Iframe niewiadomego pochodzenia - keylogger?

[ryszardbanana]

Heloł,

 

od pewnego czasu borykam się z nikłym, choć uporczywym problemem - najprawdopodobniej z total commandera wyciekają mi hasła do serwerów FTP. Normalną procedurą byłoby pozbycie się go i logowanie się poprzez szyfrowanie. No ale dlaczego tak się dzieje? Hasła do paru kont też muszę od czasu do czasu zmieniać ze względu na "nieautoryzowany" dostęp do nich.

Dawno temu postanowiłem do końca świata polegać na własnej przezorności, stąd brak jakichkolwiek zabezpieczeń i chyba się w końcu przeliczyłem. Tym bardziej, że lubię to i owo od czasu do czasu scrackować... Czy mogę skromnie prosić o potwierdzenie obecności/braku ścierwa na komputerze?

Ewentualny powód do obaw - windows lubi zacząć pracę od podstawowego interfejsu zamiast aerowego - pamiętam, że to samo miałem w przypadku robaka sieciowego w leciwym XP, który tak samo się zachowywał. A może mam omamy...

 

 

Addition.txt

Extras.Txt

FRST.txt

OTL.Txt

gmer.txt

[picasso]

Nie notuję tu żadnych oznak infekcji, na tyle na ile oczywiście mogą to wykazać raporty (są ograniczone i bez pełnego skany antymalware i tak się nie obejdzie). Do usunięcia tylko szczątki adware i wpisy puste (nie ma to związku z problemem). Otwórz Notatnik i wklej w nim:

 

CHR HKCU\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Iskander\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-11-21]
CHR HKLM-x32\...\Chrome\Extension: [cflheckfmhopnialghigdlggahiomebp] - C:\Users\Iskander\AppData\Local\CRE\cflheckfmhopnialghigdlggahiomebp.crx [2013-11-21]
HKCU\...\Run: [AdobeBridge] - [x]
S3 digiSPTIService64; "C:\Program Files\Avid\Pro Tools\digisptiservice64.exe" [x]
R3 ALSysIO; \??\C:\Users\Iskander\AppData\Local\Temp\ALSysIO64.sys [x]
C:\ProgramData\APN
C:\Users\Iskander\AppData\Local\CRE
C:\Users\Iskander\AppData\Local\Temp\*.dll
C:\Users\Iskander\AppData\Local\Temp\*.exe
AlternateDataStreams: C:\ProgramData:48C6E5B13E778F0D
AlternateDataStreams: C:\Users\All Users:48C6E5B13E778F0D
AlternateDataStreams: C:\ProgramData\Application Data:48C6E5B13E778F0D
AlternateDataStreams: C:\ProgramData\Dane aplikacji:48C6E5B13E778F0D
AlternateDataStreams: C:\ProgramData\Microsoft:8M9LWMTg6a79DLrtfP332TCa
AlternateDataStreams: C:\ProgramData\Microsoft:cM4SqvSTtQZ7NAtyc23B5
AlternateDataStreams: C:\ProgramData\Microsoft:crxQZTZwRTjrmE4AuXtymycIvRT
AlternateDataStreams: C:\ProgramData\Microsoft:dG7JRSw2jd7EFjEHuo96q9oS
AlternateDataStreams: C:\ProgramData\Microsoft:pdqUIAFaTVxBVnw3d11
AlternateDataStreams: C:\ProgramData\Microsoft:TwbDbrF8oXyK2mzpxt8kvhrGN
AlternateDataStreams: C:\ProgramData\Microsoft:Z3wFjGYux9VmLlzkIsa7b9
AlternateDataStreams: C:\ProgramData\Microsoft:z4ke3K6uWdHYSabYL6Izyt
AlternateDataStreams: C:\Users\Iskander\Ustawienia lokalne:bXugJ9eHZ4GCZ0k2A2tfyu
AlternateDataStreams: C:\Users\Iskander\Ustawienia lokalne:nxMPjyYfdMjEfO6YagxTS3D2U7yN
AlternateDataStreams: C:\Users\Iskander\AppData\Local:bXugJ9eHZ4GCZ0k2A2tfyu
AlternateDataStreams: C:\Users\Iskander\AppData\Local:nxMPjyYfdMjEfO6YagxTS3D2U7yN
AlternateDataStreams: C:\Users\Iskander\AppData\Local\8V0lixyKr:QQrV7oJ2FNGdsBCBBQ5KEOwbtG
AlternateDataStreams: C:\Users\Iskander\AppData\Local\Dane aplikacji:bXugJ9eHZ4GCZ0k2A2tfyu
AlternateDataStreams: C:\Users\Iskander\AppData\Local\Dane aplikacji:nxMPjyYfdMjEfO6YagxTS3D2U7yN
AlternateDataStreams: C:\Users\Iskander\AppData\Local\Temp:eVdVNsd5MZRu90Tpi3NCd6hJWK
AlternateDataStreams: C:\Users\Iskander\AppData\Local\Temp:mVfGBCCLZBC0lydmjLTgAjK0T
AlternateDataStreams: C:\Users\Iskander\AppData\Local\Temporary Internet Files:9qGYAjhxZISYcv716C9dXl

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

od pewnego czasu borykam się z nikłym, choć uporczywym problemem - najprawdopodobniej z total commandera wyciekają mi hasła do serwerów FTP. Normalną procedurą byłoby pozbycie się go i logowanie się poprzez szyfrowanie. No ale dlaczego tak się dzieje? Hasła do paru kont też muszę od czasu do czasu zmieniać ze względu na "nieautoryzowany" dostęp do nich.

Po zmianie haseł są one zapamiętywane w TC? Czy jest inny komputer z którego korzystasz? Czy są inne osoby mające dostęp do FTP i logujące się przy udziale podanego przez Ciebie hasła? I problemem może być sieć, w której działa Twój komputer, a nie Twój komputer. Dokument PDF opisujący metodologię infekcji iframe: KLIK. Cytuję końcowy fragment:

 

"Attention! The virus may be listening in (eavesdropping) on bypassing network traffic originating from other computers on the local network (packet sniffing) to steal FTP passwords! This means that you can clean up your PC but if another PC is infected located in the same network segment, the virus can still intercept the passwords you have entered on the clean PC!

Also, be careful with FTP passwords you have saved in the past. The virus may have the potential to extract those saved passwords. Considering the dangers involved it is advisable to login to your FTP server using the SSH over FTP protocol.

Source: KLIK."

 

+

 

Cytat z linka:

 

"As it turned out, the malware steals FTP passwords with network sniffing a.k.a. promiscuous mode (at least among other ways, because I heard it can also read the stored passwords of well-know FTP clients). This means, it even steals the FTP user names and passwords that were used from a clean computer, if that computer was in the same Ethernet collision domain as the infected computer, and the password was actually used (i.e. the user has logged in to an FTP account) when the infected computer was on (and hence eavesdropping). In general, if you have some Ethernet hubs as opposed to Ethernet switches in your LAN, then depending on the exact network topology, possibly not only the infected computer is affected. Needless to say, the infected computer itself is always in its own collision domain, so even if you don't store the passwords in your FTP client (and you shouldn't), the malware still steals the password when you log in. The infected computer sends the stolen FTP credentials (and who knows what else it captured) to its masters, so the computer that will update the index.html-s via FTP (maybe hours, maybe days later) will be some random computer from around the world."

 

 

Ewentualny powód do obaw - windows lubi zacząć pracę od podstawowego interfejsu zamiast aerowego - pamiętam, że to samo miałem w przypadku robaka sieciowego w leciwym XP, który tak samo się zachowywał. A może mam omamy...

Powodów takiego zachowania jest multum, nie tylko infekcje.

 

 

 

.