Keyloggery - wyczyszczone konta gier

[Rawek]

Witam.

Od paru dni na moim komputerze pojawiły się keyloggery, gdyż w paru grach obczyszczone zostały moje konta

Szukałem w Google jak się ich pozbyć i oprócz działana CCleanerem i SpyBotem użyłem programu Combo Fix którego log załącze ( w podanej instrukcji obsługi zalecane było skontaktowanie się z fachowcami z tego forum). Dopiero po tych działaniach zrobiłem skany wymagane do weryfikacji.

Nie posiadam żadnego antyvirusa, system xp 32 bity.

Proszę o pomoc.

FRST.txt

Extras.Txt

Addition.txt

OTL.Txt

ComboFix.txt

gmer.txt

[picasso]

Na przyszłość na temat używania ComboFix: KLIK. Jego log owszem wykazuje, że w systemie były keyloggery (logonInit.dll + spoolsv32.jar) od lewych paczek Tibia. Log z FRST wykazuje, że ComboFix niedokładnie to wyczyścił, a także że jest tu jeszcze trzeci (A9B90D.EXE) aktywnie uruchamiany. Prawdopodobnie źródłem części jest Tibia IPChanger, którego ślady są na dysku. Poza tym, w systemie są różne obiekty adware. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

Startup: C:\Documents and Settings\Zurawski\Menu Start\Programy\Autostart\A9B90D.lnk
HKLM\...\Run: [A9B90D] - C:\WINDOWS\system32\29EDD5\A9B90D.EXE [1406935 2013-09-27] ()
HKCU\...\Run: [NextLive] - C:\Documents and Settings\Zurawski\Dane aplikacji\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe)
HKCU\...\Run: [spoolsv32] - "C:\WINDOWS\system32\javaw.exe" -jar "C:\Documents and Settings\Zurawski\Dane aplikacji\Win32\spoolsv32.jar"
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200AVJS-63WDA0_WD-WCARW278467984679&ts=1379163499
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD3200AVJS-63WDA0_WD-WCARW278467984679&ts=1379163499
FF Plugin: @pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\qvo6.xml
Winlogon\Notify\igfxcui: igfxdev.dll [X]
R3 catchme; \??\C:\ComboFix\catchme.sys [x]
S3 gdrv; \??\C:\WINDOWS\gdrv.sys [x]
S3 ialm; system32\DRIVERS\igxpmp32.sys [x]
S3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [x]
S3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [x]
U3 mbr; \??\C:\DOCUME~1\Zurawski\USTAWI~1\Temp\mbr.sys [x]
C:\WINDOWS\system32\29EDD5
C:\WINDOWS\system32\roboot.exe
C:\WINDOWS\System32\unrar.dll
C:\Program Files\Common Files\userInit.dll
C:\Program Files\BonanzaDeals
C:\Program Files\Mobogenie
C:\Program Files\MyPC Backup
C:\Program Files\RegClean Pro
C:\Documents and Settings\All Users\Dane aplikacji\AVG
C:\Documents and Settings\All Users\Dane aplikacji\BonanzaDealsLive
C:\Documents and Settings\All Users\Dane aplikacji\eSafe
C:\Documents and Settings\All Users\Dane aplikacji\Kingsoft
C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308}
C:\Documents and Settings\Zurawski\.android
C:\Documents and Settings\Zurawski\daemonprocess.txt
C:\Documents and Settings\Zurawski\Dane aplikacji\n402.dll
C:\Documents and Settings\Zurawski\Dane aplikacji\0F1F1C2Y1H1P1C0I0T
C:\Documents and Settings\Zurawski\Dane aplikacji\AVG
C:\Documents and Settings\Zurawski\Dane aplikacji\FoxTab
C:\Documents and Settings\Zurawski\Dane aplikacji\Kingsoft
C:\Documents and Settings\Zurawski\Dane aplikacji\newnext.me
C:\Documents and Settings\Zurawski\Dane aplikacji\OpenCandy
C:\Documents and Settings\Zurawski\Dane aplikacji\Splashtop
C:\Documents and Settings\Zurawski\Dane aplikacji\systweak
C:\Documents and Settings\Zurawski\Dane aplikacji\Windows Net Data
C:\Documents and Settings\Zurawski\Moje dokumenty\Mobogenie
C:\Documents and Settings\Zurawski\Pulpit\ipchanger.exe
C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\genienext
C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\Mobogenie
C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand
Reg: reg delete HKCU\Software\OtLand /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware uTorrent Packages, VIS oraz pozbądź się od razu tego przestarzałego Spybot - Search & Destroy.

 

3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej.

 

4. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

 

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Rawek]

1.Zrobione jak w instrukcji.

2.Spybot usunięty, natomiast przy próbie usunięcia uTorrent Packages, VIS włączała mi się wiewiórka (OTland ip changer) i nie mogłem usunąć ich, a panel dodawania/usuwania zawieszał się do momentu wyłaczenia tego ip changera ( i tak w kółko).

3. Po wybraniu tej opcji wykryj problemy i pozwól mi wybrać poprawki do zastosowania wyskakiwał komunikat podany na zdjęciu 111 oraz znowu wyskakiwała wiewiórka (na zdjęciu już wyłączona).

4. Zrobione bezproblemowo.

5.Log załączam.

6.Log załączam.

FRST.txt

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

[picasso]

1. Wymagane poprawki. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [A9B90D] - C:\WINDOWS\system32\29EDD5\A9B90D.EXE
Startup: C:\Documents and Settings\Zurawski\Menu Start\Programy\Autostart\A9B90D.lnk
C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand
C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
C:\Program Files\Spybot - Search & Destroy 2
CMD: sc config Eventlog start= disabled

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zachowaj wynikowy fixlog.txt.

 

Zresetuj system, start może być dłuższy ze względu na wyłączony Dziennik. Następnie otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\config\SpybotSD.evt


C:\WINDOWS\system32\config\Spybot -.evt

CMD: sc config Eventlog start= auto

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt.

 

Zresetuj system, wszystko wróci do normy.

 

2. Spróbuj ponownie odinstalować wszystko co podałam wcześniej.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz oba pliki fixlog.txt.

 

 

 

 

.

[Rawek]

1. Zrobiłem wszystko jak w instrukcji ale po drugim resecie komputer mulił i zanim się włączył system a po właczeniu podstawne programy ( internet, hp itp) minęło troche czasu ( tak samo po 3 resecie po zakończeniu TFC temp cleaner)

2. Ta sama sytuacja, pokazała się wiewiórka (ip changer) i nic się nie dało zrobić.

3. Uruchomiłem i proces zakończył się restartem systemu.

4. Załączam.

Fixlog.txt

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

1. Zrobiłem wszystko jak w instrukcji ale po drugim resecie komputer mulił i zanim się włączył system a po właczeniu podstawne programy ( internet, hp itp) minęło troche czasu ( tak samo po 3 resecie po zakończeniu TFC temp cleaner)

Czy wolny start Windows nadal występuje?

 

 

3. Uruchomiłem i proces zakończył się restartem systemu.

Restart jest normalnym zjawiskiem podczas czyszczenia tym programem.

 

 

2. Ta sama sytuacja, pokazała się wiewiórka (ip changer) i nic się nie dało zrobić.

Hmmm, to nie brzmi dobrze i sugeruje, że jakiś składnik Windows może być zmodyfikowany. I widzę, że w procesach pracuje obecnie Tibia oraz że się konsekwentnie regenerują na dysku składniki "OTLand":

 

==================== One Month Created Files and Folders ========
 

2014-01-20 17:08 - 2014-01-20 17:08 - 00000000 ____D C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand

2014-01-20 16:46 - 2014-01-20 16:46 - 04961280 _____ (CipSoft GmbH) C:\Documents and Settings\All Users\Dane aplikacji\Tibia.bak

2014-01-20 16:44 - 2014-01-20 16:44 - 03923396 _____ C:\Documents and Settings\All Users\Dane aplikacji\Tibia_pic.bak

2014-01-20 16:35 - 2014-01-20 16:44 - 97435717 _____ C:\Documents and Settings\All Users\Dane aplikacji\Tibia_spr.bak

2014-01-20 16:30 - 2014-01-20 17:15 - 01251376 _____ C:\Documents and Settings\All Users\Dane aplikacji\Tibia_dat.bak

 

Tu się nasuwa, by odinstalować także Tibia (może program jest zmodyfikowany szkodliwie), ale skoro niczego się nie da normalnie odinstalować, to spróbujmy przez linię komend. Na razie podaj mi skan dodatkowy. Uruchom SystemLook i do okna wklej:

 

:dir
C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand /s
 
:regfind
OTLand
 
:reg
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Tibia_is1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VIS
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent Packages

 

Klik w Look i przedstaw wynikowy raport.

 

 

 

.

[Rawek]

Odinstalowałem Tibie, spróbowałem jeszcze w między czasie ponownie odinstalować tamte programy ale ciągle wyskakuje ta wiewióra.

 

Czy wolny start Windows nadal występuje?

od momentu załadowania systemu do właczenia się podstawowych programów mija około 3 minut, gdzie wcześniej to było 10 sekund.  A sam firefox po kliknięciu włacza się po minucie.

SystemLook.txt

[picasso]

Rawek, proszę nie podbijaj tematu. Zasady działu wyraźnie mówią, że należy czekać cierpliwie na odpowiedź, która pojawia się gdy mam czas, by solidnie temat zanalizować i wiem co powiedzieć. Nie mogę robić tematów na odwal się, udzielać byle jakiej odpowiedzi byle coś powiedzieć i stworzyć fałszywe wrażenie "szybkiego rozwiązywania".

 

 

od momentu załadowania systemu do właczenia się podstawowych programów mija około 3 minut, gdzie wcześniej to było 10 sekund

Był uruchomiony GMER. Prawdopodobnie został zdegradowany transfer dysku z DMA do PIO. Wykonaj instrukcje z ustępu Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

 

Odinstalowałem Tibie, spróbowałem jeszcze w między czasie ponownie odinstalować tamte programy ale ciągle wyskakuje ta wiewióra.

Obawiam się, że został zmodyfikowany przez infekcję któryś plik Windows. Na razie z tego co widzę, to: odinstalowują się poprawnie tylko programy, które mają na dysku deinstalator, a wiewióra pojawia się przy programach mających zdefektowany deinstalator. Wstępnie:

 

1. uTorrent Packages i VIS zostały naruszone przeze mnie, bo usunęłam dwa foldery nie wiedząc, że w nich są deinstalatory tych aplikacji. Toteż przywróć foldery z kwarantanny i spróbuj odinstalować oba programy w normalny sposób. Wygrzeb te dwa foldery:

 

C:\FRST\Quarantine\0F1F1C2Y1H1P1C0I0T

C:\FRST\Quarantine\Windows Net Data

 

W eksploratorze Windows w pasku adresów wklej poniższą ścieżkę i ENTER:

 

C:\Documents and Settings\Zurawski\Dane aplikacji

 

Wstaw tam oba foldery z kwarantanny FRST. Po tym ponów próbę deinstalacji tych dwóch programów.

 

2. Następnie usuń wszystkie kwarantanny, by programy skanujące nie wykrywały rzeczy już usuniętych, tzn. przez SHIFT+DEL (omija Kosz) skasuj foldery:

 

C:\AdwCleaner

C:\FRST\Quarantine

C:\Documents and Settings\Zurawski\Pulpit\Stare dane programu Firefox

 

Odinstaluj też w poprawny sposób ComboFix, w Start > Uruchom > wklej komendę:

 

"C:\Documents and Settings\Zurawski\Pulpit\ComboFix.exe" /uninstall

 

3. Po kolei zrób pełne skanowanie za pomocą programów: Malwarebytes Anti-Malware, Kaspersky Virus Removal Tool. Domyślnie Kaspersky prowadzi skan ekspresowy, więc w konfiguracji skanera zmień to na skan wszystkiego. Jeśli któryś program coś wykryje, przedstaw raporty. Wyniki Kasperskiego: interesują mnie tylko wykryte zagrożenia, a nie inne typy wyników (np. typu "OK"), byś mi przypadkiem nie chciał podawać ogromnego raportu z wszystkim jak leci.

 

 

 

.

[Rawek]

Na wstępie przepraszam za niecierpliwość ale przez chwilę potrzebowałem pilnie sprawnego kompa i rozważałem nawet format ale jakoś sobie poradziłem

Start systemu powrócił do normy po odinstalowaniu IDE i restarcie komputera.

 

1. Wszystko elegancko się odinstalowało.

2. Tu też bez problemów.

3. Malvare wykazało 3 trojany i 4 jakieś inne pliki, raport zamieszczam, żadnych działań w związku z nimi nie podjąłem. Co do Kasperskiego, po zaznaczeniu wszystkich opcji( mój komputer, dysk C, itp) po 1 godzinie upłynęło dopiero 4% skanowania i na razie go nie dokończyłem.

 

EDIT:

dodaje raport z kasperskiego.

 

MBAM-log-2014-01-22 (17-31-59).txt

kasp.txt

[picasso]

W SystemLook był taki odczyt:

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]

"C:\Documents"="OTLand IP Changer"

 

I MBAM to zobaczył:

 

C:\Documents (Trojan.Agent) -> Nie wykonano akcji.

 

Wynik jednak wygląda dość "biednie" jak na to co się tu dzieje z tą wiewiórą. Pod kątem wyników skanerów:

- Usuń za pomocą MBAM wszystko co wykrył.

- Przez SHIFT+DEL dokasuj foldery C:\Documents and Settings\Zurawski\Ustawienia lokalne\Dane aplikacji\OTLand + C:\Program Files\maucampo + C:\User Data.

- Wyczyść Tymczasowe pliki internetowe z poziomu Opcji internetowych przeglądarki IE.

- Ponownie uruchom TFC - Temp Cleaner.

 

Po tym czyszczeniu spróbuj ponowić tę akcję z narzędziem Microsoftu:

 

3. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej.

+

 

3. Po wybraniu tej opcji wykryj problemy i pozwól mi wybrać poprawki do zastosowania wyskakiwał komunikat podany na zdjęciu 111 oraz znowu wyskakiwała wiewiórka (na zdjęciu już wyłączona).

 

 

.