лезущие в инет явным образом (проконтролировать завершение процессов с помощью дисп. задач). Смотрим, кто и куда ломится теперь (и ломится ли вообще). Зачастую такое поведение может быть вызвано браузерным расширением, так что ревизия плагинов тоже необходима. И в темпах у вас сидит какая-то непонятная вещь, запускается из Планировщика:
C:\Users\Andrew\AppData\Local\Temp\cisC957.exe --PostUninstall {81EFDD93-DBBE-415B-BE6E-49B9664E3E82}

Вещь неплохо бы проанализировать на virustotal. Строку в Планировщике - чистить, равно как и темпы.

 

Ок. Будем разбираться. Спасибо за ответ. Буду держать Вас в курсе)



#7 Sliiva

Sliiva

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2019 - 17:42

Все сделал. Трафик летит даже с убитыми процессами хрома.

Темр почистил. Того файла не нашел в папке.

Посмотрите сами. Мой ПК используется как прокся для брута. Это бекконект прокси.

Посмотрите сами на скриншот http://prntscr.com/nfte0h
Мне кажется это 0day вирус. Даже Comodo в параноидальном режиме ничего не смог сделать.

Я сам разработчик на .net и хочу разобраться с этим вирусом. Если надо могу предоставить удаленный доступ к своему ПК

 

Спасает только подключение ВПН, чтоб трафик оборвался



#8 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 23 Апрель 2019 - 19:51

Результат выполнения

netstat -ano -p tcp

в студию! С отключенными браузерами и т.п., чтобы простыни в 3 экрана не анализировать. Там же должен быть и PID. По поводу очистки темпов - не забыли включить отображение скрытых и системных файлов/папок в настройках Проводника (или что вы там предпочитаете)?



#9 Sliiva

Sliiva

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2019 - 20:07

Нет не забыл. Все скрытые папки в настройках проводника включил, чтоб были видны

 

C:\Users\Andrew>netstat -ano -p tcp
 
Активные подключения
 
  Имя    Локальный адрес        Внешний адрес          Состояние       PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING                      936
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING                      4
  TCP    0.0.0.0:554            0.0.0.0:0              LISTENING                      7024
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING                      4
  TCP    0.0.0.0:10243          0.0.0.0:0              LISTENING                     4
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING                     588
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING                     452
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING                    488
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING                    672
  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING                    648
  TCP    127.0.0.1:5939         0.0.0.0:0              LISTENING                    1900
  TCP    127.0.0.1:55068        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55114        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55116        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55119        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55125        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55127        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55145        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55149        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55160        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55209        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55211        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55245        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55246        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55248        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55249        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55253        127.0.0.1:8888         TIME_WAIT                    0
  TCP    127.0.0.1:55257        127.0.0.1:8888         TIME_WAIT                    0
  TCP    192.168.0.101:139      0.0.0.0:0              LISTENING                    4
  TCP    192.168.0.101:8888     5.101.180.191:48908    TIME_WAIT       0
  TCP    192.168.0.101:8888     46.21.249.28:57576     TIME_WAIT       0
  TCP    192.168.0.101:8888     46.98.37.44:62666      TIME_WAIT       0
  TCP    192.168.0.101:8888     46.98.37.44:63412      TIME_WAIT       0
  TCP    192.168.0.101:8888     46.105.124.137:59649   TIME_WAIT       0
  TCP    192.168.0.101:8888     77.83.173.182:50985    TIME_WAIT       0
  TCP    192.168.0.101:8888     77.83.173.182:53459    TIME_WAIT       0
  TCP    192.168.0.101:8888     77.83.173.182:65082    TIME_WAIT       0
  TCP    192.168.0.101:8888     148.251.154.230:48183  TIME_WAIT       0
  TCP    192.168.0.101:8888     148.251.154.230:48857  TIME_WAIT       0
  TCP    192.168.0.101:8888     148.251.154.230:49267  TIME_WAIT       0
  TCP    192.168.0.101:8888     176.111.58.10:37509    TIME_WAIT       0
  TCP    192.168.0.101:8888     182.254.179.173:45443  TIME_WAIT       0
  TCP    192.168.0.101:8888     185.249.255.238:63512  TIME_WAIT       0
  TCP    192.168.0.101:8888     213.166.71.162:59570   TIME_WAIT       0
  TCP    192.168.0.101:54943    149.154.167.51:443     TIME_WAIT       0
  TCP    192.168.0.101:54966    160.16.217.191:5222    TIME_WAIT       0
  TCP    192.168.0.101:54967    104.16.59.37:443       TIME_WAIT       0
  TCP    192.168.0.101:54968    212.42.75.248:443      TIME_WAIT       0
  TCP    192.168.0.101:55015    87.245.221.104:80      TIME_WAIT       0
  TCP    192.168.0.101:55020    104.16.197.130:443     TIME_WAIT       0
  TCP    192.168.0.101:55022    93.184.220.29:80       TIME_WAIT       0
  TCP    192.168.0.101:55023    5.226.176.13:443       TIME_WAIT       0
  TCP    192.168.0.101:55030    5.226.176.13:443       TIME_WAIT       0
  TCP    192.168.0.101:55037    5.226.176.13:443       TIME_WAIT       0
  TCP    192.168.0.101:55056    5.226.176.13:443       TIME_WAIT       0
  TCP    192.168.0.101:55108    125.88.144.236:8160    LAST_ACK        5668
  TCP    192.168.0.101:55171    162.249.125.79:80      TIME_WAIT       0
  TCP    192.168.0.101:55189    52.84.198.139:443      TIME_WAIT       0
  TCP    192.168.0.101:55227    52.84.198.139:443      TIME_WAIT       0
  TCP    192.168.0.101:55258    104.20.26.8:443        TIME_WAIT       0
  TCP    192.168.0.101:55271    52.84.198.139:443      TIME_WAIT       0
  TCP    192.168.0.101:55304    52.216.145.195:80      ESTABLISHED     4932
 
C:\Users\Andrew>

Сообщение было изменено Sliiva: 23 Апрель 2019 - 20:09


#10 Sliiva

Sliiva

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2019 - 20:16

Извиняюсь. Не дождался окончательного закрытия браузера. Вот с закрытым
 

C:\Users\Andrew>netstat -ano -p tcp
 
Активные подключения
 
  Имя    Локальный адрес        Внешний адрес          Состояние       PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       936
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:554            0.0.0.0:0              LISTENING       7024
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:10243          0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING       588
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING       452
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING       488
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING       672
  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING       648
  TCP    127.0.0.1:5939         0.0.0.0:0              LISTENING       1900
  TCP    192.168.0.101:139      0.0.0.0:0              LISTENING       4
  TCP    192.168.0.101:8888     113.121.241.237:60225  FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     117.29.199.169:41942   FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     123.52.150.23:12495    FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     123.52.151.85:51984    FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     171.9.79.198:39757     FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     175.42.129.141:41109   FIN_WAIT_2      5732
  TCP    192.168.0.101:55627    172.217.20.195:443     TIME_WAIT       0
  TCP    192.168.0.101:55628    172.217.16.13:443      TIME_WAIT       0
  TCP    192.168.0.101:55629    172.217.20.196:443     TIME_WAIT       0
  TCP    192.168.0.101:55639    172.217.16.35:443      TIME_WAIT       0
  TCP    192.168.0.101:55663    172.217.20.202:443     TIME_WAIT       0
  TCP    192.168.0.101:55768    52.216.102.27:80       ESTABLISHED     4932

Сообщение было изменено Sliiva: 23 Апрель 2019 - 20:20


#11 Sliiva

Sliiva

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2019 - 20:24

Нет оказывается все успело закрыться. Внешние ip адреса соответствуют с теми что показывает фиддлер с выключенным браузером. Вот еще раз сделал снапшот. Это какой то кошмар. Попробую поставить касперского.

 

C:\Users\Andrew>netstat -ano -p tcp
 
Активные подключения
 
  Имя    Локальный адрес        Внешний адрес          Состояние       PID
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       936
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:554            0.0.0.0:0              LISTENING       7024
  TCP    0.0.0.0:2869           0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:10243          0.0.0.0:0              LISTENING       4
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING       588
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING       452
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING       488
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING       672
  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING       648
  TCP    127.0.0.1:5939         0.0.0.0:0              LISTENING       1900
  TCP    192.168.0.101:139      0.0.0.0:0              LISTENING       4
  TCP    192.168.0.101:8888     113.121.241.237:60225  FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     117.29.199.169:41942   FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     123.52.150.23:12495    FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     123.52.151.85:51984    FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     171.9.79.198:39757     FIN_WAIT_2      5732
  TCP    192.168.0.101:8888     175.42.129.141:41109   FIN_WAIT_2      5732
  TCP    192.168.0.101:55627    172.217.20.195:443     TIME_WAIT       0
  TCP    192.168.0.101:55628    172.217.16.13:443      TIME_WAIT       0
  TCP    192.168.0.101:55629    172.217.20.196:443     TIME_WAIT       0
  TCP    192.168.0.101:55639    172.217.16.35:443      TIME_WAIT       0
  TCP    192.168.0.101:55663    172.217.20.202:443     TIME_WAIT       0
  TCP    192.168.0.101:55768    52.216.102.27:80       ESTABLISHED     4932


#12 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 23 Апрель 2019 - 20:41

Ну и смотрите процессы по PID'ам. 0 и 4 - это система. Остальное - дисп. задач в руки.



#13 Sliiva

Sliiva

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2019 - 20:50

Ну и смотрите процессы по PID'ам. 0 и 4 - это система. Остальное - дисп. задач в руки.

Скорее всего это руткит. Процесс не определяется.
Трафик идет с этого процесса. Видимо на уровне ядра что то
http://prntscr.com/nfw6i4



#14 Dmitry_rus

Dmitry_rus

    Guru

  • Helpers
  • 3 623 Сообщений:

Отправлено 24 Апрель 2019 - 09:09

При запуске в безопасном режиме (с поддержкой сети) трафик тоже есть? LiveCD/USB ничего вредоносного не детектят?



#15 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 24 Апрель 2019 - 09:17

К чему гадания, если можно для начала посмотреть в procmon сетевую активность – там и будет скорее всего видно, какой процесс куда лезет.


Семь раз отрежь – один раз проверь

#16 Sliiva

Sliiva

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Апрель 2019 - 21:41

Я переустановил ОС. Отформатировал все диски на всякий случай.

Я думаю была заюзана уязвимость на уровне ядра. Жаль конечно, что не удалось отсепарировать и изучить этот вирус. Всем спасибо за помощь




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых