Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Zamiana numeru konta bankowego przy kopiowaniu

Tomek1623

Przez Tomek1623
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

Tomek1623

Tomek1623

Opublikowano
Opublikowano

Witam, kilka dni temu wykonując przelew na podany nr konta, po skopiowaniu go i wklejaniu był zamieniany na inny, ale wszystko było w porządku kiedy wpisałem go ręcznie. Przelew poszedł a na drugi dzień okazało się że pieniądze poszły na zupełnie inny nr konta niż wpisany. Dzisiaj zadzwoniła do mnie pani z banku i powiedziała że wykryto u mnie wirusa zamieniającego nr konta. Bank nie dopuścił do transakcji i wrócili mi pieniądze.

 

Zaraz po tym jak zrobiłem przelew (ten od którego wszystko się zaczeło) na pclab pomagał mi Miszel03, sprawdzał logi podał Fix-a do FRST .

 

FF SearchPlugin: C :\Program Files ( x86 )\ mozilla firefox\ br

EmptyTemp :

 

Robiliśmy testy i nie zauważyłem żeby sytuacja się powtarzała.

 

Polecił mi założyć temat tutaj i poprosić Was o pomoc. Nie chciał bym formatować komputera a nie jestem pewny czy już pozbyłem się tego świństwa.

 

Logi

 

FRST

 

Shortcut http://wklej.org/id/1503128/

 

Addition http://wklej.org/id/1503129/

 

FRST http://wklej.org/id/1503130/

 

OTL http://wklej.org/id/1503132/

 

Extras http://wklej.org/id/1503136/

 

Nie mogę zrobić raportu GMER wyskakuje takie coś, wszystkie zbędne programy wyłączone.

http://s14.directupload.net/images/141029/wihssi67.jpg

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano

Witam, kilka dni temu wykonując przelew na podany nr konta, po skopiowaniu go i wklejaniu był zamieniany na inny, ale wszystko było w porządku kiedy wpisałem go ręcznie. Przelew poszedł a na drugi dzień okazało się że pieniądze poszły na zupełnie inny nr konta niż wpisany. Dzisiaj zadzwoniła do mnie pani z banku i powiedziała że wykryto u mnie wirusa zamieniającego nr konta. Bank nie dopuścił do transakcji i wrócili mi pieniądze.

Tu było jawne malware manipulujące na kontach bankowych, udające "statystyki Microsoftu". Na tamtym forum temat zaczynał się z czynnym malware uruchamianym z wielokrotnych kopii via Autostart oraz Harmonogram zadań:

 

==================== Processes (Whitelisted) =================
 

() C:\ProgramData\WinSTAT\SYS.exe

() C:\ProgramData\WinSTAT\data\winhost32.exe

(Microsoft® Corporation) C:\ProgramData\WinSTAT\WinSTAT.exe

(Microsoft® Corporation) C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe
 

==================== Registry (Whitelisted) ==================
 

HKLM-x32\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe [1460224 2014-09-07] (Microsoft® Corporation)

HKU\S-1-5-21-606281877-1479866930-3929170589-1000\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe [1460224 2014-09-07] (Microsoft® Corporation)

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe (Microsoft® Corporation)

Startup: C:\Users\Tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\WinSTAT.exe (Microsoft® Corporation)
 

==================== Scheduled Tasks (whitelisted) =============
 

Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe [2014-09-07] (Microsoft® Corporation)

 

Nie zostały te wpisy zauważone, dopiero ESET wychwycił komponenty "WinSTAT" i skasował szkodnika częściowo. Obecnie nadal jest w systemie to szkodliwe zadanie "WinSTAT", tylko już bez pliku (ale cały folder nadal na dysku):

 

==================== Scheduled Tasks (whitelisted) =============
 

Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe

 

Sprawa poboczna:

 

podał Fix-a do FRST

Ten skrypt nie miał związku z malware omawianym powyżej. Zresztą skrypt i tak w ogóle nie został przetworzony (nie podałeś wynikowego fixlog.txt, ale widać, że nic nie zostało zrobione): dopiero MBAM dokasował tę wyszukiwarkę adware istartsurf.xml z Firefox, zaś Tempy nadal nie wyczyszczone. I tu nie koniec czyszczenia z adware: na koncie Tomek w Firefox jest nadal adware-przekierowanie nowej karty, zaś na koncie Mateusz skróty LNK przeglądarek są zmodyfikowane.

 

 

Poprawkowe działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Task: {80661CB9-B627-42DD-AEAA-F09D62EEFA9A} - System32\Tasks\WinSTAT => C:\ProgramData\WinSTAT\WinSTAT.exe
ShortcutWithArgument: C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408122845&from=smt&uid=SAMSUNGXHD200HJ_S16KJDWQ806266
ShortcutWithArgument: C:\Users\Mateusz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1408122845&from=smt&uid=SAMSUNGXHD200HJ_S16KJDWQ806266
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File
FF Plugin HKCU: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll No File
HKU\S-1-5-21-606281877-1479866930-3929170589-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep"
BootExecute: autocheck autochk * sdnclean64.exe
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
C:\ProgramData\WinSTAT
C:\Windows\DEA314C409294250BC9298E4C105F28D.TMP
RemoveDirectory: C:\Users\Administrator
Folder: C:\Users\Tomek\AppData\Roaming\tor
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować.

 

3. W systemie są dwa czynne konta:

 

========================= Accounts: ==========================
 

Mateusz (S-1-5-21-606281877-1479866930-3929170589-1003 - Administrator - Enabled) => C:\Users\Mateusz

Tomek (S-1-5-21-606281877-1479866930-3929170589-1000 - Administrator - Enabled) => C:\Users\Tomek

 

Dotychczas były sprawdzane raporty z konta Tomek. Wymagane raporty z obu kont. Po kolei zaloguj się na każde z nich poprzez pełny restart komputera (a nie opcję Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi na każdym koncie. Dołącz też plik fixlog.txt.

 

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Fix pomyślnie przetworzony. Na koncie Mateusz również są nieusunięte szczątki malware WinSTAT. Poprawki będąc zalogowanym na koncie Mateusz. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-606281877-1479866930-3929170589-1003\...\Run: [Windows® Statistics Service] => C:\ProgramData\WinSTAT\WinSTAT.exe
S2 jhi_service; "C:\Program Files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe" [X]
RemoveDirectory: C:\Users\Mateusz\AppData\Roaming\tor
RemoveDirectory: C:\Users\Mateusz\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Users\Tomek\AppData\Roaming\tor
RemoveDirectory: C:\Users\Tomek\Desktop\Stare dane programu Firefox
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

I trzeba się zastanowić jakie było źródło tego malware. Prawdopodobnie pobrałeś coś co miało doczepionego backdoora. Czy jesteś w stanie powiązać wystąpienie objawów ze ściągnięciem czegoś konkretnego?

 

 

 

.

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Czy wykonałeś Fix?

 

Typowy VBKlip opiera się na pojedynczym zadaniu startującym via Harmonogram. Log z FRST przedstawi go w ten sposób:

 

==================== Scheduled Tasks (whitelisted) =============
 

Task: {D23B4F95-12F2-413D-A3A9-C55814ED46D3} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe [2014-08-15] (Microsoft® Corporation)

Task: {3E60B94C-D9C5-44DC-8F4A-785A3D92D2A3} - System32\Tasks\SYSTEM => C:\ProgramData\wms.exe [2014-10-12] (Microsoft® Corporation)

 

U Ciebie występował inny bardziej rozbudowany wariant uruchamiający się wielokrotnie na różne sposoby. Nie jestem pewna co to za wersja ten "WinSTAT".

Odnośnik do komentarza
picasso

picasso

Opublikowano
Opublikowano

Ten wpis nadal jest, ale już wiem czemu się nie skasował, pewnie kwestia formatowania przekształconego przez forum (znaczek "R" w nawiasie przekonwertowany w poście na znak zastrzeżony ®). Finalizując sprawy:

 

1. Siedząc na koncie Mateusz Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > przejdź do klucza:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

Z prawokliku skasuj wartość Windows® Statistics Service kierującą do WinSTAT.exe.

 

2. Usuń używane narzędzia za pomocą DelFix.

 

3. Na wszelki wypadek zmieniłabym hasła logowania do banku.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...