weakplayer Opublikowano 11 Grudnia 2015 Zgłoś Udostępnij Opublikowano 11 Grudnia 2015 Witam! W dniu dzisiejszym zauważyłem, że moje konto Steam zostało skradzione (przez jakiegoś Rosjanina...). Maile z poczty (nieusunięte przez przestępcę) wskazują, że dostęp uzyskał wykorzystując opcję "przypomnij hasło", następnie przejął kod SteamGuard (wysyłany na pocztę po logowaniu z innego komputera) i przejął konto. Odpowiednie kroki zostały już podjęte - czyli kontakt z Support Steam, czekam teraz na odpowiedź i odzyskanie konta. Na tym jednak, poleconym mi, forum, chciałem poprosić o wyjaśnienie, jakim cudem ktoś mógł posiadać dostęp do poczty... hasło nie było banalne, składało się z ciągu nic nie znaczących liter i cyfr. Żadne dziwne strony, żadne dziwne linki nie były tu uruchamiane. Skan Malwarebytes Anti-Malware nie wykazał żadnych wirusów. O co tu chodzi? Jakim cudem do tego doszło? Teraz aż strach cokolwiek robić na tym komputerze... Bardzo prosiłbym o przejrzenie logów. Może coś działa w tle... czy warto formatować komputer? Jeśli będzie trzeba utworzę również logi GMER. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 12 Grudnia 2015 Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Nie widzę tu nic podejrzanego w raportach FRST w kontekście opisywanego zdarzenia. Ale nie podałeś również obowiązkowego GMER. Natomiast są inne rzeczy w systemie do korekty. Jest tu zainstalowana gra Black Desert. Cytuję z innego tematu z czym to jest związane: (...) instalacja gry Black Desert, która wprowadziła niepożądane obiekty typu adware/PUP, tzn. aktywną usługę THORN i sterownik Thetta: KLIK / KLIK / KLIK. R2 Thorn; C:\Users\LukeMike\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) R3 Thetta; C:\Windows\System32\DRIVERS\Thetta64.sys [312536 2015-08-31] (Windows ® Win 7 DDK provider) ... przy czym u Ciebie widzę tylko usługę THORN, bez sterownika: R2 Thorn; C:\Users\Brunek\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) 2015-11-26 11:48 - 2014-08-28 10:36 - 00732160 _____ () C:\Users\Brunek\AppData\Local\THORN\libGLESv2.dll 2015-11-26 11:48 - 2014-08-28 10:41 - 00856576 _____ () C:\Users\Brunek\AppData\Local\THORN\platforms\qwindows.dll 2015-11-26 11:48 - 2014-08-28 10:36 - 00047104 _____ () C:\Users\Brunek\AppData\Local\THORN\libEGL.dll Jest też program KMPFaster (Simplitec Power Suite) wątpliwej reputacji, kojarzony z niechcianymi instalacjami metodologią "PUP". Czyli na razie inne działania: 1. Odinstaluj stare wersje i w/w delikwentów: Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.3) MUI, Akamai NetSession Interface, Black Desert, KMPFaster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Thorn; C:\Users\Brunek\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] HKU\S-1-5-21-3545704842-3712530400-1413162972-1001\...\Run: [GalaxyClient] => [X] Task: {1A9414A7-457F-4234-AC5B-203902095B3D} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe C:\ProgramData\AVG C:\Users\Brunek\AppData\Local\Avg C:\Users\Brunek\AppData\Local\THORN C:\Users\Brunek\AppData\Roaming\AVG C:\Users\Brunek\Desktop\Programy\GameNet.lnk C:\Users\Brunek\Desktop\Programy\Skype.lnk Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "AO Link Server" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring"/ f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "GalaxyClient /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz zalegy GMER. Dołącz też plik fixlog.txt. Odnośnik do komentarza
weakplayer Opublikowano 12 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 12 Grudnia 2015 Wszystko zrobione. Odnośnie programu GMER, podczas włączania wyskakuje błąd Kiedy próbuje zrobić pełny skan otrzymuje blue screen z błędem : ATTEMPTED_WRITE_TO_READONLY_MEMORY (win32k.sys) Emulatory typu Daemon usunięte. Próba z wyłączonym Avastem nic nie dała. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2015 Zgłoś Udostępnij Opublikowano 13 Grudnia 2015 Sprawdź czy GMER wykona się z poziomu Trybu awaryjnego Windows. A Fix FRST pomyślnie wdrożony. Odnośnik do komentarza
weakplayer Opublikowano 13 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 13 Grudnia 2015 Próbowałem włączyć GMER z trybu awaryjnego ale nic nie pomogło. Odnośnik do komentarza
picasso Opublikowano 13 Grudnia 2015 Zgłoś Udostępnij Opublikowano 13 Grudnia 2015 Zamiennie sprawdź co powie Kaspersky TDSSKiller. Jeśli nic nie wykryje, log z niego zbędny. I jakoś szczerze wątpię, by tu był rootkit... Odnośnik do komentarza
weakplayer Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Kaspersky TDSSKiller nic nie wykrył. Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Chyba już tu nic więcej nie wymyślę. W raportach nie było oznak infekcji powiązanych ze zdarzeniem. Nie wiem w jaki sposób nastąpiło przejęcie danych. Odnośnik do komentarza
Rekomendowane odpowiedzi