alfa4ce Opublikowano 18 Czerwca 2017 Zgłoś Udostępnij Opublikowano 18 Czerwca 2017 Bank stwierdził nieautoryzowany dostęp do konta bankowego - prawdopodobnie przejęcie hasła dostępowego w wyniku infekcji komputera. Program antywirusowy znalazł trojana WinLNK.StartPage.gena. Przeskanowałem wszystkie napędy zewnętrzne - brak infekcji. Na komputerze, oprócz Windowsa, jest zainstalowany jeszcze Linux. Załączam logi z FRST i GMER. FRST.txt Addition.txt Shortcut.txt gmer-full.txt Odnośnik do komentarza
alfa4ce Opublikowano 26 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2017 Załączam aktualne raporty z FRST i GMER. Proszę o sprawdzenie logów. Shortcut.txt Addition.txt FRST.txt gmer-raport.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Czerwca 2017 Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 W przeglądarkach są widoczne elementy adware w postaci śmieciowej wyszukiwarki do-search. Nie widzę żadnych innych oznak innych infekcji i szczerze powiedziawszy widząc Twój bunkier w postaci KIS oraz MBAM (apropos: wykonaj nimi pełny skan systemu i dostarcz wyniki) wątpię w możliwość w ogóle jej istnienia. Ta detekcja, rzekomo Trojana to nic innego niż właśnie to adware w przeglądarkach, o którym mówię. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {60A9034B-3E3F-4C14-98E9-44FF61B20C1B} - System32\Tasks\{1C13C2A6-D397-48FD-9C66-BB75F1091BED} => pcalua.exe -a D:\Y-226\U2v2_1_4.exe -d D:\Y-226 Task: {67363862-4046-4826-B881-F047DDA7BA8A} - System32\Tasks\{03633650-BBA8-4B82-902C-05C96380E87E} => pcalua.exe -a D:\DEMO32.exe -d D:\ AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [120] HKU\S-1-5-21-1405297173-1497940689-1013170819-1001\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku BHO: Brak nazwy -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> Brak pliku BHO-x32: Brak nazwy -> {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} -> Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF SelectedSearchEngine: Mozilla\Firefox\Profiles\0ihprbz8.default -> do-search CHR DefaultSearchURL: Default -> hxxp://do-search.com/web/?type=ds&ts=1429412508&from=cor&uid=CrucialXCT256MX100SSD1_15030E6511DC0E6511DC&q={searchTerms} CHR DefaultSearchKeyword: Default -> do-search CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W przeglądarce Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 3. W przeglądarce Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin (aktualnie masz AdBlocka - polecam go wymienić). 4. Dostarcz plik Fixlog i sam raport FRST już bez Addition i Shortcut, by sprawdzić czy pozbyliśmy się adware. Odnośnik do komentarza
alfa4ce Opublikowano 27 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2017 Wykonałem wszystkie punkty według listy zaleceń. Skanowanie KIS i MBAM nic nie wykazało (wyniki w załączniku). Załączam też Fixlog i raport FRST. W Chrome rzeczywiście znalazłem wyszukiwarkę do-search, wpis jest usunięty. Fixlog.txt FRST.txt malwerbytes-raport.txt KIS-raport.txt Odnośnik do komentarza
Miszel03 Opublikowano 28 Czerwca 2017 Zgłoś Udostępnij Opublikowano 28 Czerwca 2017 Adware usunięte, system nie jest zainfekowany. W tej sytuacji proszę skontaktować się z bankiem i zapytać czego dokładnie dotyczy blokada (typ infekcji?) i zgłosić się na forum z wynikami. Pewnie odblokują Ci dostęp do konta. Odnośnik do komentarza
alfa4ce Opublikowano 12 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Lipca 2017 Dziękuję za pomoc. Niestety nie uzyskałem od banku żadnych dodatkowych informacji, same ogólniki. Pozdrawiam. Odnośnik do komentarza
Miszel03 Opublikowano 13 Lipca 2017 Zgłoś Udostępnij Opublikowano 13 Lipca 2017 Daj jeszcze raz raporty FRST, choć wg mnie system nie jest zainfekowany. Odnośnik do komentarza
alfa4ce Opublikowano 14 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 14 Lipca 2017 Oto raporty: FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Lipca 2017 Zgłoś Udostępnij Opublikowano 14 Lipca 2017 Jak wyżej, ja nie widzę niczego co mogłoby mieć związek z infekcją. Odnośnik do komentarza
alfa4ce Opublikowano 17 Lipca 2017 Autor Zgłoś Udostępnij Opublikowano 17 Lipca 2017 Jeszcze raz dziękuję za pomoc. Odnośnik do komentarza
Miszel03 Opublikowano 23 Lipca 2017 Zgłoś Udostępnij Opublikowano 23 Lipca 2017 OK, temat zamykam. Skasuj narzędzia które były używane za pomocą DelFix. Odnośnik do komentarza
Rekomendowane odpowiedzi