Prawdopodobny keylogger, włamanie na konto.

[mistgun]

Witam, jako iż wczoraj ktoś dostał się do mojego konta w pewnej grze i je "oczyścił" zgłaszam się tutaj o pomoc. 

Sytuacja wydaje się dosyć dziwna gdyż AV nie wykrył nic złośliwego na komputerze, sam nie ściągam nic z nieznanych źródeł i o dziwo reszta kont  nie została dotknięta przez złodzieja.

Od wielu lat nie miałem takiej sytuacji więc nie jestem do końca pewien, że to jest złośliwy program. Mimo to tworzę ten temat by mieć pewność, że komputer jest czysty..

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Czy instalowałeś jakiegoś cracka? W raporcie conajmniej jeden (KMS-R@1nHook.exe), co może sugerować że używałeś więcej takich wynalazków, jeden z nich mógł mieć zaszytego trojana.

 

Jeśli chodzi o jawne malware, to nie widzę nic aktywnego, tylko szczątki (kilka plików w root Program files i Debugger kierujący na svchost.exe) plus pozostałości adware w Google Chrome. Pod kątem czyszczenia tych odpadków oraz innych pustych wpisów i skrótów:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpGvurF9zzOIyDLu5uOmkinzBq1bnef-187MIGsU70JH1D5wQ8I1HPbbgiU8eHg-HfpJ0HIqMd_gZGn8-WAp3VhEmC5jRDLM2fUkqlmJ-GJD9msztx10H29dePQibZsKT_lE7bwv8xRM_Zb83FdFuNYrCecXQcI,
CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1451928047&z=4d8f4b76957462447566824gbz9wag6t3o7b1eaz9m&from=cor&uid=st250dm000-1bd141_5vy93k1pxxxx5vy93k1p"
FF NewTab: Mozilla\Firefox\Profiles\x5pju775.default ->
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
URLSearchHook: HKLM-x32 -> Default = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
IFEO\RegWorks.exe: [Debugger] svchost.exe
IFEO\RSITx64.exe: [Debugger] svchost.exe
GroupPolicy: Restriction 
GroupPolicyScripts: Restriction 
GroupPolicyScripts\User: Restriction 
CHR HKLM\SOFTWARE\Policies\Google: Restriction 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction 
HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\Run: [AdobeBridge] => [X]
S3 Hamachi; C:\Windows\system32\DRIVERS\Hamdrv.sys [45680 2017-02-27] (LogMeIn Inc.)
MSCONFIG\Services: GalaxyClientService => 3
MSCONFIG\Services: GalaxyCommunication => 3
MSCONFIG\Services: Hamachi2Svc => 2
MSCONFIG\Services: iPod Service => 3
MSCONFIG\Services: LMIGuardianSvc => 2
MSCONFIG\Services: TunnelBearMaintenance => 2
HKLM\...\StartupApproved\Run: => "CMD"
HKLM\...\StartupApproved\Run: => "iTunesHelper"
HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui"
HKLM\...\StartupApproved\Run32: => "AdobeAAMUpdater-1.0"
HKLM\...\StartupApproved\Run32: => "PlaysTV"
HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "GalaxyClient"
HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "screenSHU"
HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "TunnelBear"
HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "Plex Media Server"
HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "MyImgur"
HKU\S-1-5-21-2243841881-2731580477-2253573762-1001\...\StartupApproved\Run: => "AdobeBridge"
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
C:\Program Files (x86)\5ef7ea3b.tmp
C:\Program Files (x86)\7dcianqrua.dat
C:\ProgramData\mntemp
C:\ProgramData\rxsmznjf.zcp
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\D
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic II\Usu* - Noc Kruka.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Massive\Native Instruments Homepage.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\AT&T WorldNet.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Bot Commands.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Check for Quake III Arena Updates.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Help System.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Play Quake III Arena.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Quake III Arena\Q3A Community
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The You Testament
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Valendor PL
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot Beta
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot\WindBot 11 Beta.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindBot\WindAddons\Wind Addons.lnk
C:\Users\nikodem\AppData\Local\Google\Chrome\User Data\System Profile
C:\Users\nikodem\AppData\Roaming\system.xml
C:\Users\nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk
C:\Users\nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\18c7e66df9434f18\TibiaME MMO.lnk
C:\Users\nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url
C:\Users\nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Gothic\GOTHIC2 - Odyseja - 'Pakiet systemowy'
C:\Users\nikodem\Documents\XenoScan-master\bin\test.lnk
C:\Windows\system32\drivers\Hamdrv.sys
File: C:\Users\nikodem\AppData\Local\slack\Update.exe
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

2. W Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Odinstaluj rozszerzenie Video Downloader professional. To rozszerzenie znane ze zintegrowanego adware. Np. powodowało taki problem z naszym forum: KLIK. Są też rozszerzenia z jednej stajni (maskowane jako różni producenci): Flash Video Downloader + Speed Dial [FVD] - one także pochodzą od wątpliwego producenta, który lubił wstawiać w rozszerzeniach adware, obecnie nie wiem czy te rozszerzenia są czyste
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

[mistgun]

Dziękuję za szczegółową odpowiedź.

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Jeśli chodzi o Fix FRST, to wykonany. Natomiast nie widzę zmian w Google Chrome: nadal preferencje adware oraz zainstalowany felerny Video Downloader professional.