Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Keyloggery ardamax, metakodix, infekcja systemu

vezovi

Przez vezovi
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

vezovi

vezovi

Opublikowano
Opublikowano

Witam, ostatnio zauważyłem spowolnienie pracy laptopa, więc wykonałem skan programem eset online scanner i wykrył on 34 podejrzane aplikacje w tym masę trojanów i keyloggerów, co widać w logu. Później włączyłem jeszcze malwarebytes, adwcleaner i skaner aviry, która jest moim antywirusem. Programy pousuwały większość zagrożeń, lecz część chyba została, a chciałbym pozbyć się tego na dobre. 

 

http://wklej.org/id/2090379/ - log aviry, nie mogłem wstawić w załącznik przez inny format

http://wklej.org/id/2090390/ - log gmer

Addition_12-03-2016_13-28-58.txt

AdwCleanerC1.txt

AdwCleanerS1.txt

FRST_12-03-2016_13-28-58.txt

log.txt

Odnośnik do komentarza
  • 4 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
picasso

picasso

Opublikowano
Opublikowano (edytowane)

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs - to jest archiwum. Bieżące raporty powstają zawsze tam skąd uruchamiasz FRST, w tym przypadku folder Pobrane. Poza tym, zabrakło trzeciego obowiązkowego raportu FRST Shortcut.

 

Oznak czynnej infekcji brak. Аrdаmаx Keylogger prawdopodobnie był tu celowo ręcznie instalowany, a nie przemycony w niechciany sposób. W raportach widać tylko odpadkowe foldery po nim oraz szczątki adware, w tym przekierowania Ask wprowadzone przez świeżą instalację RealPlayer. Log AdwCleaner z czyszczenia jest urwany i chyba część się nie przetworzyła, na razie zaadresuję tylko to co widać w raportach FRST. Operacje do wdrożenia:

 

1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe Flash Player 19 PPAPI, Adobe Flash Player 20 NPAPI, Adobe Shockwave Player 12.0, DivX Setup, Java 7 Update 25, Qtrax Player.

 

2. Otwórz Notatnik i wklej w nim:

 

CreateRestorePoint:
Task: {01A92C01-A358-4D87-912B-88591AA92157} - System32\Tasks\{0566335F-2F32-464A-A985-7C29CF2DA4FC} => Firefox.exe hxxp://ui.skype.com/ui/0/6.2.60.106/pl/abandoninstall?page=tsProgressBar
Task: {14B50B77-F149-4CAE-AE87-76A0223DFD5C} - System32\Tasks\Norton Security Scan for Agata => C:\Program Files (x86)\Norton Security Scan\Engine\4.0.1.16\Nss.exe
Task: {2EFDA665-88A2-4EC8-A896-C3854D67D1E1} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe
Task: {584FB65B-4078-4F2D-A88E-7C562F160446} - System32\Tasks\{B836B11F-1660-4C64-8E2D-6EF6FB4366C2} => pcalua.exe -a D:\Autorun.exe -d D:\
Task: {814C8C47-66E5-44B3-A19E-C8FB31FF4FCA} - System32\Tasks\{AEBBDEE1-AD2E-4167-920B-7B0DB92A7A82} => pcalua.exe -a D:\Autorun.exe -d D:\
Task: {E20EB405-74D2-4ECB-9BA6-3655D7F217E7} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_209_pepper.exe
Task: {E6FAEFC0-9FA8-4B31-9CA1-EDB4FA08625F} - System32\Tasks\advRecovery => C:\Program Files\Samsung\Recovery\WCScheduler.exe [2012-09-04] (SEC)
Task: C:\WINDOWS\Tasks\Adobe Flash Player PPAPI Notifier.job => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_209_pepper.exe
Task: C:\WINDOWS\Tasks\Norton Security Scan for Agata.job => C:\Program Files (x86)\Norton Security Scan\Engine\4.0.1.16\Nss.exe
Task: C:\WINDOWS\Tasks\RMSchedule.job => C:\Program Files (x86)\PC Tools Registry Mechanic\RegMech.exe
Task: C:\WINDOWS\Tasks\WpsNotifyTask_Agata.job => C:\Program Files (x86)\Kingsoft\Kingsoft Office\wtoolex\wpsnotify.exe
Task: C:\WINDOWS\Tasks\WpsUpdateTask_Agata.job => C:\Program Files (x86)\Kingsoft\Kingsoft Office\wtoolex\wpsupdate.exe
HKU\S-1-5-18\...\Run: [KSS] => "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Scan\kss.exe" autorun
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => Brak pliku
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\FAH.lnk [2016-03-04]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Update Notifier.lnk [2016-03-04]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HomePage: Default -> search.ask.com/?gct=hp
CHR StartupUrls: Default -> "hxxp://www.google.com/","www.wp.pl/?src01=dp220140905"
CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms}
CHR DefaultSearchKeyword: Default -> search.ask.com
CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files (x86)\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2013-02-07]
FF SearchEngineOrder.1: Ask.com
FF Homepage: hxxps://www.malwarebytes.org/restorebrowser//?appId=AF646E7C-211E-4270-9E2B-F2696D4681EF&bp=1
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140905
SearchScopes: HKU\S-1-5-21-132808117-4188919328-2083618679-1002 -> DefaultScope {460C3D19-B3D4-4964-A550-77D263B0CCCB} URL =
Toolbar: HKLM-x32 - Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
IE Session Restore: HKU\S-1-5-21-132808117-4188919328-2083618679-1002 -> [funkcja włączona]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\BrowserProtect
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GlobalUpdater
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\NAUpdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\NOBU
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PCToolsSSDMonitorSvc
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PSI_SVC_2_x64
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\RealNetworks Downloader Resolver Service
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TunngleService
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird
DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Windows\CurrentVersion\Run
DeleteKey: HKU\S-1-5-21-132808117-4188919328-2083618679-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Facebook Update" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v FlashPlayerUpdate /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Gameo /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Pokki /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v NextLive /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v egui /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe ARM" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v ApnUpdater /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v DivXMediaServer /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v DivXUpdate /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Norton Online Backup" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SSDMonitor /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v RealDownloader /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StatupFolder /v "McAfee Security Scan Plus.lnk" /f
RemoveDirectory: C:\Program Files (x86)\AdwCleaner
RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins
RemoveDirectory: C:\ProgramData\CCP
RemoveDirectory: C:\ProgramData\F-Secure
RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files
RemoveDirectory: C:\ProgramData\Temp
RemoveDirectory: C:\Users\Agata\Doctor Web
RemoveDirectory: C:\Users\Agata\AppData\Local\CrashRpt
RemoveDirectory: C:\Users\Agata\AppData\Local\F-Secure
RemoveDirectory: C:\Users\Agata\AppData\Local\FSDART
RemoveDirectory: C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Аrdаmаx Keylogger 4.4.2
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

  • Zresetuj synchronizację (o ile włączona), punkt 2: KLIK.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wyszukiwarkę Ask.
4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition, ale zaznacz pole Shortcut. Dołącz też plik fixlog.txt. Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...