Podejrzenie przejęcia kontroli nad systemem

[barry]

Witam,

Problem wygląda następująco:

Pracuję na zdalnych serwerach łącząc się przez Zdalny Pulpit. W ostatnich dniach ktoś po mnie logował się na serwery i instalował tam keyloggery oraz trojany. Byłem jedyną osobą posiadającą dostęp do tych serwerów, a więc ktoś musiał w jakiś sposób przechwycić dane logowania. Podejrzewam, że w jakiś sposób uzyskał dostęp do mojego systemu - np. mógł się podszyć pod jakiegoś klienta i przesłać zainfekowaną aplikację wyglądającą identycznie jak te, z którymi pracuję (to tylko domysły). Komputer, na którym pracuje nie posiada publicznego IP, a więc wykluczam bezpośredni atak. Do komputera mam dostęp tylko ja, a więc atak musiał zostać przeprowadzony zdalnie.

 

Dodam, że niedawno złapałem trojana Reveton (tego od komunikaty 'Twój komputer został zablokowany przez policję...'), ale wątpię żeby to miało związek ze sprawą wycieku haseł. O obecności osoby, która włamuje się na serwery, na których pracuję wiem od dłuższego czasu, jednak teraz wiele czynników wskazuje na to, że w jakiś sposób dostała się do mojego systemu.

 

Załączam logi z OTL

Uwagi: na komputerze instalowany był kiedyś przeze mnie keylogger runrefog. Na dysku mam również pliki, które zostawił hacker na serwerze - zapewne znajdzie się to w logach.

Extras.Txt

OTL.Txt

otl_removing.txt

gmer.txt

OTL_new.Txt

[picasso]

Zabrakło obowiązkowego raportu z GMER. Przed uruchomieniem GMER należy się pozbyć emulatorów napędów wirtualnych i sterownika SPTD:

 

DRV:64bit: - [2011-12-12 14:53:05 | 000,503,352 | ---- | M] () [Kernel | Disabled | Running] -- C:\Windows\SysNative\Drivers\sptd.sys -- (sptd)

 

W logach z OTL zaś nie ma widzialnych czynnych śladów infekcji tego pokroju, są tylko wpisy puste i odpadki po "policyjnym" Revertonie. W autoryzacjach zapory jest jednak znak, że przechodził KGB Keylogger, choć to jedyny widoczny element:

 

========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{603E3A4C-F042-4425-8A55-AE474559240D}" = dir=in | app=c:\windows\syswow64\mpk\mpkview.exe | 
"{BC4776B4-88DC-4DC0-BC79-8E60FD213DD2}" = dir=in | app=c:\windows\syswow64\mpk\mpk.exe |

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKU\S-1-5-21-1899463798-268619798-3550370604-1000\..\Toolbar\WebBrowser: (no name) - {8FF5E180-ABDE-46EB-B09E-D2AAB95CABE3} - No CLSID value found.
O4 - HKLM..\Run: [Pangolin]  File not found
O20 - HKLM Winlogon: Shell - (C:\PROGRA~3\dsgsdgdsgdsgw.bat) -  File not found
 
:Files
netsh advfirewall reset /C
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

2. Za dużo antywirusów, aktualnie działają równolegle Ad-Aware Antivirus + MSSE. Jeden z nich odinstaluj.

 

3. Zrób nowy log OTL z opcji Skanuj (już bez Extras) oraz zaległy GMER. Dołącz log z usuwania OTL z punktu 1.

 

 

 

.

[barry]

Logi gmer załączone powyżej (w pierwszym poscie).

Wykonałem skrypt - logi znajdują się w pliku otl_removing.txt

 

Po wykonaniu skryptu zrobiłem nowe skanowanie - plik OTL_new.txt

[picasso]

Ale logi po zadanych akcjach powinieneś wstawić w nowym poście a nie pierwszym, brak liniowości działań.

 

Zadania ze skryptem wykonane. Mówiłam, że za dużo antywirusów (Ad-Aware Antivirus + MSSE) i jeden miał być odinstalowany, a log z OTL celowo robiony po deinstalacji, by można było ocenić kompletność tejże. Widzę że doinstalowałeś kolejny skaner Spybot - Search & Destroy 2, to skaner, który ma lata świetności za sobą. W GMER nic podejrzanego. Z nowego OTL nic dodatkowego nie wynika. Jak mówię, ja tu nie widzę czynnych oznak keyloggera.

 

 

.