podejrzenie keyloggera w komputerze

[keylogger]

Cześć!

 

Dwa miesiące temu otrzymałem maila o tym, że ktoś z Limy, Peru, próbował się zalogować do mojego konta Steam. W mailu był adres IP i miejsce, z którego próbowano się logować. Osoba znała moją nazwę użytkownika oraz hasło. Nie mogła się zalogować, ze względu na brak kodu Steam Guard, który otrzymuję na maila w przypadku logowania się z nowego komputera. Zmieniłem wtedy hasło i stwierdziłem, że to wystarczy. Dzisiaj rano otrzymałem kolejnego maila, że ktoś, tym razem z Indii, próbował zalogować się do mojego konta steam znając nazwę użytkownika oraz hasło. Moje hasła są naprawdę bardzo skomplikowane, są w nich duże i małe litery, cyfry, znaki specjalne. Brute force potrzebowałby kilku lat, żeby znaleźć właściwą kombinację. Zastanawiam się dlatego, czy może w moim komputerze nie jest zainstalowany jakiś keylogger. Czy jest możliwość wykrycia takiego programu? Nikomu haseł nie podaję, nawet nikogo nie znam z tych państw. 

 

Pozdrawiam!

FRST.txt

Addition.txt

Shortcut.txt

[Rucek]

Zanim Miszel03 zajmie się problemem, zrób jeszcze całościowy skan za pomocą Malwarebytes Anti-Malware. Jeśli skaner coś wykryje to niczego nie usuwaj, a zaprezentuj wynik skanu.

 

Z komputera nikt prócz Ciebie nie korzysta?

[keylogger]

Skanowanie Malwarem nie wykazało żadnych nieprawidłowości. 0 wykrytych zagrożeń. Z laptopa korzystam wyłącznie ja. Mam na nim zainstalowanego Kasperskiego Internet Security. Generalnie staram się również nie wchodzić w żadne podejrzane maile ani nic podobnego. 

[Miszel03]

Miałeś niezłego nosa, że założyłeś u nas temat. Adresy serwerów DNS ustawionych na routerze są zagraniczne, konkretnie pochodzą z Belgii (KLIK / KLIK). Z doświadczenia, która niebagatela wynosi już ok. 3 lata wiem, że to adresy infekcyjne i to tym się będziemy zajmować. Wątkiem pobocznym jest sprzątanie systemu z resztek po programach itd. 

 

P.S: Czy korzystasz z nieoficjalnych platform Steam? Aktualnie popularne są rozmaite strony dot. CS:GO, darmowe przedmioty, skrzynie i klucze. Wiele takich stron to oszustwo / Phishing, a sama rejestracja może być powiązana z kontem Steam. To stanowi potencjalne zagrożenie. Jeśli tak i nie jesteś ich pewny to zarządzaj kasacji konta. 

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
CustomCLSID: HKU\S-1-5-21-689077054-4267889677-1268134294-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-A5541C1C03A3}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {1B826A68-2BFD-486B-B775-CDAEB1CE3B7E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {1D7D4060-DAE8-4F05-88FE-05A6FA97A47E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {280944C5-56A5-4AEC-BA87-45ADC43FB063} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {3387189F-AA93-45AE-82F7-728BAA9584C7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {5AB3FC94-C677-4FD8-BD55-5E866F0BDE89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {62181F62-BCDF-46C4-B2AA-E5813ECFFC97} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {6BCC9D5F-B8B6-49C9-9401-B260ACF0280C} - \CCleanerSkipUAC -> Brak pliku 
Task: {A5658747-E50E-400C-94FF-53EBA4BFDD9C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {BAACA7C6-C5F1-4C9B-BB5F-DEEE0D7D2A65} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {D2EC9FF0-07D6-4665-BF8D-515F9E24D0CF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {DC8A6D5F-25CB-47FC-8C7D-4C4CCA68EC6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {E6488BEE-1463-487C-822D-5B2346287339} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
C:\Users\Misiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\µTorrent.lnk 
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zmień hasło dostępu do konta Steam oraz Email, hasło ma być łatwe do zapamiętania, ale trudne do złamania. Duże, małe litery, znaki specjalne. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[keylogger]

Zapomniałem dodać, że ja obecnie znajduję się w Belgii od ubiegłego piątku i być może stąd adresy DNS są z Belgii.

 

Owszem, korzystam z nieautoryzowanych platform steam, ale są to jedynie takie, których używają znani streamerzy. 

 

Czy powyższa informacja dotycząca mojej lokalizacji coś zmienia? Czy dalej mam wykonać zaproponowane przez Ciebie rzeczy? 

[Miszel03]

Owszem, korzystam z nieautoryzowanych platform steam, ale są to jedynie takie, których używają znani streamerzy.

 

Podaj linki.

 

---

 

Teraz śmiało mogę teraz powiedzieć, że w systemie brak oznak infekcji.

 

Podmień sobie tylko skrypt z pkt. 2 na ten poniższy (tamten jest zrobiony pod infekcje DNS).

 

CloseProcesses:
CreateRestorePoint:
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
CustomCLSID: HKU\S-1-5-21-689077054-4267889677-1268134294-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-A5541C1C03A3}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {1B826A68-2BFD-486B-B775-CDAEB1CE3B7E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {1D7D4060-DAE8-4F05-88FE-05A6FA97A47E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {280944C5-56A5-4AEC-BA87-45ADC43FB063} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {3387189F-AA93-45AE-82F7-728BAA9584C7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {5AB3FC94-C677-4FD8-BD55-5E866F0BDE89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {62181F62-BCDF-46C4-B2AA-E5813ECFFC97} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {6BCC9D5F-B8B6-49C9-9401-B260ACF0280C} - \CCleanerSkipUAC -> Brak pliku 
Task: {A5658747-E50E-400C-94FF-53EBA4BFDD9C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {BAACA7C6-C5F1-4C9B-BB5F-DEEE0D7D2A65} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {D2EC9FF0-07D6-4665-BF8D-515F9E24D0CF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {DC8A6D5F-25CB-47FC-8C7D-4C4CCA68EC6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {E6488BEE-1463-487C-822D-5B2346287339} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
C:\Users\Misiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\µTorrent.lnk
CMD: netsh advfirewall reset
EmptyTemp:

[keylogger]

hellcase.com i kiedyś drakemoon.com 

Fixlog.txt

Addition.txt

FRST.txt