• Ogłoszenie:

Otworzono e-mail od fałszywego dhl

Bezpieczeństwo systemów, usuwanie wirusów, dobieranie programów antywirusowych. Obowiązkowe logi w tym dziale: trzy z FRST + Gmer.

Otworzono e-mail od fałszywego dhl

Postprzez Lurtzek 06 Kwi 2017, 09:53

reklama
Krótki opis problemu: coś podszywające się pod DHL rozsyła maile z linkiem licząc, że ktoś to otworzy. Pech chciał, że trafiło to na Panią, która myśląc, że faktycznie została zamówiona jakaś przesyłka weszła w link. W linku nic się nie otworzyło (przynajmniej tak twierdzi - możliwe, że ESET zablokował możliwość otworzenia strony). Myśląc, że to coś u niej nie działa przesłała maila do kolejnej Pani, ta powtórzyła ten sam manewr z podobnym skutkiem (zainstalowany jest ten sam ESET) i dopiero wtedy wpadły na pomysł, żeby przyjść się zapytać o co w tym chodzi. Do tego drugiego komputera dostęp będę miał dopiero w piątek wieczorem, ale podobno działa normalnie. I ten również na pierwszy rzut oka nie daje żadnych niepokojących objawów. Jednak przeskanowanie gmerem zaowocowało informacją, że wykryto jakiś rootkit.

Proszę o przeanalizowanie załączonych logów z frst
Załączniki
Shortcut.txt
(30.95 KiB) Ściągnięto 52 razy
FRST.txt
(109.49 KiB) Ściągnięto 54 razy
Addition.txt
(22.43 KiB) Ściągnięto 62 razy
Lurtzek
~user
 
Posty: 4
Dołączenie: 06 Kwi 2017, 09:35



Otworzono e-mail od fałszywego dhl

Postprzez ordynat 06 Kwi 2017, 10:35

Na razie w logach nie widać infekcji.
Ale to może być cisza przed burzą, o ile ESET rzeczywiście tego nie zablokował.
Podobny temat, o zainfekowaniu poprzez fałszywego DHL > http://www.forumpc.pl/topic/431568-wirus-zaszyfrowane-pliki/
Masakra!


Kosmetyka:
Otwórz Notatnik i wklej w nim:
C:\ProgramData\Ament.ini
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Otworzono e-mail od fałszywego dhl

Postprzez Lurtzek 06 Kwi 2017, 11:06

Załączyłem Fixlog z kosmetyki.

Czyli jeżeli ESET nie zablokował strony to jedyne co pozostaje to czekać? Czy można jeszcze to jakoś sprawdzić?
Załączniki
Fixlog.txt
(1.13 KiB) Ściągnięto 57 razy
Lurtzek
~user
 
Posty: 4
Dołączenie: 06 Kwi 2017, 09:35



Otworzono e-mail od fałszywego dhl

Postprzez ordynat 06 Kwi 2017, 12:52

Czy można jeszcze to jakoś sprawdzić?

Nie.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Otworzono e-mail od fałszywego dhl

Postprzez Lurtzek 07 Kwi 2017, 19:18

Logi z tego drugiego komputera, o którym wspominałem.
Sytuacja analogiczna, ten sam mail, ten sam ESET, na pierwszy rzut oka nic się nie dzieje, ale poprosiłbym o sprawdzenie logów dla pewności.
Załączniki
Shortcut.txt
(38.68 KiB) Ściągnięto 61 razy
FRST.txt
(29.89 KiB) Ściągnięto 54 razy
Addition.txt
(21.68 KiB) Ściągnięto 52 razy
Lurtzek
~user
 
Posty: 4
Dołączenie: 06 Kwi 2017, 09:35



Otworzono e-mail od fałszywego dhl

Postprzez ordynat 07 Kwi 2017, 20:38

Nie ma żadnego śladu infekcji.

Tylko kosmetyka:
Otwórz Notatnik i wklej w nim:
Toolbar: HKU\S-1-5-21-1911479526-2717403628-3538796881-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
FF Extension: (Site Deployment Checker) - C:\Program Files (x86)\Mozilla Firefox\browser\features\deployment-checker@mozilla.org.xpi [2017-03-31] [Brak podpisu cyfrowego]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866



Otworzono e-mail od fałszywego dhl

Postprzez Lurtzek 08 Kwi 2017, 12:44

Fixlog z kosmetyki.
Dziękuję za pomoc
Załączniki
Fixlog.txt
(1.73 KiB) Ściągnięto 59 razy
Lurtzek
~user
 
Posty: 4
Dołączenie: 06 Kwi 2017, 09:35



Otworzono e-mail od fałszywego dhl

Postprzez ordynat 08 Kwi 2017, 12:55

OK, wykonane.
.
ordynat
~user
 
Posty: 4765
Dołączenie: 02 Kwi 2010, 11:18
Pochwały: 866




Powróć do Bezpieczeństwo

Kto jest na forum

Użytkownicy przeglądający to forum: Brak zarejestrowanych użytkowników oraz 19 gości