Dostęp do haseł

[Nights]

Witam. Widać może coś w logach nietypowego? Ktoś jakimś cudem uzyskał dostęp albo do pliku tekstowego w którym miałem pewne hasła, albo założono hook na klawiaturę (albo wiele, wiele więcej innych opcji..). Tak czy siak - ktoś uzyskał dostęp do konta, do którego nie powinien mieć dostępu. Nie odbyło się to poprzez zdalny dostęp do komputera. W obawie przez zagrożeniem nie mogę logować się do banku, dlatego prosiłbym o szybki rzut okiem.

 

Podczas skanowania GMERem miałem wysyp komunikatów tego typu:

http://scr.hu/25kj/0h6ub

 

Wynik GMER dołączam dzisiaj, bo skan robił się prawie 20 godzin...

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[picasso]

Nie widać tu żadnych oznak infekcji tego rodzaju. Co to za konto zostało przejęte (określonej gry / pocztowe / inne...)? Czy to była Tibia? Widać tu różne puste obiekty sugerujące uruchamianie niestandardowych dodatków do Tibia, a takowe to jedno z głównych źródeł łowców haseł:

 

Task: {1BBAA706-5152-4627-A910-EA80291ECF35} - System32\Tasks\{C44A66DB-C001-46EF-91AC-BB50F6DDCB80} => C:\Program Files\Armia Podkarpacki OTS\APO 7.6\Tibia.exe

Task: {5F28FD78-9711-4AA2-9F38-ED91E49D12DC} - System32\Tasks\cf => C:\Users\x\Desktop\OTS\Yurek\commands.xml
 

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate\Tibia Multi IP Changer\Tibia MULTI-IP Changer.lnk -> C:\Program Files\Asprate\Tibia Multi IP Changer\Tibia MULTI-ip changer.exe (No File)

 

 

Sprawy poboczne, czyli do czyszczenia adware i wpisy puste lub zdefektowane:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {0DC0D739-9ACD-4F79-8490-B33C796958CE} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1725041692-303553113-1489231641-1003UA => C:\Users\Test\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {1BBAA706-5152-4627-A910-EA80291ECF35} - System32\Tasks\{C44A66DB-C001-46EF-91AC-BB50F6DDCB80} => C:\Program Files\Armia Podkarpacki OTS\APO 7.6\Tibia.exe
Task: {37100638-6A70-4E7B-B3F2-52C3A1CB247C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-1725041692-303553113-1489231641-1003Core => C:\Users\Test\AppData\Local\Google\Update\GoogleUpdate.exe
Task: {4111AF76-C98A-4ACF-ACD0-E98A863204A9} - System32\Tasks\BrowserProtect => Sc.exe start BrowserProtect 
Task: {4E3E8FCC-2BC3-4CDE-922A-B0D9E9020609} - System32\Tasks\BonanzaDealsUpdate => C:\Program 
Task: {5ADBEE81-315D-46DB-B4AC-547E9BF4B7F4} - System32\Tasks\ALL Update => C:\Program Files\ALLPlayer\ALLUpdate.exe
Task: {5CDDB14E-5CA6-4D82-B94E-3D670502A375} - System32\Tasks\{2A0656D7-BBE1-40F7-BBD9-F12449791E60} => C:\Program Files\Armia Podkarpacki OTS\APO 7.6\Tibia.exe
Task: {5F28FD78-9711-4AA2-9F38-ED91E49D12DC} - System32\Tasks\cf => C:\Users\x\Desktop\OTS\Yurek\commands.xml
Task: {B57A2538-36C2-449D-9C23-45DBC6816C17} - \Program aktualizacji online produktu Real Player. No Task File 
Task: {B5DA5C77-58D8-47AB-B182-FD0174008BF4} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe 
Task: {D7F6C488-83A1-456B-BE11-9214F4B323E9} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-1725041692-303553113-1489231641-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe
Task: {EDD9D7FE-57BB-4CBB-90ED-6A656515509F} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-1725041692-303553113-1489231641-1000 => C:\Program Files\Real\RealUpgrade\RealUpgrade.exe
Task: {F404BB09-D642-49D3-82B7-BD349ACAB105} - System32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe 
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe 
Task: C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job => C:\Program Files\BonanzaDealsLive\Update\BonanzaDealsLive.exe 
S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x32.sys [X]
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x32.sys [X]
S3 CrystalSysInfo; \??\C:\Program Files\MediaCoder\SysInfo.sys [X]
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\sptd
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SolutoService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SolutoService => ""="Service"
HKLM\...\Run: [] => [X]
AppInit_DLLs: c:\progra~2\browse~1\261095~1.52\{c16c1~1\browse~1.dll => c:\progra~2\browse~1\261095~1.52\{c16c1~1\browse~1.dll File Not Found
ProxyServer: 88.199.92.130:8080
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.golsearch.com/?babsrc=HP_ss_wls_Btisdt6&mntrId=187E6CF04912E0EA&affID=119357&tsp=4993\
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKLM - ${searchCLSID} URL = http://startsear.ch/?aff=2&src=sp&cf=d5c1e390-1e0a-11e1-9803-6cf04912e0ea&q={searchTerms}
SearchScopes: HKCU - DefaultScope ${searchCLSID} URL = http://startsear.ch/?aff=2&src=sp&cf=d5c1e390-1e0a-11e1-9803-6cf04912e0ea&q={searchTerms}
SearchScopes: HKCU - ${searchCLSID} URL = http://startsear.ch/?aff=2&src=sp&cf=d5c1e390-1e0a-11e1-9803-6cf04912e0ea&q={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=187E6CF04912E0EA&affID=119357&tsp=4993
SearchScopes: HKCU - {5D8588E8-A1D1-4913-B362-6DA984CBD2FE} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=937811&p={searchTerms}
SearchScopes: HKCU - {9FFD6468-0C27-4E87-8ADB-4AE3771ECF60} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1601497
BHO: savaenSheare - {A6B2F022-B5AF-05C1-4731-8DE2879218CF} - C:\ProgramData\savaenSheare\zi6vGak0y.dll ()
BHO: No Name - {fe063412-bea4-4d76-8ed3-183be6220d17} - No File
FF Plugin: @pandonetworks.com/PandoWebPlugin - C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File
FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=3 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File
FF Plugin: @tools.bdupdater.com/BonanzaDealsLive Update;version=9 - C:\Program Files\BonanzaDealsLive\Update\1.3.23.0\npGoogleUpdate3.dll No File
C:\Program Files\mozilla firefox\plugins
FF Extension: YTD Toolbar - C:\Program Files\YTD Toolbar\FF [2014-05-03]
FF HKLM\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF HKCU\...\SeaMonkey\Extensions: [mozilla_cc@internetdownloadmanager.com] - C:\Users\x\AppData\Roaming\IDM\idmmzcc5
CHR HKLM\...\Chrome\Extension: [bejbohlohkkgompgecdcbbglkpjfjgdj] - C:\Users\x\AppData\Local\Temp\crx568C.tmp [2013-10-20]
CHR HKLM\...\Chrome\Extension: [icdlfehblmklkikfigmjhbmmpmkmpooj] - C:\Program Files\Common Files\Spigot\GC\errorassistant_1.1.crx [2013-10-20]
CHR HKLM\...\Chrome\Extension: [ieadcoanfjloocmfafkebdnfefmohngj] - C:\Program Files\BonanzaDeals\BonanzaDeals.crx [2013-10-20]
CHR HKLM\...\Chrome\Extension: [mhkaekfpcppmmioggniknbnbdbcigpkk] - C:\Program Files\Common Files\Spigot\GC\coupons_2.3.crx [2013-10-20]
AlternateDataStreams: C:\ProgramData\TEMP:0888F409
AlternateDataStreams: C:\ProgramData\TEMP:0D786AE3
AlternateDataStreams: C:\ProgramData\TEMP:3440EB47
AlternateDataStreams: C:\ProgramData\TEMP:66633281
AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Armia Podkarpacki OTS
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bloodshed Dev-C++
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Download Manager
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavalys
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UselessCreations
C:\ProgramData\Soluto
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wireshark.lnk
C:\Users\Gość\Desktop\EVEREST Home Edition.lnk
C:\Users\Gość\Desktop\PhotoScape.lnk
C:\Users\Gość\Desktop\OTSASSASS\Yurek\data\actions\Skrót do JustCause.exe.lnk
C:\Users\Public\Desktop\ InVivoViewer.lnk
C:\Users\Public\Desktop\Free Video Dub.lnk
C:\Users\Public\Documents\dfc\Cartelle condivise.lnk
C:\Users\Public\Documents\sacsac\Microsoft Word.lnk
C:\Users\Public\Documents\sacsac\Public\Desktop\*.lnk
C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Wireshark.lnk
C:\Users\UpdatusUser\Desktop\EVEREST Home Edition.lnk
C:\Users\x\AppData\Roaming\AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
C:\Users\x\AppData\Roaming\AutomatedQA
C:\Users\x\AppData\Roaming\Babylon
C:\Users\x\AppData\Roaming\Bitcoin
C:\Users\x\AppData\Roaming\otloader
C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\YTD Video Downloader.lnk
C:\Users\x\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk
C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop
C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Download Manager
C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BonanzaDeals
C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bloodshed Dev-C++
C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Magic Hub
C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Project1.lnk
C:\Users\x\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\PVP.net Patcher (2).lnk
C:\Users\x\Desktop\EVEREST Home Edition.lnk
C:\Windows\System32\Drivers\sptd.sys
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NTRedirect" /f
CMD: for /d %f in (C:\Users\x\AppData\Local\{*}) do rd /s /q "%f"
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware savaenSheare, YTD Toolbar v6.9.

 

3. W Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ae Ad-block trzeba będzie przeinstalować.

4. W Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (ręcznie aktywuj).
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

6. Przeinstaluj sterownik SPTD od emulacji wirtualnych napędów, bo jest z nim problem:

 

S0 sptd; C:\Windows\System32\Drivers\sptd.sys [324096 2013-11-30] (Duplex Secure Ltd.)
 

==================== Faulty Device Manager Devices =============
 

Name: sptd

Description: sptd

Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1}

Manufacturer:

Service: sptd

Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24)

Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed.

Devices stay in this state if they have been prepared for removal.

After you remove the device, this error disappears.Remove the device, and this error should be resolved.

 

Jego klucz już usuwam skryptem FRST, więc zastosuj SPTDinst, by sterownik na świeżo zainstalować: KLIK.

 

7. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

 

 

.