Notoryczne włamania na konto w grze online

[Kacapek]

Witam. Ktoś cały czas włamuje mi się na konto w grze online. Nie pomaga zmiana hasła itp. Komputer jest dopiero co kupiony (jakieś 2 miechy temu) i praktycznie od początku ma anty wirusa Norton Internet Security. Skanowanie nim nie wykazało żadnych wirusów. Bardzo prosił bym o pomoc.

OTL.Txt

Extras.Txt

[picasso]

Duplikat logów usuwam, OTL albo DDS, a nie dwa. Zabrakło za to obowiązkowego raportu z GMER. HijackThis odinstaluj, program niezgodny z systemem 64-bit i pokazuje na nim głupoty.

 

Nie wypowiedziałeś się o jakiej grze mowa, czy instalowałewś do niej jakieś nieoficjalne boty bądź inne dodatki. W dostarczonych tu raportach brak oznak czynnej infekcji, ale GMER nie sprawdzony. Są tylko małe szczątki adware oraz te dwa niepewne katalogi:

 

[2013-03-30 22:50:51 | 000,000,000 | ---D | C] -- C:\Users\Karol\.IBot

[2013-03-30 14:31:37 | 000,000,000 | ---D | C] -- C:\drivers

 

Na razie doczyszczenie śmieci i weryfikacja katalogów:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-615916524-889856543-3989006773-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=117023&tt=5212_2&babsrc=SP_ss&mntrId=dc32f14f00000000000000ffefa737cc
IE - HKU\S-1-5-21-615916524-889856543-3989006773-1000\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = http://mystart.incredibar.com/mb203?a=6OyYAxeBv5&search={searchTerms}&i=26
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\PROGRAM FILES\IB UPDATER\FIREFOX
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}: C:\Program Files\IB Updater\Firefox
O2:64bit: - BHO: (no name) - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - No CLSID value found.
[2013-04-20 13:10:41 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee
[2013-04-06 17:24:03 | 000,000,000 | ---D | C] -- C:\ProgramData\SoftSafe
[2013-04-06 17:23:53 | 000,000,000 | ---D | C] -- C:\ProgramData\InstallMate
[2012-12-29 23:57:37 | 000,000,000 | ---D | M] -- C:\Users\Karol\AppData\Roaming\Babylon
[2012-12-29 23:57:51 | 000,002,349 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2013-04-14 12:04:24 | 000,002,120 | ---- | M] () -- C:\Users\Karol\AppData\Roaming\mozilla\firefox\profiles\gzrmns9b.default\searchplugins\MyStart Search.xml
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania. Przedstaw go.

 

3. Zrób nowe logi: OTL z opcji Skanuj (już bez Extras), GMER oraz do SystemLook x64 w oknie wklej:

 

:dir


C:\Users\Karol\.IBot /s

C:\drivers /s

 

Klik w Look.

 

 

 

.

[Kacapek]

Chodzi o grę Tibia (tak wiem żałosne). Na tym kompie (od kupna używam tylko tego) nie instalowałem żadnych botów, nie wchodziłem na jakieś dziwne strony o tej tematyce itp.

 

 To jest od bota od innej gry (Dark Orbit). Już usunąłem cały folder.

[2013-03-30 22:50:51 | 000,000,000 | ---D | C] -- C:\Users\Karol\.IBot

 

To jest od jakiś sterowników (ściągnięte z oficjalnej stronki lenovo).

[2013-03-30 14:31:37 | 000,000,000 | ---D | C] -- C:\drivers

 

 

OTL.Txt

AdwCleanerS1.txt

GMER.txt

SystemLook.txt

[picasso]

1. Co do czyszczenia śmieci adware, to tylko drobna poprawka. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
"{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Co do tych kradzieży haseł Tibia, czy to na pewno jedyny komputer z poziomu którego używana była gra i hasła? Na wszelki wypadek sprawdź stan plików systemowych. Wykonaj komendę sfc /scannow, następnie kolejną filtrującą wyniki do znaczników [sR]: KLIK. Przedstaw wynikowy raport.

 

 

 

 

.

[Kacapek]

Od kupna korzystam tylko i wyłącznie z tego komputera i ostatnie zmiany haseł robione były na tym kompie.

sfc.txt

[picasso]

SFC nic ciekawego nie robiło, przywróciło pliki naruszone jakąś kombinacją z aktywacją Windows. Bez związku z naszą sprawą. Ale to mnie nieco zastanawia, bo mówisz o zakupie komputera (to był używany czy nowy?) i obecnym NIS, co sugeruje fabryczny system z integracjami producenta. Jeżeli system legalny, to po co mieszać z aktywacją? Czy na pewno to jest oryginalny legalny system a nie pobrany z netu (takie mogą mieć backdoory)?

 

W kwestii przejmowania haseł nie za bardzo widzę tu trop. Ponoć tylko ten komputer używany i żadnych "lewych dodatków" do Tibia. Jeśli skanery nic nie wykrywają, a hasła są przejmowane i będzie to nadal zachodzić, nasuwa się cała reinstalacja systemu, bo jest możliwy keylogger niewykrywalny.

Zrób jeszcze pełny skan w Malwarebytes Anti-Malware.

 

 

 

.

[Kacapek]

Kompa kupiłem nowego. Nie miał zainstalowanego windowsa, były pliki instalacyjne na ukrytej partycji czy jakoś tak że przy pierwszym włączeniu instalowałem windowsa. Jakoś nie szło mi to, wkur... się i zainstalowałem pirata z neta.

 

Co do formata to musiał bym robić całego kompa czy tylko partycji C?

 

@edit

Zaraz dodam skan. Skan dodany. Jak widać nic nie wykryło. Teraz to już całkowicie nie mam pojęcia o co chodzi.

mbam-log-2013-04-25 (22-12-16).txt

[picasso]

Nie miał zainstalowanego windowsa, były pliki instalacyjne na ukrytej partycji czy jakoś tak że przy pierwszym włączeniu instalowałem windowsa. Jakoś nie szło mi to, wkur... się i zainstalowałem pirata z neta.

 

Pirat z netu jest podejrzany. Takie piraty mogą mieć wbudowane "furtki" czy keyloggery, mieć specjalne modyfikacje wewnętrzne by ciągnąć jakieś dane, nigdy nie ma pewności co instalujesz. Jak mówię, ja nie widzę tu żadnego jasnego tropu, skany nic nie widzą, problem kradzieży haseł jednak zachodzi. Tak więc obstaję za formatem C i reinstalacją Windows, z pewnego źródła. Pewnym źródłem jest firmowa partycja Recovery zawierająca legalny instalator. Opisz mi jaki był problem z instalacją systemu z Recovery.

 

 

 

.

[Kacapek]

Z formatem to już sobie poradzę. Wtedy na szybko potrzebowałem kompa i dla tego nie chciało mi się kombinować. Wielkie dzięki za pomoc. Flacha się należy, nawet cała skrzynka.