Skocz do zawartości

Ktoś wysyła maile z mojej poczty i prawdopodobnie mam keylogera


Rekomendowane odpowiedzi

Witam!

Mam przypuszczenie żeby sądzić że na moim komputerze jest keyloger( nie mam pewności, jestem niedoświadczonym użytkownikiem). Przykładem tego jest choćby mail wysłany z mojej poczty przez inną osobę( nie z mojego komputera). Czas otwierania systemu wydłużył się o ok. 30-40s. Niekiedy kursor zwalnia strasznie. Przyznaję się że użyłem ComboFixa i zrobiłem to bez uprzedniego zapoznania się z zasadami. Jako załączniki dodałem log z combofixa i dwa z OTL.

Pozdrawiam, liczę na wyrozumiałość i pomoc.

ComboFix.txt

OTL.Txt

Extras.Txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

ComboFix owszem kasował obiekty infekcyjne, ale trudno stwierdzić czy to zazębia się z opisem:

 

ADS - Windows: deleted 192 bytes in 1 streams.

.

((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

D:\resycled

d:\resycled\boot.com

 

W logach z OTL brak oznak infekcji. Tylko pytanie, czy blokada dostępu do apletów Panelu sterowania to celowe działania (?):

 

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowCpl = 1

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 1 = Microsoft.ActionCenter

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 5 = Microsoft.BitLockerDriveEncryption

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 6 = Microsoft.ColorManagement

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 14 = Microsoft.EaseofAccessCenter

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 16 = Microsoft.Fonts

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 22 = Microsoft.LocationandOtherSensors

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 37 = Microsoft.SyncCenter

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 36 = Microsoft.SpeechRecognition

O7 - HKU\S-1-5-21-95713503-829265145-1353712321-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\DisallowCpl: 44 = Microsoft.WindowsUpdate

 

Czyli na teraz nasuwają się tylko ogólne działania:

 

1. Przez SHIFT+DEL skasuj ten drobny plik adware:

 

C:\Users\Sylwek\AppData\Roaming\mozilla\firefox\profiles\6dvcn9ij.default\searchplugins\conduit.xml

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\Sylwek\Desktop\ComboFix.exe /uninstall

 

3. Na wszelki wypadek zrób pełne (nie ekspresowe) skanowanie w Malwarebytes Anti-Malware. W razie wykrycia czegoś, przedstaw raport.

 

 

Przykładem tego jest choćby mail wysłany z mojej poczty przez inną osobę( nie z mojego komputera).

 

Zmień dane logowania do poczty.

 

 

Czas otwierania systemu wydłużył się o ok. 30-40s. Niekiedy kursor zwalnia strasznie.

 

"Niestety" główny podejrzany wysuwający się z logów to ESET. Dodatkowo, co dopiero został doinstalowany TrueCrypt i też nie wykluczam tu jakiejś interferencji.

 

I pozbądź się okropnego archaizmu ACE Mega CoDecS Pack. Gdzie z czymś takim na nowoczesnym Windows 7 x64!

 

 

 

.

Odnośnik do komentarza

Witam

Jeszcze jeden log, już po prawidłowo dokończonym odinstalowaniu CF( dzięki za radę jak odinstalować). Mam pytanie- czy mimo tego że WBAM znalazł coś w pliku NOD'a mogę go używać, czy jest groźny?

Pozdrawiam i dziękuję za profesjonalna pomoc i zainteresowanie moim problemem.

 

Dołączony log jest już przeprowadzony z poprawnie odinstalowanym dyskiem virtualnym. Mam nadzieję że teraz analiza będzie wiarygodniejsza.

mbam-log-2012-10-02 (17-46-08).txt

mbam-log-2012-10-02 (18-57-42).txt

Odnośnik do komentarza

Odinstalowanie ComboFix oraz dysków wirtualnych nie ma żadnego wpływu na wyniki MBAM, akcje nie mają zazębienia. Te raporty nie są potrzebne. Wracając do meritum: czy historie z e-mail się powtórzyły, czy zmieniłeś dane logowania do poczty?

 

 

Mam pytanie- czy mimo tego że WBAM znalazł coś w pliku NOD'a mogę go używać, czy jest groźny?

 

Nie powinieneś mi zadawać tego pytania, ponieważ oczekujesz ode mnie zachęty, co jest wysoce sprzeczne z rolą którą pełnię w tym dziale. Ja za żadnego cracka głowy nie podłożę i gwarancji nie dam, ponadto w takich przypadkach nie poświęcam czasu na analizę, czy to "bezpieczny crack", tylko staram się odwodzić od używania takiego rodzaju oprogramowania w pierwszej kolejności. Powody: zabezpieczanie systemu crackowanym programem jest zaprzeczeniem zabezpieczania, ponieważ jest używana droga, która może prowadzić do infekcji, użytkownik praktykując określone działania mimowolnie nabiera znieczulicy na zjawisko "crack" i następnym razem może sobie zainstalować coś naprawdę niedobrego.

 

 

.

Odnośnik do komentarza

Mail był wysłany tylko raz, wówczas nabrałem podejrzeń i od razu interweniowałem-zmiana passów we wszystkich kontach( poczta, bank, allegro, etc.etc, zainstalowanie m.in. keysambler'a, keepass'a, mkafee siteadvisor, SpySchelter'a, Hitman,a.

Czy w windowsowskim menadżerze zadań, w zakładce usługi usługa o dziwnej nazwie"Rasman" lub "Rasauto" nie powinna mnie zastanawiać( gdy ją wyłączam i zretartuję komputer ta usługa po starcie windowsa jest znów uruchomiona)?

Czy bezpieczne jest posiadać np.Linuxowe Ubuntu i z poziomu LiveCd logować się i dokonywać np.transakcji bankowych?

Jeżeli ten post powinien być w innym dziale to bardzo przepraszam, ale chciałbym dowiedzieć się jak najwięcej nie zaśmiecając przy tym forum.

Bardzo dziękuję za pomoc i analizę mojego problemu, jeszcze dziś odinstalowuję Eset'a i triala instaluję ze strony producenta.

Pozdrawiam.

Odnośnik do komentarza

Jeszcze na wszelki wypadek zrób skan w Kaspersky TDSSKiller.

 

 

Czy w windowsowskim menadżerze zadań, w zakładce usługi usługa o dziwnej nazwie"Rasman" lub "Rasauto" nie powinna mnie zastanawiać( gdy ją wyłączam i zretartuję komputer ta usługa po starcie windowsa jest znów uruchomiona)?

 

RasMan (Menedżer połączeń usługi dostęp zdalny) + RasAuto (Menedżer autopołączenia dostępu zdalnego) to są standardowe usługi Windows. W jaki sposób je "wyłączasz"? Jeśli w menedżerze zadań, to tylko sesyjne wyłączenie i po restarcie usługa znów się uruchomi, jeśli coś jej będzie wymagać (czynne współdzielenie czy typ połączenia np. VPN). Konfiguracja uruchomienia usług odbywa się w przystawce services.msc. Te dwie usługi domyślnie mają ustawiony Typu uruchomienia na Ręczny.

 

 

Czy bezpieczne jest posiadać np.Linuxowe Ubuntu i z poziomu LiveCd logować się i dokonywać np.transakcji bankowych?

 

Owszem, jest to jedna z opcji alternatywnego dostępu do kont. Są też różne distro specjalizowane pod kątem anonimizacji / bezpieczeństwa np. Tails.

 

 

.

Odnośnik do komentarza

Po mojej deklaracji zainstalowania legalnego triala AV zainstalowałem Kasperskiego, który to znalazł mi ok. 10 infekcji-usunąłem. Pojawił się "mały" problem, w dzienniku kasperskiego zobaczyłem że nie mógł się dostać do plików, które znajdują się na D:\System Volume Information. Tego folderu nie widać w partycji D( pokazywanie ukrytych plików aktywne) i nie mogę go otworzyć( wciskałem komendę "uruchom" i wklejając tam ścieżkę do SVI nie otwiera mi tego ze względu na brak uprawnień). W jaki sposób mogę się tam dostać i pousuwać śmieci?

Pozdrawiam.

Odnośnik do komentarza

Czy sprawdziłeś skan w TDSSKiller?

 

 

Po mojej deklaracji zainstalowania legalnego triala AV zainstalowałem Kasperskiego, który to znalazł mi ok. 10 infekcji-usunąłem.

 

Pokaż raport co znalazł i gdzie.

 

 

Pojawił się "mały" problem, w dzienniku kasperskiego zobaczyłem że nie mógł się dostać do plików, które znajdują się na D:\System Volume Information. Tego folderu nie widać w partycji D( pokazywanie ukrytych plików aktywne) i nie mogę go otworzyć( wciskałem komendę "uruchom" i wklejając tam ścieżkę do SVI nie otwiera mi tego ze względu na brak uprawnień). W jaki sposób mogę się tam dostać i pousuwać śmieci?

 

System Volume Information to foldery Przywracania systemu. Są na każdej partycji. Niedostępność folderów naturalna. Po pierwsze mają atrybuty HS (ukryty systemowy) i widać je dopiero po odznaczeniu opcji Ukryj chronione pliki systemu operacyjnego. Po drugie są zablokowane przerz uprawnienia. I nie grzebie się tam ręcznie. Foldery czyści się poprzez opcje Windows: KLIK.

 

 

 

.

Odnośnik do komentarza

Dzięki za info. Skan TDSSkillerem robiłem jeszcze przed skanem kasperskiego - nic nie znalazł. Logów z Kasperskiego niestety nie mam, skasowałem omyłkowo :/ wiem że wykrył m.in. backdoory, trojany i w szukaniu pod kątem rootkitów znalazł bodajże 4 szt.

Mam jeszcze pytanie o wersje dystrybucji jakiegoś Linuxa, który miałby tak jak np. Kaspersky Rescue Disc zaimplementowany antivirus? Bardzo zależy mi na możliwości bezpiecznego logowania się do banku, allegro, itd.

Pozdrawiam

Odnośnik do komentarza
Skan TDSSkillerem robiłem jeszcze przed skanem kasperskiego - nic nie znalazł.

 

To i log mi niepotrzebny, bo nie ma co analizować. Usuwam zalącznik.

 

 

Mam jeszcze pytanie o wersje dystrybucji jakiegoś Linuxa, który miałby tak jak np. Kaspersky Rescue Disc zaimplementowany antivirus? Bardzo zależy mi na możliwości bezpiecznego logowania się do banku, allegro, itd.

 

W tej materii to raczej osobna płyta specjalizowana tylko pod kątem usuwania wirusów, czyli Kaspersky Rescue Disk i podobne. Pełna lista: KLIK. W LiveCD ogólnego przeznaczenia można się spodziewać mniej sprawnych lub niszowych skanerów.

 

 

 

.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...