Nieautoryzowana transakcja Paypal

[luckyskill]

Witajcie, wczoraj wszedłem do pokoju i ukazał mi się ekran który informował, że przesłałem 800$ do jakieś osoby, od razu zareagowałem utworzyłem zgłoszenie do paypal i wtedy się zaczeło, myszka sama zamykała mi przeglądarkę więc zgłoszenie zrobiłem z innego komputera, po czym przeskanowałem mój, najpierw za pomocą adwcleaner który wykrył jakieś dodatki w google chrome (hxxp) i teraz przeskanowałem programem GMER który również wykrył jakieś zagrożenia, logi dodałem jako załącznik. Shortcut.txt się nie utworzył.

AdwCleanerC1.txt

AdwCleanerS4.txt

Addition.txt

FRST.txt

GMER.txt

[picasso]

Nie zaznaczyłeś pola Shortcut w oknie FRST, dlatego nie utworzył się.

 

Te znaleziska AdwCleaner nie są powiązane, to tylko drobne szczątki adware. AdwCleaner to nie jest program do czyszczenia trojanów, adresuje tylko i wyłącznie typ adware i PUP. W systemie widać jakąś infekcję, w trzech miejscach: w katalogu Startup (ATIODE.url kierujący do ATIODE.exe) oraz dwa zadania w Harmonogramie (Security Update Checker + Virtual Disk Service Manager). Infekcja jest czynna (załadowany proces ATIODE.exe, notowany też jako podejrzany w GMER). Prawdopodobnie nabyłeś ją z jakiegoś cracka, bo widzę że była conajmniej jedna "kombinacja" tego typu.

 

 

Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
InternetURL: C:\Users\lucky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ATIODE.url -> file:///C:\Users\lucky\AppData\Roaming\Microsoft\ATIODE.exe
Task: {25F81A29-F1E7-430E-B1BD-CA2B1074A35F} - System32\Tasks\Virtual Disk Service Manager => C:\Users\lucky\AppData\Roaming\TS3Client\MSSvc\mssvc.exe
Task: {7BEAB4D9-CE36-4D0F-BE1D-042A8331893A} - System32\Tasks\Driver Booster SkipUAC (lucky) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {E71B6B39-0F70-4C16-B860-C6F5002CD766} - System32\Tasks\Updates\Security Update Checker => C:\Users\lucky\AppData\Roaming\Microsoft\SysHex.exe
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Updates
CHR HKU\S-1-5-21-823081088-4079517195-30393728-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
BootExecute: autocheck autochk *
C:\ProgramData\ddf2c5aa08022b15bbf75cb48d8afde6fd92b21c
C:\Users\lucky\AppData\Local\Opera Software
C:\Users\lucky\AppData\Roaming\Opera Software
C:\Users\lucky\AppData\Roaming\services
C:\Users\lucky\AppData\Roaming\Microsoft\*.exe
C:\Users\lucky\Downloads\IOBit Driver Booster Pro 3.1.0.332 + Crack [s0ft4PC]
C:\WINDOWS\Tasks\ImCleanDisabled
C:\Windows\System32\Tasks\Updates
Folder: C:\Users\lucky\AppData\Roaming\TS3Client
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z zaległym Shortcut. Dołącz też plik fixlog.txt.

[luckyskill]

Wykonałem wszystko i załączam pliki, tak przy okazji czytania tej list którą wrzuciłem jako fixlist.txt pojawiła się nazwa IOBit Driver Booster Pro 3.1.0.332 był to folder którego nigdy nie mogłem usunąć, a mam taki drugi o nazwie installer, a wewnątrz installer.exe nie wiem czy jest to powiązane, ale warto o tym wspomnieć.

Fixlog.txt

FRST.txt

Shortcut.txt

[luckyskill]

I co dalej ?

[picasso]

luckyskill, proszę nie podbijaj tematu. Odpowiadam gdy jestem w stanie. Brak odpowiedzi = nie mam możliwości czasowych. Rozejrzyj się co się dzieje w dziale, a jestem jedyną osobą do pomocy. Odpowiem w Twoim temacie, gdy będę do tego zdolna.

 

PS. Tylko od razu sprecyzuj jaka jest ścieżka do tego folderu:

 

a mam taki drugi o nazwie installer, a wewnątrz installer.exe nie wiem czy jest to powiązane, ale warto o tym wspomnieć

[luckyskill]

Wybacz nie wiedziałem, tym bardziej podziwiam i dziękuje za pomoc, ścieżka wygląda tak:

C:\Users\lucky\Downloads\installer\installer.exe

[picasso]

Ja sądzę, że to właśnie te krakersy Cię załatwiły. A trojan został pomyślnie usunięty. Jeszcze w folderze TeamSpeak jest podejrzany folder "MSSvc", z niego były próby uruchamiania malware - sprawdziłam instalację TamSpeak i taki folder nie jest tworzony. Załączę też usuwanie opornego folderu "installer". Czyli:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\lucky\AppData\Roaming\TS3Client\MSSvc
RemoveDirectory: C:\Users\lucky\Downloads\installer

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Na wszelki wypadek przeinstaluj też cały TeamSpeak 3 Client od zera, bo nie jestem w stanie stwierdzić na oko czy to wszystkie modyfikacje w tym folderze. Po deinstalacji usuń cały folder C:\Users\lucky\AppData\Roaming\TS3Client. I dopiero po tym zainstaluj od nowa.

 

3. Kosmetyczna sprawa w Google Chrome: Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

[luckyskill]

Wszystko oprócz folderu installer się usunęło.

Fixlog.txt

[picasso]

Przejdź w Tryb awaryjny Windows i zapuść taki oto skrypt do FRST:

 

RemoveDirectory: C:\Users\lucky\Downloads\installer

 

Przedstaw wynikowy fixlog.txt.

[luckyskill]

Zrobiłem to w trybie awaryjnym, ale nic się nie zmieniło.

Fixlog.txt

[picasso]

Zrób ponownie fixlist.txt o tej samej zawartości co poprzednio. Przenieś go razem z FRST wprost na C:\. F8 przy starcie komputera > Napraw komputer > Wiersz polecenia > uruchom FRST wg wskazówek: KLIK. Klik w Napraw (Fix). Na C:\ powstanie fixlog.txt. Zaloguj się ponownie do Windows i przedstaw ten plik.

[luckyskill]

Po wejściu w wiersz poleceń i przy próbie uruchomienia aplikacji otrzymuje komunikat, że aplikacji nie znaleziono, domyślnie byłem w X:\\windows\system32 przeszedłem do dysku C i tam starałem się uruchomić aplikację.

[picasso]

W instrukcji jest podane, by sprawdzić za pomocą Notatnika mapowanie dysków. To co jest C spod działającego Windows, wcale nie musi być C w środowisku RE. Tu dysk z system przypuszczalnie jest pod D, bo jest ukryta partycja rozruchowa "Zastrzeżone przez system" (w RE widoczna i mapowana jako pierwsza, więc to ona ma C). Ale to sprawdzisz trikiem z Notatnikiem.

[luckyskill]

Rzeczywiście było w dysku D, uruchomiłem aplikacje, włączyła się na chwilę i wyłączyła, gdy wywołałem komendę uruchomienia jej jeszcze raz, nie podziałało.

[picasso]

Skoro FRST się już zdołał uruchomić, to przemapował dysk tymczasowo w pamięci i ustawił C, czyli dwa razy wklepujesz komendę uruchomienia: za pierwszym razem przed uruchomieniem FRST na D, ale gdy już FRST się uruchomi i przemapuje dyski po czym zamknie, to inicjujesz go ponownie z C.

[luckyskill]

Okej poszło

fixlist.txt

[picasso]

Ale Ty mi podałeś fixlist a nie fixlog.

[luckyskill]

Mój błąd Teraz próbuje dodać do załącznika, ale pokazuje się "Wysyłanie ominięte (Nie wybrano pliku do importu)"[/size]

 

Dlatego wrzucam:

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:12-12-2015

Uruchomiony przez SYSTEM (2015-12-12 21:05:04) Run:6

Uruchomiony z C:\

Tryb startu: Recovery

==============================================

 

fixlist - zawartość:

*****************

RemoveDirectory: C:\Users\lucky\Downloads\installer

*****************

 

RemoveDirectory: C:\Users\lucky\Downloads\installer => Błąd: Ta dyrektywa działa tylko poza środowiskiem odzyskiwania.

 

==== Koniec Fixlog 21:05:04 ====

[picasso]

Nie wiem o co chodzi, dyrektywa ta powinna działać w środowisku RE... Zamiennie wypróbuj taki skrypt:

 

Unlock: C:\Users\lucky\Downloads\installer
C:\Users\lucky\Downloads\installer

[luckyskill]

Zrobiłem to już w systemie i chyba zadziałało bo folder zniknął.

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:12-12-2015

Uruchomiony przez lucky (2015-12-12 21:36:14) Run:7

Uruchomiony z C:\

Załadowane profile: lucky (Dostępne profile: lucky)

Tryb startu: Normal

==============================================

 

fixlist - zawartość:

*****************

Unlock: C:\Users\lucky\Downloads\installer

C:\Users\lucky\Downloads\installer

*****************

 

"C:\Users\lucky\Downloads\installer" => został odblokowany

C:\Users\lucky\Downloads\installer => pomyślnie przeniesiono

 

==== Koniec Fixlog 21:36:14 ====

[picasso]

Wprawdzie skrypt miał być uruchomiony z poziomu RE a nie trybu normalnego, ale zadanie wykonane. Teraz:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro. Nic nie usuwaj, tylko podaj wyniki. By plik wszedł w załącznik, musi mieć rozszerzenie *.txt (po prostu zapisz ponownie do nowego pliku).

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso