Mini Monitoring - Program szpiegowski w komputerze.

[edit]

Dzien dobry.Mialam juz wczoraj pisac w zwiazku z programem mini monitoring, ktory mialam zainstalowany. Byc moze cos sie jeszcze krylo, dlatego chcialam to skonsultowac na forum. Zrobilam potrzebne logi na noc zostawilam GMERA, rano juz nic nie mogalm praktycznie zrobic... bardzo spowolniony system, zuzycie procesora momentami dochodzilo do 90% a pliku stron 1,10 gb tylko przy wlaczonym komputerze.Strony internetowe wg sie nie otwieraja, nie mam pojecia co sie stalo... nic nie moge zrobic , teraz pisze z innego komputera. Prosze pomozcie.

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

[edit]

Robilam przywracanie systemu, parokrotnie, niestety nie powiodlo sie. W jedna noc komputer stal sie nie sprawny.. czy moze byc to wina skanowania GMER-em ?

[picasso]

Były tu używane programy: ComboFix (nie dostarczony log C:\ComboFix.txt) + AdwCleaner (nie dostarczone logi z katalogu C:\AdwCleaner). Na temat używania ComboFix: KLIK.

 

 

Zrobilam potrzebne logi na noc zostawilam GMERA, rano juz nic nie mogalm praktycznie zrobic... bardzo spowolniony system, zuzycie procesora momentami dochodzilo do 90% a pliku stron 1,10 gb tylko przy wlaczonym komputerze.Strony internetowe wg sie nie otwieraja, nie mam pojecia co sie stalo...

(...)

W jedna noc komputer stal sie nie sprawny.. czy moze byc to wina skanowania GMER-em ?

Spowolniony system: tak, to możliwe, że GMER się do tego przyczynił (przypadkowa degradacja transferu dysku z DMA do PIO). Zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

Ale nie tylko, brak dostępu do sieci może mieć całkiem inną konotację. Tu jest rozróba w programach zabezpieczających / skanujących. Mnóstwo skanerów używane, niepoprawnie odinstalowany program G Data, a jako świeża instalacja stoi COMODO Internet Security nie pierwszej nowości (dobry podejrzany dla problemów sieciowych). Pomijając, że samo COMODO to bardzo inwazyjny sieciowo program, jest tu jeszcze domontowany sterownik tap0901.sys (The OpenVPN Project), który prawdopodobnie jest częścią COMODO VPN.

 

 

Mialam juz wczoraj pisac w zwiazku z programem mini monitoring, ktory mialam zainstalowany. Byc moze cos sie jeszcze krylo, dlatego chcialam to skonsultowac na forum.

Ten program jest nadal aktywny, wpis Dyzmond Software w starcie i korespondujące foldery na dysku:

 

HKLM\...\Run: [dtmcfg] - C:\WINDOWS\system32\dtmcfg\dtmcfg.exe [1304576 2010-05-31] (Dyzmond Software)
 

2013-12-20 09:03 - 2014-01-06 18:54 - 00000000 __SHD C:\WINDOWS\system32\dtmcfg

2013-12-20 09:03 - 2013-12-20 09:16 - 00000000 __SHD C:\Documents and Settings\All Users\Dane aplikacji\dtmcfg

 

Ogólnie widzę tu: szczątki adware, szczątki programów skanujących, dysfunkcję systemowego WMI (FRST nie może pobrać listy procesów) objawioną takim oto błędem:

 

Application errors:

==================

Error: (01/01/2014 00:34:18 PM) (Source: SecurityCenter) (User: )

Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy.

 

I to jakiś modyfikowany nienaturalny Windows XP, powycinane usługi systemowe (Alerter, ERSvc, helpsvc, Messenger) i inne subtelne ślady.

 

 

---

Gdy uporasz się z w/w transferem dysku, przeprowadź działania podane poniżej:

 

1. Wejdź w Tryb awaryjny Windows. Zastosuj narzędzie usuwające G Data: AVCleaner.

 

2. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [dtmcfg] - C:\WINDOWS\system32\dtmcfg\dtmcfg.exe [1304576 2010-05-31] (Dyzmond Software)
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myhoome.com/
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myhoome.com/
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2002} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=876&systemid=2&apn_uid=2313075238934124&apn_dtid=IME002&o=APN10641&apn_ptnrs=AG2&q={searchTerms}
SearchScopes: HKCU - {12503EC9-CD77-4F88-A9DF-6B4CA6E603FC} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {41DEC4D4-99C4-4CE4-82A5-CC113490CA15} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2002} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=876&systemid=2&apn_uid=2313075238934124&apn_dtid=IME002&o=APN10641&apn_ptnrs=AG2&q={searchTerms}
CHR HKLM\...\Chrome\Extension: [aaaapkgbncoppllbmlhjinokkjioaelp] - C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\APN\GoogleCRXs\aaaapkgbncoppllbmlhjinokkjioaelp_7.14.1.0.crx
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
NETSVC: cqoujr -> No Registry Path.
R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [33112 2013-02-18] (AVG Technologies)
U0 bjso; C:\Windows\System32\drivers\maxdyhc.sys [54016 2014-01-07] ()
U0 hsccce; C:\Windows\System32\drivers\antgjxek.sys [54016 2014-01-07] ()
S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [x]
S3 BT; system32\DRIVERS\btnetdrv.sys [x]
S3 BTCOM; system32\DRIVERS\btcomport.sys [x]
S3 BTCOMBUS; System32\Drivers\btcombus.sys [x]
S3 Btcsrusb; System32\Drivers\btcusb.sys [x]
S3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 dump_wmimmc; \??\C:\Program Files\gPotato.eu\Rappelz\GameGuard\dump_wmimmc.sys [x]
S3 FXDrv32; \??\E:\FXDrv32.sys [x]
S1 SBRE; \??\C:\WINDOWS\system32\drivers\SBREdrv.sys [x]
S3 VComm; system32\DRIVERS\VComm.sys [x]
S3 VcommMgr; System32\Drivers\VcommMgr.sys [x]
C:\WINDOWS\vtimer
C:\WINDOWS\system32\ipconfig_results.txt
C:\WINDOWS\system32\dtmcfg
C:\WINDOWS\system32\drivers\avgtpx86.sys
C:\WINDOWS\system32\Drivers\maxdyhc.sys
C:\WINDOWS\system32\Drivers\antgjxek.sys
C:\Program Files\SecurityKISS Tunnel
C:\Program Files\SmartTweak
C:\Program Files\Spybot - Search & Destroy
C:\Program Files\mozilla firefox\plugins\npBitCometAgent.dll
C:\Documents and Settings\All Users\Dane aplikacji\Common Files
C:\Documents and Settings\All Users\Dane aplikacji\Datamngr
C:\Documents and Settings\All Users\Dane aplikacji\dtmcfg
C:\Documents and Settings\All Users\Dane aplikacji\G DATA
C:\Documents and Settings\All Users\Dane aplikacji\GFI Software
C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Dane aplikacji\TuneUp Software
C:\Documents and Settings\LocalService\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\LocalService\Dane aplikacji\TuneUp Software
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Config.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\Autoexec.nt.bak
C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji\hosts.bak
C:\Documents and Settings\MasterAdmin\7zS572.tmp
C:\Documents and Settings\MasterAdmin\7zS56F.tmp
C:\Documents and Settings\User\.android
C:\Documents and Settings\User\daemonprocess.txt
C:\Documents and Settings\User\Dane aplikacji\Ad-Aware Antivirus
C:\Documents and Settings\User\Dane aplikacji\TuneUp Software
C:\Documents and Settings\User\Moje dokumenty\Mobogenie
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\genienext
C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Mobogenie
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders
Reg: reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders /v SecurityProviders /t REG_SZ /d "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Extensions\{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65}" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65}" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Download All using 4shared Desktop" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Download All using 4shared Desktop" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: sc config ERSvc start= disabled
CMD: sc config helpsvc start= disabled
CMD: md "C:\Documents and Settings\User\Pulpit\Upload"
CMD: xcopy /e "C:\Documents and Settings\User\Dane aplikacji\Mozilla\Firefox\Profiles\q33d5r4n.default\Extensions\{5E2BBC9D-7272-2F81-F889-122C992270EF}" "C:\Documents and Settings\User\Pulpit\Upload"
CMD: rundll32 wbemupgd, UpgradeRepository
CMD: for %i in (C:\WINDOWS\system32\wbem\*.dll) do regsvr32 -s %i

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Akcja może trwać dość długo, gdyż została wdrożona komenda rejestracji plików WMI, więc czekaj cierpliwie. Gdy Fix ukończy pracę, powstanie plik fixlog.txt.

 

3. W przeglądarkach wykonaj resety:

- Firefox: Menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

- Google Chrome: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt oraz zaległe logi wcześniej używanych (C:\ComboFix.txt + C:\AdwCleaner). Wszystkie logi jako załączniki forum. Na Pulpicie powstał też folder Upload, spakuj do ZIP, shostuj gdzieś i podaj do tego link.

 

 

 

.

[edit]

Bardzo Ci dziekuje, za zainteresowanie tematem. Zrobilam wszystko krok po kroku, jak napisalas (za to rowniez dziekuje, poprowadzilas mnie za raczke jak przedszkolaka:))

 

Oczywiscie zdaje sobie sprawe, ze nasmiecilam tymi skanerami, ale bylam zdesperowana i skanowalam czym popadnie... laik jestem do potegi.

 

http://www.speedyshare.com/nsQjB/Upload.rar

Addition.txt

AdwCleaner.txt

ComboFix2.txt

Fixlog.txt

FRST.txt

[picasso]

Czy transfer dysku był równy PIO, a jeśli, to czy to naprawione? Czy nadal są problemy z internetem? Czy system był resetowany po użyciu FRST?

 

Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.myhoome.com/
SearchScopes: HKCU - {12503EC9-CD77-4F88-A9DF-6B4CA6E603FC} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {41DEC4D4-99C4-4CE4-82A5-CC113490CA15} URL = http://www.idg.pl?q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2002} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=876&systemid=2&apn_uid=2313075238934124&apn_dtid=IME002&o=APN10641&apn_ptnrs=AG2&q={searchTerms}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
S2 PEVSystemStart; "C:\ComboFix\pev.3XE" EXEC /i "C:\ComboFix\REGT.3XE" /S "C:\ComboFix\CregB.dat"
S2 ADILOADER; System32\Drivers\adildr.sys [x]
S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [x]
S0 GDBehave; system32\drivers\GDBehave.sys [x]
S1 GDMnIcpt; \??\C:\WINDOWS\system32\drivers\MiniIcpt.sys [x]
R1 HookCentre; C:\WINDOWS\system32\drivers\HookCentre.sys [47832 2013-06-10] (G Data Software AG)
C:\WINDOWS\system32\drivers\HookCentre.sys
C:\WINDOWS\system32\REN2D.tmp
C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
C:\Documents and Settings\MasterAdmin\Menu Start\Programy\Theorica Divx ;-) Codecs
C:\Program Files\Common Files\G DATA

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Zresetuj system. Zrób nowy skan FRST, ponownie zaznacz pole Addition, by dwa logi powstały. Dołącz plik fixlog.txt.

 

 

 

.

[edit]

Czy transfer dysku był równy PIO, a jeśli, to czy to naprawione? Czy nadal są problemy z internetem? Czy system był resetowany po użyciu FRST?

 

Tak, byl i oczywiscie naprawilam, po tym ruchu komputer momentalnie przestal mulic. Internet smiga, ale nie odtwarza dzwieku ani obrazu, np na yt .. jest tylko czarne okienko. Tak , system byl resetowany po uzyciu FRST

 

.. jako świeża instalacja stoi COMODO Internet Security nie pierwszej nowości (dobry podejrzany dla problemów sieciowych). Pomijając, że samo COMODO to bardzo inwazyjny sieciowo program, jest tu jeszcze domontowany sterownik tap0901.sys (The OpenVPN Project), który prawdopodobnie jest częścią COMODO VPN.

Czy mam wyinstalowac COMODO? czy moze wystarczy pobrac nowsza wersje?

 

 

Czy moge sie jakosc zabezpieczyc przed ponowna instalacja mini monitoringu? podejrzewam, ze akcja sie moze powtorzyc ..

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Wszystko już dobrze wygląda, FRST odczytuje informacje pierwotnie nieosiągalne przez defekt WMI.

 

 

nie odtwarza dzwieku ani obrazu, np na yt .. jest tylko czarne okienko

Opis sugeruje kłopoty z wtyczkami Adobe Flash. Mowa o Firefox, Google Chrome, Internet Explorer, czy wszystkich hurtem? Jest tu pewna nieścisłość. Wg raportu w Firefox i Google Chrome są dwie wtyczki zewnętrzne (pomijam natywny Flash Google Chrome) Adobe Flash + Adobe Shockwave Player:

 

FireFox:

=======

FF Plugin: @adobe.com/FlashPlayer - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_202.dll ()

FF Plugin: @adobe.com/ShockwavePlayer - C:\WINDOWS\system32\Adobe\Director\np32dsw_1168638.dll (Adobe Systems, Inc.)
 

Chrome:

=======

CHR Plugin: (Shockwave for Director) - C:\WINDOWS\system32\Adobe\Director\np32dsw_1168638.dll (Adobe Systems, Inc.)

CHR Plugin: (Shockwave Flash) - C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_7_700_202.dll ()

 

... ale tylko jedna pozycja jest widoczna na liście Dodaj/Usuń programy:

 

==================== Installed Programs ======================
 

Adobe Shockwave Player 11.6 (Version: 11.6.8.638 - Adobe Systems, Inc.)

 

Te wszystkie wtyczki i tak są już starawe, a Adobe Shockwave Player przeważnie nie jest potrzebny. Wykonaj te działania:

 

1. Odinstaluj Adobe Shockwave Player, od razu także stary Adobe Reader 9.3.2, tradycyjnie przez Dodaj/Usuń programy.

 

2. Zamknij wszystkie przeglądarki. Uruchom deinstalator podany w punkcie 1: KLIK. Po jego użyciu przez SHIFT+DEL skasuj foldery:

 

C:\WINDOWS\system32\Adobe\Director

C:\WINDOWS\system32\Macromed

 

3. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

4. Zainstaluj najnowszą wersję Adobe Flash z poziomu przeglądarki Firefox: KLIK. Dla Internet Explorer (o ile w ogóle potrzebne) trzeba instalować z osobna z poziomu IE. Google Chrome nie wymaga żadnych akcji, ma wbudowany własny Adobe Flash.

 

 

Czy mam wyinstalowac COMODO? czy moze wystarczy pobrac nowsza wersje?

Odinstaluj wszystkie programy COMODO, następnie zainstaluj najnowszą wersję. Przy instalacji pomiń zbędny dodatek COMODO GeekBuddy (który obecnie jest).

 

 

Czy moge sie jakosc zabezpieczyc przed ponowna instalacja mini monitoringu? podejrzewam, ze akcja sie moze powtorzyc ..

Pakiet COMODO ma funkcje HIPS, więc powinien reagować przy próbie implementacji takich "wynalazków". Z tym, że jest niejasne w jaki sposób ten "Mini Monitoring" tu się znalazł. Czy ktoś miał pełny dostęp do Twojego komputera? Jeśli ktoś używał i będzie nadal używał, trudno będzie zablokować takie działania... Sprytna osoba z dostępem powyłącza co należy.

 

 

.

[edit]

Opis sugeruje kłopoty z wtyczkami Adobe Flash. Mowa o Firefox, Google Chrome, Internet Explorer, czy wszystkich hurtem? Jest tu pewna nieścisłość. Wg raportu w Firefox i Google Chrome są dwie wtyczki zewnętrzne (pomijam natywny Flash Google Chrome) Adobe Flash + Adobe Shockwave Player:

Uzywam glownie Firefoxa, czasem Chrome.. ale tylko w tej pierwszej wystepowal klopot z brakiem dzieku i obrazu.

Pousuwalam i zainstalowalam, tak jak pisalas i juz wszystko pieknie dziala

 

 

Pakiet COMODO ma funkcje HIPS, więc powinien reagować przy próbie implementacji takich "wynalazków". Z tym, że jest niejasne w jaki sposób ten "Mini Monitoring" tu się znalazł. Czy ktoś miał pełny dostęp do Twojego komputera? Jeśli ktoś używał i będzie nadal używał, trudno będzie zablokować takie działania... Sprytna osoba z dostępem powyłącza co należy.

 

Niestety ta osoba ma czasem do mojego komputera ;/  Wydaje mi sie, ze jedynym rozwiazaniem bedzie wprowadzenie hasla przy wlanczaniu komputera ...

 

 

A na koniec, bardzo Ci dziekuje za pomoc.. widze ile robisz na tym forum i jestem pelna podziwu za wiedze i chec pomocy innym zbladzonym, nie kazdy tak potrafi.

Dziekuje

[picasso]

Wszystko zrobione, toteż kończymy:

 

1. Odinstaluj w prawidłowy sposób ComboFix. Poprzednio uruchomiony z Pulpitu, pliku już tam nie widzę. Pobierz ponownie (KLIK) i zapisz na Pulpicie. Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\User\Pulpit\ComboFix.exe" /uninstall

 

2. Następnie przez SHIFT+DEL skasuj FRST i foldery:

 

C:\Documents and Settings\User\Pulpit\Upload

C:\FRST

C:\WINDOWS\ERDNT

 

W AdwCleaner opcja Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Produktami Adobe już się zajmowałam, usuń jeszcze Theorica Divx ;-) Codecs (jakoś ominęłam ten wpis), a do aktualizacji reszta poniżej zakreślona: KLIK.

 

Internet Explorer Version 7
 

==================== Installed Programs ======================
 

Microsoft Silverlight (Version: 5.1.10411.0 - Microsoft Corporation)

OpenOffice.org 3.2 (Version: 3.2.9483 - OpenOffice.org)

 

4. Uruchom TFC - Temp Cleaner.

 

5. Mini Monitoring: pozmieniaj wszędzie hasła, bo nie wiadomo ile danych zostało już przechwyconych.

 

 

Niestety ta osoba ma czasem do mojego komputera ;/ Wydaje mi sie, ze jedynym rozwiazaniem bedzie wprowadzenie hasla przy wlanczaniu komputera ...

No cóż, w tym przypadku zostaje blokada gatunku hasłowanie (BIOS, konta). Z tym, że to także można obejść, są bootowalne narzędzia które potrafią resetować hasła... Można także pokusić się o szyfrowanie TrueCrypt z autentyfikacją preboot: KLIK.

 

 

 

.