Prawdopodobnie keylogger

[Ignac]

Witam, wczoraj siostra otrzymała informację o zalogowaniu się do jej konta na facebooku z Teheranu. Po sprawdzeniu okazało się, że ktoś zmienił jej hasło na facebooku oraz powiązanym z nim mailu. Po odzyskaniu i zmianie haseł (na dwa różne) sytuacja taka powtórzyła się jeszcze dwukrotnie w ciągu dnia. Kolejna zmiana haseł odbyła się już na innym laptopie i od tego czasu wszystko jest w porządku, nikt nie włamuje się już na jej konto.

 

Zanim zostałem poproszony o pomoc komputer został przeskanowany Adwcleanerem i Avastem, co wykrył pierwszy program tego niestety nie wiem, pełne skanowanie avasta nic nie wykryło.

 

Skanowanie FRST oraz GMER zrobiłem zdalnie za pomocą TeamViewer9, mam nadzieję że nie przeszkadza to w prawidłowym działaniu tych programów, gdyby jednak coś było nie tak to jutro postaram się wrzucić logi zrobione już lokalnie bez użycia TeamViewera.

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

[picasso]

W raportach nie widzę żadnych oznak infekcji tego typu. Niemniej zastanawia mnie Singapurski DNS (OpenDNS) pobierany z routera - czy to celowe ustawienie?

 

Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 208.67.220.220

 

Poza tym widzę stare adware, stare niebezpieczne wersje programów oraz starszą wersję Avast, różne odpadkowe wpisy, fatalne statystyki wolnego miejsca na dysku i jakieś błędy w Dzienniku powiązane z niemożnością utworzenia punktu Przywracania (być może powiązane z brakiem miejsca na dysku).

 

Drive c: (ACER) (Fixed) (Total:85.3 GB) (Free:1.71 GB) NTFS

 

 

Na razie częściowo adresuję powyższe aspekty:

 

1. Odinstaluj stare niebezpieczne wersje i inne niepożądane programy: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Shockwave Player 11.6, Facebook Video Calling 3.1.0.521, FoxTab Media Player (adware), Java 8 Update 45, Java™ 6 Update 32, Java™ 6 Update 34, JavaFX 2.1.1, McAfee Security Scan Plus, Opera 11.62, SpyHunter (skaner z czarnej listy).

 

2. Na czas tej operacji wyłącz SpyShelter, by nie zablokował FRST. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449
ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449
CHR HomePage: Default -> hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449
CHR StartupUrls: Default -> "hxxp://www.22find.com/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234449"
CHR DefaultSearchURL: Default -> hxxp://search.22find.com/web/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234464&type=default&q={searchTerms}
CHR DefaultSearchKeyword: Default -> 22find.com
HKU\S-1-5-21-1064041401-3872098482-3789036179-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.22find.com/newtab?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234461
HKU\S-1-5-21-1064041401-3872098482-3789036179-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.22find.com/newtab?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234461
URLSearchHook: HKU\S-1-5-21-1064041401-3872098482-3789036179-1000 - (Brak nazwy) - {51a86bb3-6602-4c85-92a5-130ee4864f13} - Brak pliku
SearchScopes: HKU\S-1-5-21-1064041401-3872098482-3789036179-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.22find.com/web/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234464
SearchScopes: HKU\S-1-5-21-1064041401-3872098482-3789036179-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.22find.com/web/?utm_source=b&utm_medium=wid&from=wid&uid=TOSHIBAXMK3265GSX_40U8C2K3TXX40U8C2K3T&ts=1359234464
BHO: Complitly -> {0FB6A909-6086-458F-BD92-1F8EE10042A0} -> C:\Users\Admin\AppData\Roaming\Complitly\64\Complitly64.dll => Brak pliku
Toolbar: HKLM - Brak nazwy - !{D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku
Toolbar: HKLM - Brak nazwy - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - Brak pliku
Toolbar: HKLM-x32 - Brak nazwy - !{D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku
Toolbar: HKLM-x32 - Brak nazwy - !{F9639E4A-801B-4843-AEE3-03D9DA199E77} - Brak pliku
Task: {6CE146EF-4C7C-4671-B69D-78D73AD36D6B} - System32\Tasks\{B10BA226-D3EF-46FE-BCC5-A09777D8F156} => F:\iriver plus 3\iplus3_setupex.exe
Task: {872D6613-C62A-4ED8-993C-A9E909EEC18E} - System32\Tasks\{AB17AA70-C6D0-40EA-8FED-27670232857C} => Firefox.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/go/help.faq.installer?LastError=1618
HKU\S-1-5-21-1064041401-3872098482-3789036179-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [3231232 2016-01-22] (Microsoft Corporation) 
S3 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [5504 2009-11-12] ()
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 PCDSRVC{6DD8E36B-3D64B770-06020101}_0; \??\c:\users\admin\appdata\local\temp\xxypfl77czv9\pcdrdiag\bin\pcdsrvc_x64.pkms [X]
S4 sptd; System32\Drivers\sptd.sys [X]
DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EgisTecPMMUpdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EgisUpdate
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mwlDaemon
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SuiteTray
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
C:\Program Files (x86)\Mozilla Firefox\plugins
C:\ProgramData\Temp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GIMP 2.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SIO.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcerSystem\AcerSystem User's Guide.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Activision
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dont Starve Reign of Giants
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gimnazjum klasa 2 - Puls zycia
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iriver
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Last.fm
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimus Nexus
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PhotoScape
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\System Informacji Oświatowej
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks Closed Beta
C:\Users\Admin\AppData\Local\{7273595F-CEA5-461B-845D-E936E3B09712}
C:\Users\Admin\AppData\Local\{9F0C4C02-3A27-45DE-B87B-6167F8001E03}
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\novo_price_comparison.crx
C:\Users\Admin\AppData\Roaming\skype.ini
C:\Users\Admin\AppData\Roaming\DAEMON Tools Lite
C:\Users\Admin\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\FoxTab Media Player
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenFM.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Testy Gimnazjalne 2013
C:\Users\Admin\Desktop\tata\Gimnazjum klasa 2 - Puls życia.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Welcome Center.lnk
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\system32\FxsTmp
C:\Windows\System32\Drivers\StarOpen.sys
C:\Windows\SysWOW64\adbT.exe
C:\Windows\SysWow64\Drivers\StarOpen.sys
CMD: for /d %f in (C:\Users\Admin\AppData\Local\{*}) do rd /s /q "%f"
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

[Ignac]

Punkty 1-3 zrobię po godzinie 16 kiedy wrócę z pracy.

 

Jeżeli chodzi o brak miejsca na dysku to prawdopodobnie punkty przywracania systemu / jakieś kopie zapasowe. Niestety mimo kilkukrotnego już wyłączania tych opcji i zwalniania miejsca problem powraca - punkty przywracania ponownie zaczynają się robić i zapełniać dysk C

 

Singapurski serwer DNS - nigdy samemu nic nie zmieniałem w ustawieniach routera, był on skonfigurowany jakieś 3-4 lata temu przez administratora lokalnej sieci.

[Rucek]

Jeżeli chodzi o brak miejsca na dysku to prawdopodobnie punkty przywracania systemu / jakieś kopie zapasowe.

Jeśli nie jesteś pewien, tutaj masz fajny programik SpaceSniffer, który pokazuje dokładnie co masz na dysku - jeden z najlepszych programów ever Uważaj na potencjalne adware przy instalacji - nie wiem czy jakieś jest czy nie.

[picasso]

Singapurski serwer DNS - nigdy samemu nic nie zmieniałem w ustawieniach routera, był on skonfigurowany jakieś 3-4 lata temu przez administratora lokalnej sieci.

Czy masz dostęp do konfiguracji routera? Jeśli tak, to dla pewności można będzie zmienić adresy DNS.

 

 

Jeżeli chodzi o brak miejsca na dysku to prawdopodobnie punkty przywracania systemu / jakieś kopie zapasowe. Niestety mimo kilkukrotnego już wyłączania tych opcji i zwalniania miejsca problem powraca - punkty przywracania ponownie zaczynają się robić i zapełniać dysk C

W obecnej sytuacji punkty Przywracania systemu raczej nie mają tu nic do rzeczy, bo w skanie FRST brak wykrytych jakichkolwiek punktów (pusta lista). A ten zadany przez Rucka SpaceSniffer do zastosowania dopiero po zadanych działaniach, gdyż komenda EmptyTemp: może zmienić statystyki.

[Ignac]

Programy usunięte, przeglądarki wyczyszczone, logi w załącznikach.

 

Udało mi się zalogować do routera, ale nie widzę tam nigdzie możliwości zmiany serwera DNS - w zakładce WAN jest on po prostu podany (8.8.8.8) i nic nie można na niej zmienić oprócz WAN connection type. Są jeszcze dwa przyciski Release/Renew WAN Lease. Model routera to jakiś Thomson, na szybko widziałem że ponoć trzeba się zalogować jako superuser ale póki co nie udało mi się tego zrobić, jak coś się zmieni zedytuję posta albo jutro zadzwonię do administratora czy można to jakoś zmienić i czy on ustawia Singapurskie serwery DNS.

Addition.txt

Fixlog.txt

[picasso]

Zabrakło głównego raportu FRST.txt. Uzupełnij.

 

A EmptyTemp: usunęło tylko 1.1 GB, więc potem wdróż diagnostykę SpaceSniffer co i gdzie zżera miejsce.

[Ignac]

Zająłem się właśnie zwalnianiem miejsca, nie było trudno znaleźć co zajmuje tyle miejsca - folder winsxs zajmuje 30GB także już odpaliłem oczyszczanie dysku. Do tego foldery takie jak crashreport firefoxa - 36000 plików prawie 2GB. Ogólnie laptop używany od 6 lat przez 3 użytkowników i to dość intensywnie także zostało dużo różnych śmieci.

FRST.txt

[picasso]

Jeśli chodzi o sprzątanie FRST, to prawie wszystko zrobione. Jeszcze drobne korekty. Otwórz Notatnik i wklej:

 

S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera
CMD: del /q C:\Windows\SysWOW64\deployJava1.dll
CMD: del /q C:\Windows\SysWOW64\npdeployJava1.dll
FF Plugin-x32: @java.com/DTPlugin,version=10.5.1 -> C:\Windows\SysWOW64\npDeployJava1.dll [2012-07-05] (Oracle Corporation)
FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Opera
RemoveDirectory: C:\Users\Admin\AppData\Local\Facebook
RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox
RemoveDirectory: C:\Windows\BCD5545077AC4347B24F654B1189F8D4.TMP

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw fixlog.txt. Nowe skany FRST nie są potrzebne.

Edytowane 16 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso