Tinba Botnet


(Gev) #1

Witam serdecznie,

proszę o pomoc przy usunięciu tego cholerstwa. Pierwszy raz wykryłem go w czerwcu na komputerze dość ważnej osoby w mojej firmie. Wykrył go fortigate - wtedy jeszcze z aktualnymi definicjami (od września do przyszłego miesiąca mam definicje z września, z powodu zakończenia licencji).

Przy pomocy Malwarebytes, Combofixa, CCleanera i zewnętrznego skanera udało mi się usunąć Tinbę, tak mi się wydawało. Kolejna infekcja wykryta przez FG 2 msc temu, i teraz kolejna- tym razem dołożyłem wszelkich starań aby antywirus Symantec Endpoint- klient niezarządzany był aktualny (poprzedni informatyk miał zainstalowaną przestarzałą wersję do czego doszedłem dopiero po jakimś czasie).  Także tym razem Symantec co kilka minut wyskakuje z informacją o blokowaniu Tinby oraz Trojan Backdoor activity + różne IP- pełny skan wykrywa tego drugiego wraz z Officowym m97downloader (ataki przy użyciu makr)- usuwa je i wszystkie takie zagrożenia sa w folderze appdata od thunderbirda - także z tego co wnioskuje nie są to aktywne zagrożenia a raczej części maili . Prosiłbym o jakaś poradę jak sobie z tym poradzić, na tą chwilę przerzuciłem wszystkie potrzebne pliki- załączyłem skanowanie i czekam na wyniki. Dałem tej osobie nowy komputer- czysty- ale chciałbym zapobiec powrotowi tinby z plików prywatnych. 

Jak tylko będę miał możliwość zamieszczę screeny z komunikatów symanteca. Ale prosiłbym może o jakieś porady co z tą Tinbą i jak to ugryźć, bo widocznie moja wiedza nie wystarcza skoro to już kolejny jej powrót na ostatni komputer. Dodatkowo jeśli jest możliwość, to proszę o informację - czy Tinba mogła wniknąć wewnątrz sieci, do innego komputera na przykład- mimo faktu posiadania FG i płatnego Symanteca.

Pozdrawiam.

 

EDIT: zauważyłem w regulaminie o raporcie z  FRST - umieszczę go za jakieś 10 minut (jednak troszkę wiecej : ))

kolejność: addition, shortcut, frst

Z góry dziękuję za pomoc.


(Spandau) #2

Opis trojana wraz ze sposobami zabezpieczenia znajdziesz tutaj https://www.symantec.com/security_response/writeup.jsp?docid=2012-060111-3803-99&tabid=2

Co znajduje sie w katalogach:


(Gev) #3

 

W podanych katalogach są pliki .dat utworzone 2015.10.19 i 24

54AEC03:

log, ntf, web - po otwarciu w notepadzie normalne krzaczki, chińskie krzaczki

w 14B0EF40 log.dat

w Roaming tak samo, tylko foldery są puste.

Dziękuję za poświęcony czas.

(logi z admina domenowego, to chyba nie ma znaczenia- czy logować się na lokalnym?)


(Spandau) #4

Wyłączona funkcja przywracania systemu, czy to celowe działanie z Twojej strony?

Przez Panel sterowania Aplet Dodaj/Usuń Programy odinstaluj nieaktualne:

Zainstaluj aktualne:

Java https://www.java.com/pl/download/

 

Do aktualizacji także:

 

Wklej do notatnika:

CloseProcesses:
S3 MSICDSetup; \??\D:\CDriver.sys [X]
BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll [2014-03-27] (Oracle Corporation)
BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll [2014-03-27] (Oracle Corporation)
Toolbar: HKU\S-1-5-21-3239057826-1869218081-459712074-500 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Brak pliku
2015-10-20 07:49 - 2015-11-02 13:27 - 00000000 ___HD C:\Users\123\AppData\Roaming\14B0EF40
2015-10-20 07:49 - 2015-10-20 07:49 - 00000000 ___HD C:\Users\123\AppData\LocalLow\14B0EF40
2015-11-02 13:27 - 2015-07-23 12:38 - 00000000 ___HD C:\Users\123\AppData\Roaming\54A4EC03
EmptyTemp:

Plik zapisz jako fixlist.txt i umieść w tym samym katalogu co FRST Uruchom FRST klikasz Napraw Raport z usuwania pokaż na forum. Następnie ponownie uruchom FRST klikasz Skanuj pokaż nowy raport FRST.txt na forum