Keylogger - kradzież konta w grze

[elohugo]

Mam na komputerze wirusa jakim jest 'jakis' keylogger. dzis ukradli mi konto w pewnej grze internetowej. a nod nic nie wykrywa. wiec bardzo bym prosił o pomoc w tej sprawie

[picasso]

Temat założony w złym dziale. Przenoszę. Wdróż zasady działu i dostarcz obowiązkowe raporty: KLIK. Podaj o jaką grę chodzi.

[elohugo]

przepraszam wydawało mi się ze to odpowiedni dział. chodzi o tibię. ale prócz tego występuje kolejny problem także prawdopodobnie spowodowany obecnością wirusów. chodzi o to że gdy włączam lapka to jak jest ekran logowania i wciskam mojego użytkownika to pojawia sie caly czarny ekran i myszka na srodku jakby byl wylaczony explorer.exe. ale jak probowalem wlaczyc menadzer zadan i raz się udalo nie dalo sie go wlaczyc. i tak musze resetowac komputer i dopiero za 2 czy 3 razem włączy się pulpit

[picasso]

Temat założyłeś w dziale Windows, przeniosłam do działu diagnostyki infekcji. Prosiłam o raporty wyłuszczone w zasadach, gdzież one? Bez logów nie jestem w stanie zanalizować systemu.

[elohugo]

log tylko z OTL'a czy z gmera i np hijacka tez?

[picasso]

elohugo, czy w ogóle przeczytałeś te zasady? Jest wyraźnie powiedziane jakie logi są obowiązkowe. A HijackThis jest tu zbanowany, to archaizm niezdatny w analizie.

[elohugo]

daje logi

OTL.Txt

gmer.txt

Extras.Txt

[picasso]

W systemie działa trojan ZeroAccess i powinieneś mieć też problem z przestawianiem ikon na Pulpicie (nie zapamiętywany układ). W Dzienniku zdarzeń są też powiązane błędy:

 

Error - 2012-10-27 03:19:26 | Computer Name = TWOJA-834464089 | Source = WinMgmt | ID = 28
Description = Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą
 być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium
 modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci.
 
Error - 2012-10-27 03:50:25 | Computer Name = TWOJA-834464089 | Source = WinMgmt | ID = 28
Description = Moduł WinMgmt nie może zainicjować części podstawowych. Powodem mogą
 być: źle zainstalowana wersja modułu WinMgmt, awaria uaktualnienia repozytorium
 modułu WinMgmt, za mało miejsca na dysku lub za mało pamięci.

 

Ale to nie wydaje mi się związane z przejęciem konta Tibia. Mam też pytania: co robiłeś w KillBox oraz czy poniżej wyliczone były instalowane celowo Twoją ręką?

 

[2012-10-20 10:46:54 | 000,000,000 | ---D | C] -- C:\Program Files\Cain
[2012-10-20 10:15:46 | 000,000,000 | ---D | C] -- C:\Program Files\Passware

 

 

---

Przechodząc do usuwania infekcji:

 

1. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32]
@="C:\\WINDOWS\\system32\\wbem\\wbemess.dll"
"ThreadingModel"="Both"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

Zresetuj system, by odładować ZeroAccess z pamięci.

 

2. Start > Uruchom > cmd i wpisz komendę:

 

netsh winsock reset

 

Zresetuj system, by dokończyć reset katalogu sieciowego.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files

C:\WINDOWS\Installer\{a949378c-3a1c-c8a9-cbfd-1eb15e20abe3}
C:\Documents and Settings\Kuciak Master\Ustawienia lokalne\Dane aplikacji\{a949378c-3a1c-c8a9-cbfd-1eb15e20abe3}
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer
C:\Documents and Settings\Kuciak Master\Dane aplikacji\Babylon
C:\Program Files\mozilla firefox\searchplugins\babylon.xml
C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
C:\WINDOWS\System32\-1
 
:OTL
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\dqckta.sys -- (bicoiox)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

4. Firefox jest zabrudzony adware. Wyczyść go: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras), GMER oraz Farbar Service Scanner. Wypowiedz się też, czy po w/w procedurach jest jakaś zmiana w tym:

 

hodzi o to że gdy włączam lapka to jak jest ekran logowania i wciskam mojego użytkownika to pojawia sie caly czarny ekran i myszka na srodku jakby byl wylaczony explorer.exe. ale jak probowalem wlaczyc menadzer zadan i raz się udalo nie dalo sie go wlaczyc. i tak musze resetowac komputer i dopiero za 2 czy 3 razem włączy się pulpit

 

 

 

.

[elohugo]

zrobilem to z rejestrem. ale potem juz w ogóle nie chcial sie odpalic pulpit. albo sie odpalal i od razu zawieszal. nic sie nie dalo zrobic. wykonalem skrypt w OTL w trybie awaryjnym. ten post tez dodaje w trybeui awaryjnym z obsluga sieci. tylko ze mam prawo podejrzewac ze skrypt sie nei wykonal do konca bo po restarcie komputera powinien chyba jeszcze sie wlaczyc otl albo dac chociaz jakas wiadomosc. co robic?

[picasso]

Czy między FIX.REG a skryptem do OTL wykonałeś reset Winsock? Ta kolejność była istotna. I pomimo tego co mówisz wykonaj wszystkie kroki jakie były zadane, aż do pełnego zestawu logów. Na podstawie raportów pozyskam obraz sytuacji. Tylko jedna uwaga: czy na pewno w Trybie awaryjnym siedzisz na właściwym koncie? Nie możesz być na wbudowanym w system Administratorze tylko na swoim koncie użytkownika Kuciak Master.

 

I nie odpowiedziałeś mi na pytania o KillBox oraz instalację Cain + Passware.

 

.

[elohugo]

tak. zachowałem taką kolejność jaka mi polecilas. ale jak juz pisalem wczesniej nie wiem czy skrypt z otla sie wyknal czy mam go powtorzyc. tak wykonalem reset winsock. jestem na swoim uzytkowniku kuciak master. w killboxie probowalem zamknac jakis proces chyba od noda32 czy od czegos nie pamietam, a cain jest pobrany umyslnie przeze mnie pobranym. co do tego passware to nie przypominam sobie zebym go pobieral. czyli mam dalej wykonywac skanowanie otl log gmer i tego drugiego programu czy powtorzyc skrypt. i czy mogę spokojnie dzialac w trybie awaryjnym?

[picasso]

Nie powtarzaj ponownie skryptu do OTL, przejdź do dalszych czynności. I skoro nie jesteś w stanie działać w Trybie normalnym, to na razie rób operacje z poziomu Trybu awaryjnego.

 

 

[elohugo]

wystąpił problem. nie mogę wykonać do końca skanowania GMERem poniewarz jakoś 15-20 minut po rozpoczęciu skanowania zamyka się system. co zrobic?? załączam logi OTL i FSS

 

jednak nie tylko podczas skanowania gmer. teraz system byl wlaczony i o prostu sie zamknal po jakims czasie okolo 15 minut

FSS.txt

OTL.Txt

Edytowane 28 Października 2012 przez elohugo

[picasso]

Infekcja ZeroAccess wygląda na pomyślnie usuniętą. Firefox ładnie zresetowany. Natomiast:

 

1. ZeroAccess skasował z rejestru usługi Centrum zabezpieczeń i Zapory systemu. Zrekonstruuj je. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Centrum zabezpieczeń"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,77,00,69,00,6e,00,\
  6d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="LocalSystem"
"Description"="Monitoruje ustawienia zabezpieczeń i konfiguracje systemu."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,00,53,00,59,00,53,00,54,00,45,00,4d,00,52,00,4f,00,4f,\
  00,54,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"DisplayName"="Zapora systemu Windows/Udostępnianie połączenia internetowego"
"DependOnService"=hex(7):4e,00,65,00,74,00,6d,00,61,00,6e,00,00,00,57,00,69,00,\
  6e,00,4d,00,67,00,6d,00,74,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"
"Description"="Zapewnia usługi translacji adresów sieciowych, adresowania, rozpoznawania nazw i/lub blokowania dostępu intruzów wszystkim komputerom w sieci domowej lub biurowej."
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:0000042e
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  69,00,70,00,6e,00,61,00,74,00,68,00,6c,00,70,00,2e,00,64,00,6c,00,6c,00,00,\
  00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
  05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
  00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
  00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"All"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. W kwestii tego:

 

ale potem juz w ogóle nie chcial sie odpalic pulpit. albo sie odpalal i od razu zawieszal. nic sie nie dalo zrobic

 

Sprawdź te dwa warianty:

- W opcjach MBAM wyłącz osłonę rezydentną i zresetuj system. Przy braku rezultatów całkowicie odinstaluj program. Jeśli i to nie rozwiąże sprawy:

- Odinstaluj ESET, popraw narzędziem ESET Uninstaller.

 

 

 

.

[elohugo]

pomogło. działa. super i dziekuje serdecznie. i jeszcze jedno. iż ponieważ pomoglas mi juz którys raz z kolei z checia przekaze jakies pieniazki na utrzymanie serwera bo wiem ze to kosztuje tylko powiedz mi czy jest możliwosc zebym zaplacil jakos karta platnicza albo przelew bankowy bo nie mam paypala. pozdrawiam i jeszcze raz dziekuje za pomoc

[picasso]

Która operacja pomogła? I należy jeszcze prawidłowo wykończyć temat.

 

1. Na liście zainstalowanych masz pozycję adware Yontoo 1.10.02 (ale wygląda to na szczątek), odinstaluj. Przez SHIFT+DEL dokasuj te dwa foldery na dysku (wszystko wygląda na odinstalowane):

 

[2012-10-20 10:46:54 | 000,000,000 | ---D | C] -- C:\Program Files\Cain
[2012-10-20 10:15:46 | 000,000,000 | ---D | C] -- C:\Program Files\Passware

 

2. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Zaktualizuj wyliczone poniżej aplikacje: KLIK. Log pokazuje wersje:

 

Internet Explorer (Version = 6.0.2900.5512)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{8727531E-6C58-4852-A90B-39CF45E269A9}" = OpenOffice.org 3.2
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1033-7B44-AA1000000001}" = Adobe Reader X (10.1.4)
"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)

 

5. Prewencyjnie pozmieniaj hasła logowania w serwisach.

 

 

tylko powiedz mi czy jest możliwosc zebym zaplacil jakos karta platnicza albo przelew bankowy bo nie mam paypala.

 

W mojej sygnaturce jest przekierowanie do tematu, gdzie są dwie metody: PayPal + bank.

 

 

.

[elohugo]

Właśnie z tym jest problem. Bo wchodzę w dodaj usun program i nie da sie tego odinstalowac

 

A pomogło usunięcie mbama

[picasso]

Zastosuj AdwCleaner (opcja Delete).

[elohugo]

zrobione