Ściągniety keylogger, Comodo usunął Heur.Gen.lama - ale czy aby na pewno to to?

[Sharly1]

Tytułem wstępu - miło mi.

 

Ściągniety keylogger. Zabijam czas grajac w MMO, szkoda to wszystko tracić. Proszę o pomoc.

 

Wynik skanowania.

 

Podczas tworzenia logów przez OTL wyświetlił mi się 2x komunikat. Ciągi znaków różniły się od siebie. Warto podkreślić,że ww.komunikat wyskoczył już po USUNIĘCIU infekcji przez Comodo.

 

 

Logi wykonują się bardzo długo, w międzyczasie dodam temat i zapytam - infekcja, którą widzicie na obrazku,to może być keylogger i jeżeli tak to czy samo Comodo sobie z tym poradziło?

 

 

[picasso]

Czy Comodo sobie poradził to dopiero z logów wyjdzie, a typ obiektu jest nie do końca jasny. Jeśli chodzi o logi, to na czas ich wykonywania Comodo proszę wyłącz (interferencja), a skład obowiąkowych logów jest szerszy, tzn. muszą być dodane FRST i GMER.

 

 

 

.

[Sharly1]

W zalaczniku pliki wg. instrukcji.

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

OTL.Txt

Extras.Txt

[picasso]

GMER nadal w złym środowisku, ciągle działa wtle sterownik SPTD:

 

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-04-04] () [File not signed]

 

 

Mam pytanie: w logach widać różne paczki / boty powiązane z Tibia, uruchomienie której z nich doprowadziło do infekcji? Ta paczka musi być w całości usunięta, a program odinstalowany, bo to źródło infekcji. Natomiast wstępnie wygląda na to, iż ów sfałszowany "svchost.exe" rzeczywiście zotał usunięty z dysku, ale nadal jest jego wpis startowy. Oprócz tego w systemie jest dużo odpadków adware uprzednio niedokładnie czyszczonych. Wykonaj następujące operacje:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-2588407172-804001942-3011641386-1000\...\Run: [MSTime] => "C:\Users\ikaaa\AppData\Roaming\svchost.exe" (the data entry has 54 more characters).
HKLM\...\RunOnce: [*CA] => [X]
S3 aspnet_state; %SystemRoot%\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [X]
S3 DAUpdaterSvc; C:\Games\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [X]
S3 NMIndexingService; "C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe" [X]
S2 Update webget; "C:\Program Files (x86)\webget\updatewebget.exe" [X]
S2 Util webget; "C:\Program Files (x86)\webget\bin\utilwebget.exe" [X]
S2 WsysSvc; C:\ProgramData\eSafe\eGdpSvc.exe [X]
S3 esihdrv; \??\C:\Users\ikaaa\AppData\Local\Temp\esihdrv.sys [X]
S2 SPDRIVER_1.37.1.189; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.1.189\jsdrv.sys [X]
S1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; system32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [X]
U3 fwddakog; \??\C:\Users\ikaaa\AppData\Local\Temp\fwddakog.sys [X]
Task: {08AC59F4-2C27-4E30-B709-763EF2E214CA} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 
Task: {08CDD52A-8954-4434-98C0-608C1259574E} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 
Task: {2133DF6B-DC8E-4135-9153-F340EC57787C} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-7 => C:\Program Files (x86)\Sense\Sense-nova.exe 
Task: {36DBB82A-3818-40D8-828A-5F200C703249} - System32\Tasks\{15BACE32-35D8-476E-82D1-A2B5C8CA5BCE} => G:\FOLDER DO INST\Battlefield 3™\bf3.exe
Task: {3AD96D17-F989-408D-BC4A-5F781C0CC979} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.1.189\jsdrv.exe 
Task: {544FCF7E-DE5F-4BD5-A159-7C9D76E8BC6B} - System32\Tasks\UNELEVATE_25328 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.1.189\jsdrv.exe 
Task: {5557CAEB-C876-47C1-A3F1-F7E0EB6869AA} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-6 => C:\Program Files (x86)\Sense\Sense-novainstaller.exe 
Task: {5B43B6E8-6778-468A-AB0C-A08E90C849BB} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-2 => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-2.exe 
Task: {693AD7C2-E5AF-4A66-A2F0-8BD1068AFC2D} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-4 => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-4.exe 
Task: {6EAFFA92-9DA9-43D5-9AB5-224B159B88CE} - System32\Tasks\UNELEVATE_5226 => C:\Program Files (x86)\ShopperPro\JSDriver\1.36.1.172\jsdrv.exe 
Task: {8C589ED8-6300-49D1-AF05-A890317F30D9} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe 
Task: {94B8D4D3-8482-4074-8384-2E9C158847A4} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe 
Task: {A2E9C6C3-486C-4B28-900B-8C07D6B13260} - System32\Tasks\Express Files Updater => C:\Program Files (x86)\ExpressFiles\EFupdater.exe 
Task: {AF95CC6B-764D-494D-9049-A55CC8D43C76} - System32\Tasks\UNELEVATE_20909 => C:\Program Files (x86)\ShopperPro\JSDriver\1.36.1.172\jsdrv.exe 
Task: {B0EE11F4-8560-4C89-B4C2-29B543CB8DEF} - System32\Tasks\UNELEVATE_4237 => C:\Program Files (x86)\ShopperPro\JSDriver\1.37.1.189\jsdrv.exe 
Task: {B55068EE-FE19-42EB-967F-29643C1238F5} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-5 => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-5.exe 
Task: {D6C8FC30-A4CF-44DF-875A-59D0575AC41F} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-1 => C:\Program Files (x86)\Sense\Sense-codedownloader.exe 
Task: {EBDB6691-E438-4621-833E-A3C947C0D53E} - System32\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-3 => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-3.exe 
Task: {F3F8CF4B-CF01-4946-80CB-E254F2D10FF5} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 
Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-1.job => C:\Program Files (x86)\Sense\Sense-codedownloader.exe 
Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-2.job => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-2.exe 
Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-3.job => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-3.exe 
Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-4.job => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-4.exe 
Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-5.job => C:\Program Files (x86)\Sense\f3c825f8-dc21-4793-9f24-12a483c004ae-5.exe 
Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-6.job => C:\Program Files (x86)\Sense\Sense-novainstaller.exe 
Task: C:\Windows\Tasks\f3c825f8-dc21-4793-9f24-12a483c004ae-7.job => C:\Program Files (x86)\Sense\Sense-nova.exe 
AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57}
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bestsearchonweb.com
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
SearchScopes: HKCU - {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search/web?q={searchTerms}
BHO: No Name -> {11111111-1111-1111-1111-110411821192} -> No File
BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.)
BHO-x32: No Name -> {11111111-1111-1111-1111-110411821192} -> No File
BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.)
BHO-x32: IE MANAGER -> {DE274C2C-2133-4B4B-93B3-8F21486DABC0} -> C:\Users\ikaaa\AppData\Roaming\IE_fb\bho.dll ()
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKCU - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
CHR Extension: (Chrome Manager) - C:\Users\ikaaa\AppData\Local\Google\Chrome\User Data\Default\Extensions\opfkgldmlgoldjlhaecddmhjgnanodfl [2012-02-21]
CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Program Files (x86)\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbar.crx [2014-07-19]
CHR HKLM-x32\...\Chrome\Extension: [opfkgldmlgoldjlhaecddmhjgnanodfl] - C:\Users\ikaaa\AppData\Roaming\Chrome_manager\src.crx [2012-02-20]
CHR StartupUrls: Default -> "hxxp://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST9320325AS_5VE5FSJ7XXXX5VE5FSJ7&ts=1383964836"
C:\ProgramData\ShopperPro
C:\ProgramData\TEMP
C:\Users\ikaaa\AppData\Roaming\*
C:\Users\ikaaa\AppData\Roaming\aps.uninstall.scan.results
C:\Users\ikaaa\AppData\Roaming\Babylon
C:\Users\ikaaa\AppData\Roaming\Chrome_manager
C:\Users\ikaaa\AppData\Roaming\ExpressFiles
C:\Users\ikaaa\AppData\Roaming\ext@mozilla.com
C:\Users\ikaaa\AppData\Roaming\Fighters
C:\Users\ikaaa\AppData\Roaming\Hotdog Hotshot
C:\Users\ikaaa\AppData\Roaming\IE_fb
C:\Windows\pss\MyPC Backup.lnk.Startup
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^ikaaa^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^MyPC Backup.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppleSyncNotifier" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Application Restart #1" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FreeAC" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pando Media Booster" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SPDriver" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (to ma na celu zapobiegnięciu blokady FRST przez Comodo). Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przy wyłączonym Comodo uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

3. Specjalny skrót Internet Explorer jest uszkodzony (brak pecjalnego atrybutu):

 

Shortcut: C:\Users\ikaaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\ikaaa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Sharly1]

Problem w tym,że paczka o której mówisz została pobrana omyłkowo przez mojego młodszego siostrzeńca i zainstalowana przez niego.

Podrobiona informacja na stronie związanej z Tibia i miała być to ponoć Java. Był to plik .exe w procesach wyświetlający się jak proces javy.

Nie mam pojęcia gdzie te pliki mogły się rozpakować,dlatego tu jestem. Zabieram się do roboty,może ^ informacją da Ci jakąś wskazówkę.

Myślałem nad otwarciem owej instalki jeszcze raz win rarem i zobaczeniem co jest w środku,co o tym myślisz?

 

 

#edit

DONE

 

Nie mogę skorzystać z usług bankowych i służbowego maila,dopóki dopóty nie będę miał 100% pewności.

Czekam na odpowiedź.

AdwCleanerR0.txt

FRST.txt

[picasso]

Brakuje pliku Fixlog utworzonego podczas przetwarzania skryptu FRST. Dołącz.

 

 

Problem w tym,że paczka o której mówisz została pobrana omyłkowo przez mojego młodszego siostrzeńca i zainstalowana przez niego.

Podrobiona informacja na stronie związanej z Tibia i miała być to ponoć Java. Był to plik .exe w procesach wyświetlający się jak proces javy.

Nie mam pojęcia gdzie te pliki mogły się rozpakować,dlatego tu jestem.

W raportach nie widzę jawnej podróbki Java. Dla bezpieczeństwa będzie usuwana cała Tibia, Java i wszystkie boty dodatkowe.

 

 

.