matikolud Opublikowano 8 Grudnia 2013 Zgłoś Udostępnij Opublikowano 8 Grudnia 2013 Witam jak w temacie otóż ktoś w czwartek włamał mi się na maila i pozmieniał hasła do aplikacji typu gadu gadu czy facebook , zgłosiłem to oczywiście ale też wpisałem w konsoli netstat -ano przy nasłuchiwaniu wszędzie zera ale np tam gdzie oczekiwanie to dziwne adresy, czy mam zrobić logi otl ? z góry dziękuję za pomoc. Pozdrawiam . Odnośnik do komentarza
picasso Opublikowano 9 Grudnia 2013 Zgłoś Udostępnij Opublikowano 9 Grudnia 2013 matikolud, zakładasz temat w dziale diagnostyki infekcji, a nie realizujesz zasad: KLIK. Obowiązkowo podaje się raporty z FRST, OTL, GMER. Poza tym, przeklej z cmd wyniki tej komendy: wpisałem w konsoli netstat -ano przy nasłuchiwaniu wszędzie zera ale np tam gdzie oczekiwanie to dziwne adresy . Odnośnik do komentarza
matikolud Opublikowano 10 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2013 Przepraszam bardzo nie byłem pewny co wstawiać ale już wiem że logi otl obowiązek , a jeszcze wczoraj pisałem ze znajomą na facebooku ,, i pisze że jest aktywna teraz a po chwili aktywna 23556 dni temu po chwili 23555 dni temu i potem normalnie i potem znów a to już nowe konto i tak zaczynam się trochę obawiać . A odnośnie tej komency w cmd to zrobil screena i tutaj wkleić ? Z góry dziękuję za pomoc .. Pozdrawiam . Addition.txt FRST.txt Gmer.txt Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2013 Zgłoś Udostępnij Opublikowano 10 Grudnia 2013 A odnośnie tej komency w cmd to zrobil screena i tutaj wkleić ? Wynik tej komendy wydrukuje mi skrypt do FRST. Nie widzę tu żadnej czynnej infekcji, choć niepokoją mnie kombinacje z crackami / keygenami (ślady akcji widzialne), bo tam coś mogło być i scrackowany program "coś" może wykonywać w tle. Jedyne co tu ma oczywisty związek z keyloggerem, to plik pobrany na dysk: ==================== Alternate Data Streams (whitelisted) ========= AlternateDataStreams: C:\Users\mati\Downloads\keylogger-3-0.exe:BDU Dodatkowa uwaga: zainstalowałeś niejaki "Advanced Anti Keylogger". Program stary sprzed kilku lat i bezużyteczny na systemie 64-bit: oficjalna kompatybilność to archaiczne systemy XP/NT/2000/2003, jest 32-bitowy (na systemie 64-bit ochrona częściowa, o ile jakakolwiek). Nawet nie wiadomo czy on w ogóle się uruchamia poprawnie, bo wszystkie elementy są w stanie "Zatrzymano": ==================== Services (Whitelisted) ================= S2 aaksrv; C:\Windows\SysWow64\aaksrv.exe [237568 2013-12-05] (Spydex, Inc.) ==================== Drivers (Whitelisted) ==================== S2 aakah; C:\Windows\SysWow64\aakah.sys [34272 2013-12-05] (Spydex, Inc.) S2 aakbdrv; C:\Windows\SysWow64\aakbdrv.sys [20768 2013-12-05] (Spydex, Inc.) Na systemie 64-bit to raczej coś w stylu komercyjnej wersji SpyShelter (natywne wsparcie 64-bit). Tylko broń Boże nie crackować. Na razie usuń tylko śmieci (w tym szczątki adware i Google Chrome), bo nic więcej nie widzę: 1. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 - C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin - C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird Task: {3D638DC8-A812-40C0-A73A-6C3C605800B8} - System32\Tasks\{7F62A6E8-11D9-4E8E-8840-E54438E8AAB3} => C:\Users\mati\Desktop\CW.eXe Task: {4F2FB7A7-0233-407A-AE42-ADA64A711242} - System32\Tasks\{DF8F4B2D-E371-4E1F-A673-09F69CD657B3} => C:\Users\mati\Desktop\CW.eXe Task: {6D1FAAC8-13C0-40D6-8BE2-61D3A4710311} - \DealPlyUpdate No Task File Task: {8684B747-1DEC-4C51-B873-7F4952D9365E} - System32\Tasks\RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {9A8E4271-D566-46B5-81DE-DDB18CDB5736} - System32\Tasks\{3CE8F943-FF9B-4513-AC3F-EF3465D9ABCB} => C:\Users\mati\Desktop\Windows Loader\Windows Loader.exe Task: {9AF2A33E-5A79-44AE-99C1-4EA55360335B} - System32\Tasks\{B0333B40-1455-4644-AC85-1FF819DCCEA3} => C:\Users\mati\Desktop\Windows Loader\Windows Loader.exe Task: {EA53A5AE-3766-469F-8812-535751DBCD5F} - \Program aktualizacji online firmy Adobe. No Task File Task: {FC11F15A-1E4B-49F0-BDB6-6A3F9A75E16F} - System32\Tasks\{3D7BB322-38DF-41E8-9CFB-D0D5F2905237} => C:\Users\mati\Desktop\Windows Loader\Windows Loader.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\59056029.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\59056029.sys => ""="Driver" R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [39768 2013-02-19] (AVG Technologies) S1 EIO64; system32\DRIVERS\EIO64.sys [x] S3 GGSAFERDriver; \??\C:\Program Files (x86)\Garena Plus\Room\safedrv.sys [x] S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [x] C:\Windows\system32\drivers\avgtpx64.sys C:\Users\mati\Downloads\keylogger-3-0.exe C:\Users\mati\AppData\Roaming\syslog C:\Users\mati\AppData\Local\SwvUpdater C:\Users\mati\AppData\Local\Google\Chrome CMD: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: netstat -ano Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. 3. Pozbądź się definitywnie Advanced Anti Keylogger. 4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
matikolud Opublikowano 10 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2013 Advanced Anti Keylogger jak chcem zobaczyć lokalizację pliku to że nie można znaleźć bo usunięty albo przeniesiony . To o czym było napoisane na początku już wszystko usunięte . Fixlog 2.txt FRST 3.txt Odnośnik do komentarza
picasso Opublikowano 10 Grudnia 2013 Zgłoś Udostępnij Opublikowano 10 Grudnia 2013 Poprzednie zadania wykonane. Usuń jeszcze szczątki po Advanced Anti Keylogger (i kilka drobnostek po ESET, które jakoś ominęłam) oraz powtórz komendę netstat, bo zapomniałam pobrać PID procesów odrębną komendą. 1. Zresetuj system. 2. Otwórz Notatnik i wklej w nim: CMD: netstat -ano CMD: tasklist /svc Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f AppInit_DLLs-x32: system32\aakah.dll [ ] () S2 aakah; \??\C:\Windows\system32\aakah.sys [x] S2 aakbdrv; \??\C:\Windows\system32\aakbdrv.sys [x] C:\Windows\SysWOW64\aakah.dll C:\Windows\SysWOW64\lqoe89kr.lwp C:\Users\mati\Downloads\advanced-anti-keylogger.zip C:\Users\mati\Downloads\advanced-anti-keylogger(1).zip C:\Users\mati\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Advanced Anti Keylogger C:\Users\mati\AppData\Roaming\ESET C:\Users\mati\AppData\Local\ESET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
matikolud Opublikowano 10 Grudnia 2013 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2013 Proszę bardzo . Pozdrawiam . To rozumiem że nie ma powodów do obaw Fixlog5.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się