Skocz do zawartości

Zhackowana poczta - Mozilla Thunderbird, Win XP


Rekomendowane odpowiedzi

Witam,

Ktoś podszywając się pod znajomego z zagranicy mojego brata próbował wyłudzić przelew na pewną sumę pieniędzy. Znajomy potwierdził, ze jego konto padło ofiarą hakerów.

Po tym incydencie zacząłem się zastanawiać czy haker w korespondencji nie przemycił jakiegoś złośliwego oprogramowania, które zaatakowało komputer i czy wobec tego można bezpiecznie z niego korzystać.

Mam świadomość że pewnie przesadzam, ale proszę o sprawdzenie logów. Opisana sytuacja ma miejsce na stacjonarnym komputerze, z którego na co dzień korzystają inni domownicy i wolę dmuchać na zimne.

 

Z góry bardzo dziękuje za pomoc.

 

Pozdrawiam,

dragon

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nic tu nie wskazuje na infekcję czy niepożądaną ingerencję.

 

PS. Do wykonania działania poboczne:

 

1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player 9 ActiveX, Java™ 6 Update 23, Java 7 Update 71.

 

2. Drobny skrypt kosmetyczny usuwający szczątkowe wpisy oraz czyszczący lokalizacje Temp. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 VIAHdAudAddService; system32\drivers\viahduaa.sys [X]
HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (dane wartości zawierają 36 znaków więcej).
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKU\S-1-5-21-839522115-813497703-2147074499-1004\...\MountPoints2: {3c4ae87f-74de-11e0-85bc-20cf30c18f48} - F:\Startme.exe
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak
HKU\S-1-5-21-839522115-813497703-2147074499-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Toolbar: HKU\S-1-5-21-839522115-813497703-2147074499-1004 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku
FF user.js: detected! => C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\t2m7yaoq.default\user.js [2014-12-06]
FF SearchPlugin: C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\t2m7yaoq.default\searchplugins\infoaxe.xml [2014-02-12]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF HKLM\...\Firefox\Extensions: [{6D5C8FC4-DE46-41bf-9092-93F0F78E9115}] - C:\Documents and Settings\All Users\Dane aplikacji\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_2.3.0.22\coFFFw => nie znaleziono
FF DefaultSearchUrl:
FF Keyword.URL:
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nmctxth
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OODefragTray
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RemoteControl
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched
C:\Documents and Settings\All Users\Dane aplikacji\1441545624.bdinstall.bin
C:\Documents and Settings\Wojciech\Dane aplikacji\Bitdefenduser_gensett.xml
C:\Documents and Settings\Wojciech\Menu Start\Message_1446199242974.lnk
C:\Documents and Settings\Wojciech\Menu Start\Obraz 005.lnk
C:\Documents and Settings\Wojciech\Menu Start\unnamed.lnk
C:\Program Files\Common Files\Bitdefender
C:\Program Files\Mozilla Firefox\plugins
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...