Blajo Opublikowano 20 Października 2015 Zgłoś Udostępnij Opublikowano 20 Października 2015 Witam, Dziś ktoś sobie rozsyłał z mojej skrzynki spam - hasło do poczty już zmienione, ale obawiam się że hasło zostało wykradzione z kompa... chociaż nie było aż takie trudne i może było do zgadnięcia przez bota. Dodatkowo od paru dni wolniej działa mi internet. Win 7 64-bit. Przesyłam logi. Z góry dziękuję za pomoc. Edit: Nie wiem czy to przez to ale zresetował jakby się TB i musiałem od nowa pocztę ustawiać. Addition.txtPobieranie informacji ... FRST.txtPobieranie informacji ... gmer.txtPobieranie informacji ... Shortcut.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 21 Października 2015 Zgłoś Udostępnij Opublikowano 21 Października 2015 Brak oznak czynnej infekcji. Jedyne co tu sugeruje, iż infekcja była, to te autoryzacje w Zaporze systemu Windows: FirewallRules: [TCP Query User{42EDCBCC-0923-4B95-9224-BCD7AF9A5FF2}C:\temp\update manager.exe] => (Allow) C:\temp\update manager.exe FirewallRules: [uDP Query User{42553257-DC2B-4478-971F-ED1E1B86C74B}C:\temp\update manager.exe] => (Allow) C:\temp\update manager.exe Folder nadal widzę na dysku i będę sprawdzać co w nim jest. Tylko kosmetyczne działania do przeprowadzenia, czyli usunięcie wpisów pustych i czyszczenie Tempów: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR , Java 8 Update 45 (64-bit), Java 8 Update 45, MyFreeCodec (Samsunga). 2. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2949551511-373755211-1111318044-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\BM\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => Brak pliku Task: {36A37E29-380F-4500-A031-D1FD984D8162} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000Core => C:\Users\BM\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {36B87246-4C68-42E8-A8F8-2BBC1778402A} - System32\Tasks\{2427C378-ACFA-482C-980A-C45639FF938D} => pcalua.exe -a C:\Users\BM\Downloads\googlemon(3).exe -d C:\Users\BM\Downloads Task: {3BB0515B-0D40-4DEF-B30C-3950F51E3670} - System32\Tasks\{D2DEBA73-4DDE-4B27-A5AE-D0CD4FCB13FE} => pcalua.exe -a C:\Users\BM\Downloads\irfanview_plugins_433_setup.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {402076D7-30B3-4036-B446-888B8AC648E0} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-2949551511-373755211-1111318044-1000UA => C:\Users\BM\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {40FD1B00-D5DA-477A-B8A1-3D2C522C8F08} - System32\Tasks\{F02A48C8-95BA-4638-8442-3A514452DA07} => pcalua.exe -a C:\TEMP\GTAINSTALLER\SETUP.EXE -d C:\TEMP\GTAINSTALLER Task: {5538D342-15A1-45F5-9EE0-953D79052132} - System32\Tasks\{11F22A97-0946-4B63-8053-4C67FA6A3F68} => pcalua.exe -a "C:\Program Files (x86)\XFastUsb\Uninstall.exe" Task: {57EE4030-D9C5-44B8-A721-622AD663C4C3} - System32\Tasks\Paragon Archive name arc_030413000426092 => C:\Program Files (x86)\Paragon Software\Hard Disk Manager 12 Professional\program\scripts.exe Task: {6A654567-D747-4F86-B2BC-E6B92FCFF42E} - System32\Tasks\{D21F9D2B-A2EA-43E9-BEBA-71F8A3E3D51E} => pcalua.exe -a C:\Users\BM\Downloads\googlemon.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {9D860236-C50F-4264-BF00-FB5BE8567999} - System32\Tasks\Seagate_Install_Launch => C:\Program Files (x86)\Seagate\Seagate Dashboard 2.0\Dashboard.exe Task: {DA1FFED2-3F6C-47A1-83FC-854D51D899F0} - System32\Tasks\{809CE9AB-A60E-454E-A562-8A1D1ABE9F75} => pcalua.exe -a C:\Users\BM\Documents\dav2avimon-1.0\dav2avi\dhplayer.exe -d C:\Users\BM\Documents\dav2avimon-1.0\dav2avi Task: {EB253384-11D9-4157-B749-9C147F8BFD0F} - System32\Tasks\{B178E1C2-8559-4568-866E-4691DDD60A34} => pcalua.exe -a "C:\Users\BM\Downloads\Photodex ProShow Gold 5.0.3222\SetUp.exe" -d "C:\Users\BM\Downloads\Photodex ProShow Gold 5.0.3222" Task: {FD685241-F150-417E-9EE3-E4D05E6F18D9} - System32\Tasks\{A1626C9E-D588-4B84-ADD0-6EE42FAF1B4B} => pcalua.exe -a C:\Users\BM\Downloads\googlemon(1).exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: C:\Windows\Tasks\Paragon Archive name arc_030413000426092.job => C:\Program Files (x86)\Paragon Software\Hard Disk Manager 12 Professional\program\scripts.exe-Wno --alternate --graph --multiple C:/Program Files (x86)/Paragon Software/Hard Disk Manager 12 Professional/scripts/scr_030413000704947.psl C:\Program Files (x86)\mozilla firefox\plugins C:\Users\BM\AppData\Local\134e6589520e51682091c0.32666518 C:\Users\BM\AppData\Local\69ff07055291669bb2b218.72821112 Folder: C:\temp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny. 4. Za to na wszelki wypadek dorzuć szukanie rejestru na w/w delikwenta. Uruchom FRST, w polu Szukaj wklej co niżej podane, klik w Szukaj w rejestrze i dostarcz wynikowy log. update manager.exe Odnośnik do komentarza
Blajo Opublikowano 21 Października 2015 Autor Zgłoś Udostępnij Opublikowano 21 Października 2015 Witam, Raporty w załączniku. Chyba nic w rejestrze nie wyszukał - wkleiłem w pole szukaj update manager.exe i wybrałem szukaj w rejestrze - nic innego nie zmieniałem. Po restarcie po FRST zapora poprosiła o dostęp dla Skype i Dropboxa. Na przyszłość jakimś softem warto się zabezpieczyć? Mam tylko Avasta. Dziękuję za pomoc. Search.txtPobieranie informacji ... Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Października 2015 Zgłoś Udostępnij Opublikowano 22 Października 2015 Cytat Po restarcie po FRST zapora poprosiła o dostęp dla Skype i Dropboxa. Tak, ponieważ resetowałam reguły Zapory poleceniem netsh advfirewall reset. Cytat Na przyszłość jakimś softem warto się zabezpieczyć? Mam tylko Avasta. Do Avast można dołożyć Malwarebytes Anti-Exploit. Pobór zawartości folderu C:\Temp wskazuje, że ten podejrzany plik autoryzowany w Zaporze to jednak nie jest infekcja. Plik ten pochodzi od konkretnego legalnego producenta. Wszystko OK. Czyli w podsumowaniu tu w ogóle nie było żadnych oznak infekcji. 2015-06-18 22:41 - 2011-06-21 17:58 - 0018528 _____ (M-Photo Ltd.) C:\temp\Update Manager.exe Zanim skończymy, jeszcze usuńmy szczątki po odinstalowanym Paragon. W pierwszym logu FRST były dwa sterowniki odpadkowe po tym sofcie, a nie wykluczone że jest więcej (FRST ma bardzo silne filtrowanie): S1 UimBus; C:\Windows\System32\DRIVERS\uimx64.sys [90960 2012-12-20] (Windows ® 2000 DDK provider) S1 Uim_IM; C:\Windows\System32\Drivers\Uim_IMx64.sys [633680 2012-12-20] (Paragon) Akcje do przeprowadzenia: 1. Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych urządzeń. Znajdź obiekty Paragon, powinny być widoczne pod nazwami Universal Image Mounter, Universal Image Mounter Controller. Znalezione podświetl i odinstaluj. Zresetuj system. 2. Zrób rozszerzony log FRST: odznacz pola Filtrowanie dla Usług i Sterowników, klik w Skanuj. Odnośnik do komentarza
Blajo Opublikowano 26 Października 2015 Autor Zgłoś Udostępnij Opublikowano 26 Października 2015 Niestety nie mogę odszukać Universal Image Mounter, Universal Image Mounter Controller na liście - zrzuty w załączniku. Rozumiem, że skoro nie znalazłem to nie robić tego raportu? Odnośnik do komentarza
picasso Opublikowano 26 Października 2015 Zgłoś Udostępnij Opublikowano 26 Października 2015 Urządzeń nie ma, ale są usługi (i tymi zajmę się ręcznie). Raport z FRST nadal aktualny, bo chcę sprawdzić czy jest więcej usług odpadkowych po Paragonie. Odnośnik do komentarza
Blajo Opublikowano 26 Października 2015 Autor Zgłoś Udostępnij Opublikowano 26 Października 2015 Witam, Przesyłam logi. I proszę o dalsze info. Pozdrawiam FRST.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 27 Października 2015 Zgłoś Udostępnij Opublikowano 27 Października 2015 Chodziło tylko o log główny FRST.txt, resztę usuwam (nie jest potrzebna). Nic więcej od Paragona nie ma, poza wyliczonymi już usługami. Czyli do usunięcia te dwa sterowniki oraz odpadki po świeżo deinstalowanym Ad-aware: Otwórz Notatnik i wklej w nim: S1 UimBus; C:\Windows\System32\DRIVERS\uimx64.sys [90960 2012-12-20] (Windows ® 2000 DDK provider) S1 Uim_IM; C:\Windows\System32\Drivers\Uim_IMx64.sys [633680 2012-12-20] (Paragon) C:\Program Files\Common Files\Lavasoft C:\ProgramData\Lavasoft C:\Users\BM\AppData\Roaming\LavasoftStatistics C:\Windows\System32\Drivers\Uim_IMx64.sys C:\Windows\System32\DRIVERS\uimx64.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
Blajo Opublikowano 27 Października 2015 Autor Zgłoś Udostępnij Opublikowano 27 Października 2015 Przesyłam loga. Fixlog.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Października 2015 Zgłoś Udostępnij Opublikowano 28 Października 2015 Fix pomyślnie wykonany. Na koniec: Skasuj pobrane narzędzia i ich logi z D:\Downloads\vir. Popraw jeszcze narzędziem DelFix oraz wyczyść foldery Przuwracania systemu: KLIK. Odnośnik do komentarza
Blajo Opublikowano 28 Października 2015 Autor Zgłoś Udostępnij Opublikowano 28 Października 2015 Oki folder vir wywalony. DelFix zrobiony. Na dole raport. Więc chyba ktoś zgadł hasło do poczty... Dziękuję za pomoc. Odnośnik do komentarza
picasso Opublikowano 28 Października 2015 Zgłoś Udostępnij Opublikowano 28 Października 2015 "Na dole raport" - nie widzę... Cytat Dziś ktoś sobie rozsyłał z mojej skrzynki spam (...)Więc chyba ktoś zgadł hasło do poczty... Nie zapytałam o zacytowanie przykładowego mejla, ale czy na pewno to był spam "z Twojej skrzynki", nie była to aby prosta manipulacja pól adresowych? Odnośnik do komentarza
Blajo Opublikowano 28 Października 2015 Autor Zgłoś Udostępnij Opublikowano 28 Października 2015 Sorry, już jest raport. Treść maila: "Tu system pocztowy IQ PL / This is IQ PL mail system at smtp23.iq.pl. Obawiam sie ze wiadomosc nie zostala dostarczona. /I couldn't deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out. W celu skontaktowania sie z nami prosze skorzystac ze strony: http://www.iq.pl/kontakt/ lub wyslac maila:bok@iq.pl You can contact us at:http://www.iq.pl/kontakt/ or via email:bok@iq.pl <davidmurray09@live.com>: 65.54.188.126 does not like recipient. Remote host said: 550 Requested action not taken: mailbox unavailable Giving up on 65.54.188.126. STARTTLS proto=TLSv1.2; cipher=ECDHE-RSA-AES256-SHA384; subject=/CN=*.hotmail.com; issuer=/C=US/ST=Washington/L=Redmond/O=Microsoft Corporation/OU=Microsoft IT/CN=Microsoft IT SSL SHA2; --- Below this line is a copy of the message. Return-Path:<moj@adres.mail> Received: (qmail 31606 invoked from network); 20 Oct 2015 12:33:02 -0000 Received: from unknown (HELO hycyful) (moj@adres.mail@[185.91.178.175]) (envelope-sender<moj@adres.mail>) by smtp22.iq.pl with SMTP for<davidmurray09@live.com>; 20 Oct 2015 12:33:02 -0000 Message-ID: <ECE261F33FD5BD2CA827B333AE01660E@hycyful> From: Anna<moj@adres.mail> Reply-To: Anna<erisnert@gmail.com> To:<davidmurray09@live.com> Subject: Hey It's Anna Date: Tue, 20 Oct 2015 12:30:33 -0700 MIME-Version: 1.0 Content-Type: text/plain; format=flowed; charset="utf-8"; reply-type=original Content-Transfer-Encoding: 7bit X-Priority: 3 X-MSMail-Priority: Normal Importance: Normal X-Mailer: Microsoft Windows Live Mail 15.4.3555.308 X-MimeOLE: Produced By Microsoft MimeOLE V15.4.3555.308 Content-Transfer-Encoding: quoted-printable Hi It's Anna I'm from Russian Federation! I'm very goodness woman and trying to find safe Man Hope You are interested! reply me, I'll send You my picture have a nice time)" Firma hostingowa twierdziła, że poczta była wysłana przez moje konto. DelFix.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 31 Października 2015 Zgłoś Udostępnij Opublikowano 31 Października 2015 Nic więcej tu już nie wymyślę. Skoro firma hostingowa potwierdziła ruch, to najwyraźniej doszło do przejęcia konta, tylko nadal źródło problemu jest nieznane. Nic tu nie wskazywało, by w systemie była jakaś infekcja. A DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. To tyle. Odnośnik do komentarza
Blajo Opublikowano 1 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 1 Listopada 2015 Dziękuję za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi