Keylogger i niemożność aktywowania osłon Avasta

[Soheros]

Witam serdecznie !

 

Wczoraj wieczorem zwiedzając internet na pewnej stronie związanej z grą w którą gram odruchowo uruchomiłem applet Javy. Jakiś czas później wszedłem na konto gry online i rano zastałem je totalnie wyczyszczone. Powiem szczerze, nie mogę sobie przypomnieć jak ta strona się nazywała, bo trochę rzeczy przeglądałem wczoraj.

 

Infekcja na pewno nastąpiła wtedy, ponieważ wcześniej nie miałem żadnych problemów z taka ingerencją. Kij z kontem w grze, bardziej się boję o bardziej 'doraźne' rzeczy jak poczta i bank

 

W związku z tym wykonałem skany HitmanPro, chciałem też zainstalować Avasta i tutaj zaskoczenie, ponieważ pomimo udanej instalacji avasta nie mogę aktywować żadnej osłony ani wykonać żadnego skanu.

 

Bardzo proszę o pomoc.

 

W załączniku przesyłam logi

Extras.Txt

OTL.Txt

GMER.txt

[Soheros]

Kochani, wybaczcie mi proszę bezczelność, ale ponieważ temat wylądował na 4 stronie wyników, jako jedyny bez żadnej odpowiedzi w przeciągu 10 stron wstecz, boję się, że został zwyczajnie przeoczony i zaginął wśród rozwiązanych problemów.

 

Dlatego lekko chamsko, za co przepraszam, zrobię BUMP w górę

[picasso]

Lokalizacja tematu na stronie numer X nie ma znaczenia. Doskonale się orientujemy co mamy w dziale. Pewne tematy nie zawsze uzyskują natychmiastową odpowiedź, m.in. ze względu na przemyślenie sprawy. Są tematy, które robi się "z zamkniętymi oczami" jak robot, są i takie w których wymagany jest inny rodzaj uwagi.

 

 

Wczoraj wieczorem zwiedzając internet na pewnej stronie związanej z grą w którą gram odruchowo uruchomiłem applet Javy. Jakiś czas później wszedłem na konto gry online i rano zastałem je totalnie wyczyszczone. Powiem szczerze, nie mogę sobie przypomnieć jak ta strona się nazywała, bo trochę rzeczy przeglądałem wczoraj.

 

Co to za rodzaj gry? Raporty: nie widzę oczywistych znaków infekcji. Ale w logu do opisu wydarzeń przystaje ten podejrzany plik JAR, utworzony w pasującym zakresie czasowym:

 

[2012-08-15 22:37:28 | 000,769,571 | ---- | M] () -- C:\Documents and Settings\Firma\Dane aplikacji\java_u.jar

 

Brak widocznych odniesień startowych do tego pliku. Jedyne co można powiązać funkcyjnie, to ten wpis startujący Java:

 

O4 - HKU\S-1-5-21-4244129160-4208831090-855509822-1003..\Run: [Oracle Java] C:\WINDOWS\System32\javaw.exe (Oracle Corporation)
 
[2012-08-07 02:07:21 | 000,174,064 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\javaw.exe
[2012-08-07 02:07:21 | 000,174,064 | ---- | M] (Oracle Corporation) -- C:\WINDOWS\System32\java.exe

 

Mimo oznaczeń producenta nasuwa skojarzenia z wydarzeniami, ponieważ na Google znalazłam temat, w którym ktoś doświadczył wyczyszczenia kont i przejęcia e-mail, a w starcie log (z DDS) pokazywał taką oto niezdrową konstrukcję:

 

uRun: [Oracle Java] "c:\program files\java\jre6\bin\javaw.exe" -jar "c:\documents and settings\alvaro rodriguez\application data\java_u.jar"

 

Jak można zauważyć, dokładnie ten sam rodzaj pliku java_u.jar, uruchamiany za pomocą javaw.exe. Ponadto, na forum Avast ten plik występuje w kontekście zgłoszeń infekcyjnych URL:Mal: KLIK. Wnioski: usuwamy wpis startowy Java i podejrzany plik apletu (a komenda [emptytemp] zawiera podzbiór [emptyjava]):

 

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Oracle Java"=-
 
:Files
C:\Documents and Settings\Firma\Dane aplikacji\java_u.jar
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany i otworzy się log z wynikami usuwania.

 

2. Prewencyjnie przeinstaluj całą Java (deinstalacja + nowa deinstalacja). Co i tak by tu miało miejsce, gdyż posiadasz aktualnie wersję Java™ 7 Update 5, a już jest nowsza 6 i należy łatać.

 

3. Wygeneruj nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania z punktu 1.

 

 

chciałem też zainstalować Avasta i tutaj zaskoczenie, ponieważ pomimo udanej instalacji avasta nie mogę aktywować żadnej osłony ani wykonać żadnego skanu

 

Czy SpyShelter był już zainstalowany przez wprowadzeniem Avasta (log OTL sugeruje taką właśnie kolejność instalacji)? Czy sprawdzałeś jak się sprawy mają, gdy SpyShelter jest nieobecny? Do czego zmierzam: oba programy operują na sterownikach, być może konflikt.

 

 

.

[Soheros]

Witam!

 

Jeszcze raz przepraszam za to 'poganianie', nie znam zwyczajów Państwa pracy, bałem się po prostu, ze temat gdzieś uciekł, a temat bezpieczeństwa moich danych bankowych, mailowych oraz firmowych jest dla mnie nie ukrywam - dość drażliwy.

 

W załączniku przesyłam logi z OTL.

 

Po usunięciu SpySheltera i reinstalacji Avasta nie było żadnych problemów z załączeniem tegoż. Aż głupio, że nie potrafiłem połączyć tych dwóch faktów.

 

Java zgodnie z zaleceniami usunięta i zainstalowana ponownie.

 

Pozdrawiam serdecznie.

OTL_afterremove.txt

OTL_new.Txt

[picasso]

Wszystko zostało pomyślnie usunięte. Czynności końcowe:

 

1. Mini skrypt na kilka pustych wpisów. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VBoxNetFlt.sys -- (VBoxNetFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOCUME~1\Firma\USTAWI~1\Temp\cpuz135\cpuz135_x32.sys -- (cpuz135)
O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll File not found
O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll File not found
O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll File not found

 

Klik w Wykonaj skrypt.

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Do aktualizacje te aplikacje:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0141D498-16DA-4221-A529-1D7A64BE8B05}" = OpenOffice.org 3.3
"Foxit Reader_is1" = Foxit Reader
"Mozilla Firefox 4.0.1 (x86 pl)" = Mozilla Firefox 4.0.1 (x86 pl)

 

5. Na wszelki wypadek po usunięciu malware zmień hasła także w innych serwisach.

 

 

 

.