Pomozte odstranit infekci.

[Rudy]

1. Nevím, odkud byla ta hláška o tokenu. Tohle není od antiviru.
2. Proč se Avira chová tak, jak se chová vám může vysvětlit jen technická podpora Aviry. Tohle nevím, dosud si u nás na to nikdo nestěžoval.
3. Ty registry patří UserAssist. Nevím, co tím má Avira na mysli, ale v každém případě váš PC zavirován není. Kdybyste si nainstaloval jiný AV, hlášky by buď zmizely, nebo by se týkaly něčeho jiného. Za sebe mohu říci, že váš PC je čistý.

[SIP52]

Několik dní bylo vše v pořádku. Už jsem se radoval. Ale zdá se, že je vše zpět. První věc, kterou jsem zaznamenal, byl pohyb v Průzkumníku Windows.
Posuvník na levém panelu se třese a prudce se pohybuje. Natočil jsem video a umístil ho na službu hostování souborů, protože váží více než 100 MB.
Při natáčení videa nedošlo k žádnému dotyku myši ani klávesnice. Druhým znakem je chování přihlašovacího okna na hostingu cPanel.
Několik dní bylo vše v pořádku. Žádné červené bannery nad logem. Dnes ráno jsem se přihlásil bez zadání hesla, což je velmi zvláštní a znepokojilo mě to.
Poté, co jsem natočil video, bylo to opravdu špatné. Když jsem se přihlásil do cPanelu, znovu jsem obdržel červený banner s oznámením, že mám neplatný token, což nebylo po všechny ty dny po ošetření. Pro mě je to signál, že cPanel byl přihlášen, ačkoliv jsem si před pár dny změnil heslo.

Zde je odkaz na video zveřejněné na službě hostování souborů:
https://fex.net/ru/s/fptop4k

Dojem je, že po léčbě infekce zmizela, ale pak se vrátila. Nebo byla nějaká pauza v akci.

Kaspesky nic nenašel. Je možné léčebný postup opakovat?

[Rudy]

Léčebný opostup je samozřejmě možné opakovat, domnívám se ale, že to bude zbytečné. Problém může být i v samotném systému. Video stahovat nebudu, ctějí po mne číslo mobilníto telefonu a to nemíním nikde uvádět z bezpečnostních důvodů. Zeptám se takto:

1. Je systém pravidelně aktualizován?
2. jsou nainstalovány všechny ovladače hardwaru a jsou aktuální?

[SIP52]

Nevěděl jsem, že se tato služba hostování souborů chová tak špatně. Dám to na Disk Google a pošlu Vam odkaz.
Jak jsem psal, byla provedena kompletní reinstalace Windows 10 Pro z cloudu a všechna data byla kompletně smazána. Jediná věc, kterou jsem během přeinstalace neudělal, bylo, že jsem nepožádal o formátování systémového oddílu. Poté byly nainstalovány všechny aktualizace. V současné době je systém ve své nejnovější verzi.
Po ošetření jsem nainstaloval nejnovější ovladače odtud:

https://www.gigabyte.com/Motherboard/Z5 ... -dl-driver

Instalováno:

Ovladač zvuku Realtek HD
OS: Windows 11 64bit, Windows 10 64bit
[6.0.9235.1]

Intel Serial I/O ovladač
OS: Windows 11 64bit, Windows 10 64bit
[30 100 2129,8]

Firmware Intel Management Engine
OS: Windows 11 64bit, Windows 10 64bit
[2129.62.62.0]

Intel Serial I/O ovladač
(Poznámka) Podporováno Win10 20H2.
OS: Windows 10 64bit
[30.100.2051.37]

Instalace Intel INF
(Poznámka) Podporováno Win10 20H2.
OS: Windows 10 64bit
[10.1.18634.8254]

Realtek LAN ovladač
OS: Windows 10 64bit
[10.068.0815.2023]

Technologie Intel Rapid Storage
OS: Windows 11 64bit, Windows 10 64bit
[18.6.1.1016]

[SIP52]

Zde je odkaz na soubor na Disku Google.

https://drive.google.com/file/d/1Qkkv9p ... drive_link

[SIP52]

Aktualizoval jsem BIOS na nejnovější verzi F10, když zjistil, že je systém infikován.

[altrok]

Projeď PC ještě tímto https://download.eset.com/com/eset/tool ... canner.exe

Se vším souhlasím s Rudym. Defender se vypíná, protože vidí druhý AV, což je dobře. Pokud by tak neudělal, mohlo by dojít až k nestabilitě systému - BSOD apod.

Systémové logy ohledně Aviry už řešili ostatní a zdá se, že nejsi první, komu se to děje https://www.reddit.com/r/techsupport/co ... ?rdt=49747

Až ti zase takhle začne blbnout myš, zkus ji fyzicky odpojit z PC (zanesený optický senzor/poškozený kabel se chovají stejně). Ještě mě napadla kolize se Zemana antiloggerem...

Žádnou persistenci ani aktivni havěť v logách nevidím.

Kdo nebo jak jsi zjistil, že je systém infikován před aktualizací BIOSu? Nějaký konkrétní název malwaru máš? BIOS máš už v prvním logu aktuální. Kdy jsi ho aktualizoval? Zranitelnost LogoFail je zákeřná, ale upřímně jsem se s jejím exploitováním ještě nesetkal.

Logy nám nepřekládej. Nech je klidně v azbuce.

[SIP52]

Infekce systému byla odhalena neustálým odcizením přihlašovacích hesel hostingu k panelu hostingového klienta a cPanelu.
V protokolech FTP přístupu jsem našel IP adresy jiných lidí s přístupem pomocí hesla. Operace - prohlížení a úpravy souboru .htaccess.
IP různých umístění. V poslední fázi hacker změnil hostitelská hesla s mou IP a nemohl jsem se přihlásit ani do klientského panelu, ani do cPanelu.
Podpora hostingu se podívala na protokoly a řekla mi, že změny byly provedeny z IP adresy, ze které jsem s nimi komunikoval. Řekli mi čas, kdy ke změně došlo. Věděl jsem jistě, že jsem tehdy hesla nezměnil. Proč dělat takové hlouposti, nechápu.
Jednou jsem zaznamenal změnu IP do Ostravy, ačkoliv jsem v Praze. Nevím, možná to byl trik Vodafonu. Nechali klienty migrovat na IPv6.
Bohužel při načítání se BIOS na kontrolní součet nepodíval a neporovnával. U GIGABYTE se kontrolní součet zobrazí na monitoru bezprostředně před načtením do čipu.
Můžu přeflashovat, ale z tohoto postupu mi běhá mráz po zádech.

Měl jsem tuto verzi o myši. Posouvání však vyžaduje řadu impulzů, které se objevují při posouvání kolečka. Odkud se bere, když je myš nehybná? Ale určitě se na to podívám.
Než jsem vás kontaktoval, spustil jsem v systému Eset. Nic neviděl. Zopakuji a oznámím výsledky.

Poslal jsem Aviru opakovanou žádost. Stále doufám, že dostanu odpověď.

[SIP52]

Yeset našel v poště dva objekty.

05.11.2024 0:09:05
Проскановано файлів: 439726
Виявлені файли: 3
Очищені файли: 8
Загальний час сканування 00:31:48
Статус сканування: Завершено
C:\Users\Serhii\AppData\Roaming\Thunderbird\Profiles\uke9ml5u.default-release\ImapMail\imap.gmail-1.com\[Gmail].sbd\Вся почта PHP/Obfuscated.F trojan unable to clean

C:\Users\Serhii\AppData\Roaming\Thunderbird\Profiles\uke9ml5u.default-release\ImapMail\imap.gmail-1.com\[Gmail].sbd\Отправленные PHP/Obfuscated.F trojan unable to clean

C:\Users\Serhii\AppData\Roaming\Thunderbird\Profiles\uke9ml5u.default-release\ImapMail\uashared34.twinservers.net\INBOX multiple detections,HTML/Phishing.Gen trojan,HTML/Phishing.Adobe.IZ trojan contained infected files

Pokud jsem pochopil, jeden trojan je v odchozí poště jednoho z účtů gmail a druhý je v příchozí poště na serveru.
Bohužel není uvedeno v jakém dopise. Možná dokonce takto reaguje na soubor PHP připojený k poště? Dnes jsem byl hloupý a poslal jsem php jako přílohu dopisu.
V e-mailech nikdy nebyly žádné jiné soubory php.

V době léčby nebyl Thunderbird ještě nainstalován.
Mám mnoho poštovních schránek. Proto jsem po instalaci Thunderbirdu nahradil složku Thunderbird čistého systému složkou Thunderbird infikovaného systému, což jsem obvykle dělal. I když existují trojan, může to způsobit infekci celého systému? Myslím, že ne. Pokud přílohu e-mailu nikdo neotevře, nebude aktivována. Nemá smysl mazat soubory; dopisy stejně přijdou. IMAP.

[SIP52]

Myslím, že verzi vlivu myši lze zahodit. Aby to mělo efekt, musíte umístit kurzor nad rámeček panelu bočního pohledu. Tím se zvýrazní soubor nebo složka. Teprve poté může panel akceptovat ovládání myší. To se ale nestalo. Nikdo nepohnul kurzorem.
Našel jsem toto téma

https://borncity.com/win/2019/07/28/win ... orer-view/

Ale to je všechno nesmysl.

Hosting včera odpoledne a dnes ráno zaznamenal autorizaci a přihlášení do cPanelu z adresy 86.49.235.66. Toto je IP adresa, kterou již znám. Přihlašovací heslo cPanel bylo změněno po dezinfekci systému dne 2.11.24. To znamená, že s největší pravděpodobností léčba nepomohla a systém zůstal po léčbě infikován. Ale může existovat možnost následné infekce.

[SIP52]

Promiňte.
Informace o IP jsou nesprávné. Toto je moje IP adresa. Jde jen o to, že při používání služeb MyIP Lookup poskytují chybná geolokační data. Dnes tedy neexistuje žádný důkaz potvrzující použití změněného hesla při přihlašování do cPanelu.

Podezřelé pak zůstává pouze podivné chování Průzkumníka Windows, které jsem natočil a které však již delší dobu zaznamenalo mnoho uživatelů Windows 10, a neočekávaná, bezdůvodná absence bezpečnostního tokenu při otevírání okna cPanel . Jednak se může jednat o chybu ve Windows a jednak o důsledek infekce systému těchto uživatelů.

Asi jsem neměl panikařit. Budu sledovat dál.
Co mám dělat s těmito dvěma trojskými koňmi detekovanými Esetem při skenování serverové pošty a složek gmail?
Bezpečně zkontroluji poštu serveru v rozhraní serveru a odstraním vše, co by mohlo být podezřelé. V odchozí poště mohu smazat soubor php, který jsem poslal. Možná je tato zpráva kvůli němu.
Ještě jednou se omlouvám za vyrušení. Díky za pomoc.

[altrok]

Pro mě je tady moc nejasností a možná až paranoia (technické problémy, které možná nesprávně připisuješ malwaru).

Pokud na cPanelu chybí bezpečnostní token, může se jednat o chybu na straně poskytovatele hostingu. https://stackoverflow.com/questions/601 ... ur-request

Jaký máš router? Je plně aktualizovaný? Z jakých zařízení se do cPanelu přihlašuješ? Jen z tohoto PC?
Nemáš možnost používat do cPanelu jiné zařízení nebo alespoň z jiné sítě/wifi? Např. hotspot z mobilu...

Nálezy ESETu jsou neškodné - budou to podle mě přílohy mailů (např. i ve složce spam), takže je můžeš mazat, ale nemusíš.


HKEY_USERS\S-1-5-21-3828980241-3355796619-25749516-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}\Count\
v tomto klíči jsou zástupci (.lnk), které jsi nedávno spouštěl. Jsou nečitelné, ale dají se zobrazit utilitou UserAssist od Nirsoftu. Více info zde https://windowsexplored.com/2012/02/06/ ... n-windows/

Tady bych zádrhel nehledal.

[SIP52]

Ano, jsem si vědom nebezpečí paranoie a snažím se být při posuzování událostí co nejkritičtější a brát v úvahu pouze nevyvratitelné okolnosti.
1. Je těžké nepropadnout panice, když se panel Průzkumníka Windows začne pohybovat před vašima očima a střídavě se rozsvěcí zeleně a pak zhasne...
2. Pokud po několik dní nejsou nad logem cPanel žádné červené bannery a najednou se objeví takový banner s nápisem o absenci bezpečnostního tokenu.
3. Pokud po vypnutí a zapnutí počítače náhle zjistím, že v okně, které se otevře, jsem ve správci souborů cPanel. Bez přihlášení.

Používám router od Vodafonu. Má nejvíce ořezané menu, ve kterém není možnost aktualizace firmwaru. U modelu routeru TG3442DE jsem ani nenašel odkaz na žádný firmware.
Mám pouze ethernetové připojení.
Do cPanelu se přihlašuji pouze z tohoto počítače.
Zbytek zařízení je připojen přes WiFi. Zkontroloval jsem, neexistují žádná zahraniční spojení. Použití smartphonu není reálné, protože v souvislosti s vývojem webu často potřebujete stahovat archivy souborů, importovat a někdy exportovat databázi v phpMyAdmin.

Budu se dívat. Pokud problém přetrvává, dříve nebo později se objeví. Čekám na Avirinu odpověď ohledně porušení integrity souboru.

[altrok]

Ahoj, nastala nějaká změna nebo pozoruješ stále stejné problémy?

[SIP52]

Ahoj,
Od léčby jsem nezaznamenal žádné známky infekce.
Zdá se, že k pohybům v Průzkumníkovi Windows došlo pouze tehdy, když byl do USB portu vložen pouze jeden konkrétní flash disk. Kontrola souborů, přeformátování neodhalilo žádné problémy. Flash disk má vestavěnou LED diodu, která dříve periodicky blikala i přes to, že na disk nebyly žádné přístupy. Nevšiml jsem si, kdy to přestalo. Teď už to nevidím. Možnost bezkontaktu v konektoru USB lze vyloučit. Vyzkoušeno v různých konektorech.
Na webovém serveru na mém hostingu cPanel výrazně zúžil možnosti řízení přístupu. Přístupový protokol FTP již pro mě není dostupný. Přístupový protokol cPanel nevyvolává žádné podezření.
Od společnosti AVIRA nebylo možné získat vysvětlení o důvodech zpráv o narušení integrity jejich souboru. Opakované požadavky v chatu doprovází nespočet slibů, že technický tým poskytne odpověď, ale odpověď nikdy nepřijde. Sami žádosti uzavírají jako dokončené. Napsal jsem dopis na jejich oficiální e-mailovou adresu, ale ani odtamtud jsem nedostal odpověď. S tak hanebnou technickou podporou jsem se ještě nesetkal.
Momentálně vše vypadá dobře. Děkuju.