Skocz do zawartości

Nieautoryzowana transakcja Paypal


Rekomendowane odpowiedzi

Witajcie, wczoraj wszedłem do pokoju i ukazał mi się ekran który informował, że przesłałem 800$ do jakieś osoby, od razu zareagowałem utworzyłem zgłoszenie do paypal i wtedy się zaczeło, myszka sama zamykała mi przeglądarkę więc zgłoszenie zrobiłem z innego komputera, po czym przeskanowałem mój, najpierw za pomocą adwcleaner który wykrył jakieś dodatki w google chrome (hxxp) i teraz przeskanowałem programem GMER który również wykrył jakieś zagrożenia, logi dodałem jako załącznik. Shortcut.txt się nie utworzył.

AdwCleanerC1.txt

AdwCleanerS4.txt

Addition.txt

FRST.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie zaznaczyłeś pola Shortcut w oknie FRST, dlatego nie utworzył się.

 

Te znaleziska AdwCleaner nie są powiązane, to tylko drobne szczątki adware. AdwCleaner to nie jest program do czyszczenia trojanów, adresuje tylko i wyłącznie typ adware i PUP. W systemie widać jakąś infekcję, w trzech miejscach: w katalogu Startup (ATIODE.url kierujący do ATIODE.exe) oraz dwa zadania w Harmonogramie (Security Update Checker + Virtual Disk Service Manager). Infekcja jest czynna (załadowany proces ATIODE.exe, notowany też jako podejrzany w GMER). Prawdopodobnie nabyłeś ją z jakiegoś cracka, bo widzę że była conajmniej jedna "kombinacja" tego typu.

 

 

Akcje do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
InternetURL: C:\Users\lucky\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ATIODE.url -> file:///C:\Users\lucky\AppData\Roaming\Microsoft\ATIODE.exe
Task: {25F81A29-F1E7-430E-B1BD-CA2B1074A35F} - System32\Tasks\Virtual Disk Service Manager => C:\Users\lucky\AppData\Roaming\TS3Client\MSSvc\mssvc.exe
Task: {7BEAB4D9-CE36-4D0F-BE1D-042A8331893A} - System32\Tasks\Driver Booster SkipUAC (lucky) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe
Task: {E71B6B39-0F70-4C16-B860-C6F5002CD766} - System32\Tasks\Updates\Security Update Checker => C:\Users\lucky\AppData\Roaming\Microsoft\SysHex.exe
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Updates
CHR HKU\S-1-5-21-823081088-4079517195-30393728-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
BootExecute: autocheck autochk *
C:\ProgramData\ddf2c5aa08022b15bbf75cb48d8afde6fd92b21c
C:\Users\lucky\AppData\Local\Opera Software
C:\Users\lucky\AppData\Roaming\Opera Software
C:\Users\lucky\AppData\Roaming\services
C:\Users\lucky\AppData\Roaming\Microsoft\*.exe
C:\Users\lucky\Downloads\IOBit Driver Booster Pro 3.1.0.332 + Crack [s0ft4PC]
C:\WINDOWS\Tasks\ImCleanDisabled
C:\Windows\System32\Tasks\Updates
Folder: C:\Users\lucky\AppData\Roaming\TS3Client
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z zaległym Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Wykonałem wszystko i załączam pliki, tak przy okazji czytania tej list którą wrzuciłem jako fixlist.txt pojawiła się nazwa IOBit Driver Booster Pro 3.1.0.332 był to folder którego nigdy nie mogłem usunąć, a mam taki drugi o nazwie installer, a wewnątrz installer.exe nie wiem czy jest to powiązane, ale warto o tym wspomnieć.

Fixlog.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza

luckyskill, proszę nie podbijaj tematu. Odpowiadam gdy jestem w stanie. Brak odpowiedzi = nie mam możliwości czasowych. Rozejrzyj się co się dzieje w dziale, a jestem jedyną osobą do pomocy. Odpowiem w Twoim temacie, gdy będę do tego zdolna.

 

PS. Tylko od razu sprecyzuj jaka jest ścieżka do tego folderu:

 

a mam taki drugi o nazwie installer, a wewnątrz installer.exe nie wiem czy jest to powiązane, ale warto o tym wspomnieć

Odnośnik do komentarza

Ja sądzę, że to właśnie te krakersy Cię załatwiły. A trojan został pomyślnie usunięty. Jeszcze w folderze TeamSpeak jest podejrzany folder "MSSvc", z niego były próby uruchamiania malware - sprawdziłam instalację TamSpeak i taki folder nie jest tworzony. Załączę też usuwanie opornego folderu "installer". Czyli:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Users\lucky\AppData\Roaming\TS3Client\MSSvc
RemoveDirectory: C:\Users\lucky\Downloads\installer

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

 

2. Na wszelki wypadek przeinstaluj też cały TeamSpeak 3 Client od zera, bo nie jestem w stanie stwierdzić na oko czy to wszystkie modyfikacje w tym folderze. Po deinstalacji usuń cały folder C:\Users\lucky\AppData\Roaming\TS3Client. I dopiero po tym zainstaluj od nowa.

 

3. Kosmetyczna sprawa w Google Chrome: Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Odnośnik do komentarza

W instrukcji jest podane, by sprawdzić za pomocą Notatnika mapowanie dysków. To co jest C spod działającego Windows, wcale nie musi być C w środowisku RE. Tu dysk z system przypuszczalnie jest pod D, bo jest ukryta partycja rozruchowa "Zastrzeżone przez system" (w RE widoczna i mapowana jako pierwsza, więc to ona ma C). Ale to sprawdzisz trikiem z Notatnikiem.

Odnośnik do komentarza

Mój błąd :) Teraz próbuje dodać do załącznika, ale pokazuje się "Wysyłanie ominięte (Nie wybrano pliku do importu)"[/size]

 

Dlatego wrzucam:

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:12-12-2015

Uruchomiony przez SYSTEM (2015-12-12 21:05:04) Run:6

Uruchomiony z C:\

Tryb startu: Recovery

==============================================

 

fixlist - zawartość:

*****************

RemoveDirectory: C:\Users\lucky\Downloads\installer

*****************

 

RemoveDirectory: C:\Users\lucky\Downloads\installer => Błąd: Ta dyrektywa działa tylko poza środowiskiem odzyskiwania.

 

==== Koniec Fixlog 21:05:04 ====

Odnośnik do komentarza

Zrobiłem to już w systemie i chyba zadziałało bo folder zniknął.

 

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja:12-12-2015

Uruchomiony przez lucky (2015-12-12 21:36:14) Run:7

Uruchomiony z C:\

Załadowane profile: lucky (Dostępne profile: lucky)

Tryb startu: Normal

==============================================

 

fixlist - zawartość:

*****************

Unlock: C:\Users\lucky\Downloads\installer

C:\Users\lucky\Downloads\installer

*****************

 

"C:\Users\lucky\Downloads\installer" => został odblokowany

C:\Users\lucky\Downloads\installer => pomyślnie przeniesiono

 

==== Koniec Fixlog 21:36:14 ====

Odnośnik do komentarza

Wprawdzie skrypt miał być uruchomiony z poziomu RE a nie trybu normalnego, ale zadanie wykonane. Teraz:

 

1. Usuń używane narzędzia za pomocą DelFix.

 

2. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro. Nic nie usuwaj, tylko podaj wyniki. By plik wszedł w załącznik, musi mieć rozszerzenie *.txt (po prostu zapisz ponownie do nowego pliku).

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...