Пострадавшим от фишинговых страниц Сбербанк-Онлайн
Добрый день!
Сразу хочу оговориться и извиниться, я не успел прочитать правила подготовки новой темы и выполнил запуск AVZ с опцией “Выполнять лечение-Спросить у пол-ля». Правда никаких интерактивных вопросов в ходе проверки не последовало. Поэтому запуск по рекомендуемому вами скрипту оказался вторичным и лог, очевидно, не будет содержать ранее найденного. Прошу прошения, но именно поэтому для начала прилагаю не только 2 требуемых файла (система 64 бита), но и предыдущий файл лога AVZ с нестандартным именем, иначе картина будет неясной. Далее, хотел как можно более подробно описать в скриншотах ситуацию, но нельзя, очевидно. Может, после запросите…Тогда пока словесное описание:
Есть ноут Windows 10 64bit с IE11 и Chrome и десктоп с WinXP и FF, оба выходят попеременно через одно и тоже ADSL инет-соединение МГТС. На ноуте рабочая учетка с правами админа, но не встроенного аккаунта админа. Сразу скажу, на компьютере проблема не замечена. Проблемный – ноут, он используется для информационных, новостных целей, безобидной с виду игры, а также Сбербанк-онлайн(частота захода раз в месяц), по развлекательным сайтам не ходит, правда обменивается флэшкой с десктопом. На сотовом телефоне не установлено ни какого мобильного клиент-банка. Как таковых антивирусов, FW не было установлено ни где.
Внезапно однажды войдя на привычную страницу входа в сбербанк-онлайн, как всегда последовало СМС от банка с номера 900 с одноразовым кодом, а после входа такое же привычное уведомление СМС о факте входа, но увидел непривычную картину в виде подмененной страницы (кстати, именно такой. как я выяснил позже, нет на странице предупреждения Сбера).<скрин предполагается>
Я на тот момент не знал, что даже на сайте сбера есть описание фишинговых страниц и что такое существует в принципе, но подумал, что это некое нововведение и ввел 3 цифры номера. <скрин предполагается>
Тут уже подозрение резко переросло в тревогу, я разорвал соединение, ничего не продолжал, снял все эти картинки, а позже закрыл крестиком окно. Не описываю последовавшие блокировки карты и мобильного банка. Скажу только, что на проблемном ноуте сразу было установлено антивирусное ПО Касперского Free, в самых тяжелых настройках был пройдено сканирование, включая поиск возможных руткитов. Результат отрицательный, заражений нет. В ОС дополнительно включил нативный Firewall, уровень безопасности в IE выставлен Выше среднего. Плагин Касперского для проверки ssl-сертификатов включен как в iE, так и в FF.
Тем не менее, уже после перевыпуска новой карты, а также связанного с этим получения новых аутентификационных данных для сб-онлайн я вновь попытался зайти с этого ноута в систему. Значок ssl-сайта был зеленым, сертификат банка проверен Касперским (это возникло от внедренного плагина?) и подтвержден. Тем не менее, в следующих попытках входа он выглядел как в аттаче (а ведь легитимный сайт сбера защищен вроде Thawte и период действия сертификата не тот), тут пример недоступности страницы регистрации по нажатию одноименной кнопки фишингового сайта.<скрин предполагается>
Снял исходный код страницы, url которой всегда выглядит вот так: https://online.sberbank.ru/PhizIC/co...44746fd059a536
или так https://online.sberbank.ru/PhizIC/co...bf06acd967de3a
Первый вариант при заходе Firefox, второй IE. Сам исходный код файла way4.do, если интересно, готов приложить.
Важный нюанс. С использованием того же провайдера, но на компьютере, который также был протестирован на предмет вирусов тем же бесплатным антивирусом и также ничего не было найдено, в т.ч. и AutoConfigURL, был сделан удачный пробный заход с новыми аутентф. данными через FF в личный кабинет сб-онлайн. Все было удачно, без фишинговых страниц. Причем тексты пар СМС, соответствующие успешному входу и неуспешному (на зараженном ноуте) полностью идентичны, за исключением собственно паролей, конечно.
ТЕПЕРЬ о ТОМ, ЧТО СДЕЛАНО до прочтения правил, ибо сам форум был найден позже.
Прогнал AVZ 4.46, предварительно сделав из меню Файл-Резервное копирование снимок до лечения на всякий случай. Лог приложил бы, да нельзя пока. Из серьезного, как мне кажется , он нашел заполненный каким-то piterame.com AutoConfigURL в текущем аккаунте и удалил его. НО!! Он так излечил мне систему, что, во-первых, собственно проблема все равно осталась в FF, а вот IE вообще не открывает никакую страницу в инете: вводишь абсолютно любой url и ноль реакции ,никаких шибок на экране. Рядом живущий FF все открывает. Может восстановить файл User_iE_<дата>.reg или откатить еще как-то?
Прогнал также hijack, ничего не фикся , лог прилагаю.
Файл хостов содержал единственную незакоменченную запись со 127,0,0,1 unusualperson.com, но дата модификации файла старая, гораздо до возникновения проблемы, но на всякий случай закоментарил и её.
Что изменилось при входе единственно работающего на зараженном ноуте браузера FF после лечения AVZ? Это то, что не поступает второго СМС от банка о факте успешного входа, как было ранее…
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) fuzzy, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Спасибо за скорый отклик!
Что характерно, я точно смотрел ,что ни в ветке HKCU, ни в ветке соответствующего пользователя {......} не было ключа AutoConfigURL. И даже при его отсутствии проблема сохранялась, и IE к тому же не работал вообще. Прогон FRST вновь выявил гадость. Ну, убрал...
p.s. извините, не вижу , как в быстром, а не расширенном режиме ответа прикреплять Требуемые файлы?
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Сообщите, что с проблемой.
Сообщение от fuzzy
p.s. извините, не вижу , как в быстром, а не расширенном режиме ответа прикреплять Требуемые файлы?
1. Браузер IE по-прежнему не открывает ни один сайт
2. в HKCU и HKEY_users вновь прописаны http://piterame.com/OlShm96a/9CnD2w.euk, именно Http, а не hxxp, т.е. HKU\S-1-5-21-1422821301-2940809417-614508225-1000\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\\AutoConfigURL
3. лог прикладываю
4. по-прежнему существует непустой:
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVer sion\Internet Settings\Connections\\DefaultConnectionSettings
5. на месте удаляемого HKU\S-1-5-21-1422821301-2940809417-614508225-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Connections\\DefaultConnectionSettings присутствует странное и заполненное двоичным значением имя некоего параметра в виде 3х ромбиков со знаками вопроса внутри
6. HKU\S-1-5-21-1422821301-2940809417-614508225-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Int ernet Settings\Connections\\SavedLegacySettings благополучно осталось нетронутым
7. HKLM\Software\WOW6432Node\Microsoft\Windows\Curren tVersion\Run\\ - Что именно удалялось, не ясно. Но по факту сейчас там есть ключи от HP, Java и ATI.
Как вы смотрите вот на такое с точки зрения доп. шагов по удалению в safemode не только Autoconfigurl, но и параметра ProxyEnable и ProxyServer (у меня его нет), и снятие автоопределение настроек в свойствах подключения IE: https://www.youtube.com/watch?v=5cxc9zuMi1g
Последний раз редактировалось fuzzy; 23.05.2016 в 12:42.
Как вы смотрите вот на такое с точки зрения доп. шагов по удалению в safemode не только Autoconfigurl, но и параметра ProxyEnable и ProxyServer (у меня его нет), и снятие автоопределение настроек в свойствах подключения IE:
Думаю, простое обновление не поможет.
Компьютер в домене? Какие-либо групповые политики установлены? Если нет -примените такой fixlist.txt:
Что Вы имели в виду под обновлением? Каким? В ролике вроде бы ничего про это, только про совет удалять ключи ProxyEnable и ProxyServer. Я про них и спросил.
Домашний компьютер не в домене, какие-либо групповые политики специально мной не устанавливались, поэтому выполнил Ваш новый фикс. Перегруз. Сразу в реестр, но там вновь сидит AutoconfigURL в 2х местах, видимо никак не мувится фиксом...
Далее обрадовался - IE однократно после установления инет-соединения вышел на сайт, наобум взятый из избранного. Но рано, через несколько секунд уже не захотел ничего открывать.
В общем все по-прежнему. Дело серьезное? Другие советуемые на форуме в схожих ветках фишинга утилиты не помогут?
Отключите до перезагрузки антивирус, закройте все браузеры, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Autoconfig Url нет ни в одном из 2х мест в реестре уже спустя 5 мин после загрузки.
Но проблема с не открытием IE любого сайта остается.
Новое же то, что теперь в Chrome при входе по одноименной кнопке в Сбербанк-онлайн сам браузер пишет, что соединение не секьюрно, что ssl-сертификат недействительный, вижу ,что issuer неверный, и https в адресной строке перечеркнут. Кроме того, как и ранее кнопка Регистрация рядом со входом сбера ведет якобы на несуществующую страницу. Всего этого безобразия нет на действительном сайте Сбербанка.
Что делать далее?
Не помогает, ситуация никак не изменилась по отношению к каждому браузеру. Намеренно ввожу сайты, на которых ранее вообще не бывал никогда. Мне кажется, в отношении IE стал какой-то глобальный запрет в настройках Windows.
И фишинг несмотря на отсутствие удаленной причины не побежден.
Может еще CCleaner прогнать дополнительно?
Ранее ,еще перед началом обращения на форум я предварительно перед лечением AVZ сделал бэкап текущего состояния. На тот момент IE был хотя бы рабочим в части открытия сайтов. Бэкап состоит из нескольких .reg файлов, в частности из User_IE_20160522-144932.reg. Целесообразно восстановить его полностью или можно прислать вначале для анализа? Только вот даже маленький не прикрепляется, у меня достигнут какой-то лимит...
Последний раз редактировалось fuzzy; 24.05.2016 в 00:41.
Плохая новость. Сегодня загрузился, вновь AutoconfigUrl в 2х местах.
Действительно существует лимит кол-ва закачанных файлов или ограничение по общему их размеру от одного пользователя? Нельзя ли мне удалить часть из них как Вами уже просмотренных?
Залил на rghost.ru ( http://rgho.st/8yFhP88bg ), время хранения файла архива со всеми сделанными avz reg-файлами предварительного бэкапа 5 дней.
Также залил http://rgho.st/8S4jdBtxF всю ветку Internet Settings реестра, вдруг какие-то еще ключи там дадут наводку...
Инструмент очистки хрома написал "Ничего не найдено" и в конце также предложил сделать сброс своих настроек ,что я уже делал.
И еще, по форуму сайта. Каков период таймаута бездействия после залогинивания на форум и в процессе написания и подготовки сообщения? Такое ощущение, что он катастрофически мал, постоянно в процессе подготовки Вам сообщения натыкаюсь на отсутствие прав дальнейшего редактирования или сохранения, приходится logoff/logon на форум.
- - - - -Добавлено - - - - -
Я не прекращаю попыток бороться с этой заразой, но я уже нервничаю.
Дополнительная информация. Новые файлы залил http://rgho.st/8LYWgCj4L
Это найдено проверкой реестра из-под AVZ.
Уже позже натолкнулся на такую же проблему у иностранцев (с выявленными мною тоже ключами), которые и реанимируют гадость при каждой новой загрузке.
Забэкапил подозрительное и удалил. Службу "Вспомогательная служба IP", ответственную за iphlpsvc, остановил и запретил. Без нее Интернет на IPv4 работает, в т.ч. на https, но почему-то не на все сайты. Например, сотовый оператор МТС и некий банк в ЛК дают зеленый ssl-сертификат, а вот Сбер и ВТБ - предупреждение системы безопасности.
iphlpsvc-Proxymgr.reg это тот кусок реестра, который пока остался вместе с CLSID-ами в HKLM.
Перегрузился. Опять autoconfigurl везде!!!!
Тогда забэкапил на всякий случай подветку ProxyMgr и удалил под корень эти 2 CLSID-а в HKLM, возможно и они причина возрождения.
Перегрузился. Реестр пока везде чист. НО!!! По-прежнему не могу открыть IE ничего, а Chrome натыкается на незащищенную страницу Сбера.
Я в отчаянии.
- - - - -Добавлено - - - - -
Правильно ли я понял ,что общение по данной теме закончено со вашей стороны?
Последний раз редактировалось fuzzy; 24.05.2016 в 11:53.
Проверил, 0 угроз. Скоро перепробую все ваши утилиты
По поводу плюсового сервиса ,я уже туда писал через форму, до сих пор нет ответа. Вопрос был, как понимать отсутствие среди списка поддерживаемых платформ Windows 10?
Последний раз редактировалось fuzzy; 24.05.2016 в 20:09.
Я могу сделать, но я фактически уже удалил ,как писал выше,в реестре эти 2 классида как из CCS, так и из копии CS001. И перегружался. Твари больше нигде в реестре нет, но и результата работоспособности тоже, ибо видимое проявление заразы осталось прежним ,точно также как и мертвость IE!
Все-таки пробовать через FRST?