Diamond Opublikowano 5 Stycznia 2017 Zgłoś Udostępnij Opublikowano 5 Stycznia 2017 Witam wszystkich, Ostatnio podczas próby zrobienia przelewu w mBanku zablokowano mi konto. Przyczyną było wykrycie po stronie banku złośliwego oprogramowania. Przeskanowałem komputer dwoma programami antywirusowymi tak jak zalecali (Comodo Internet Security, SpyBot oraz ESET Online Scanner), dzięki temu pozbyłem się kilku programików szpiegujących oraz odblokowałem sobie konto. Po ponownej próbie zalogowania się i zrobienia przelewu ponownie zablokowano mi konto z powodu złośliwego oprogramowania. Ponowne skany wyżej wymienionymi programami nie dały żadnych rezultatów (nic nie znaleziono). Na infolinii ponownie poprosiłem o dostęp do mojego konta i aktywację na moją odpowiedzialność. I tu zaczęły się dziać dziwne rzeczy. Mianowicie, kiedy chciałem wykonać przelew przyszedł do mnie sms z kodem autoryzacyjnym, ale na zupełnie inną kwotę (750 zł) oraz na inny numer konta. Próba cofnięcia operacji na stronie nic nie dała, przycisk nie działał. Działał tylko ten od wylogowywania się, co też uczyniłem. Spróbowałem wykonać tę operację jeszcze raz i znów to samo (ten sam sms od mBanku na taką kwotę i numer konta oraz brak możliwości cofnięcia przelewu). Oczywiście bez autoryzacji przelew nie został zrealizowany, ale problem pozostaje. W sieci znalazłem informację, że może być to przykład na zarażenie Banatrix'em (dziwne smsy oraz nakładka na stronę banku). Z góry dziękuję za udzieloną mi pomoc. Załączam wymagane pliki *.txt Pozdrawiam! Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
Miszel03 Opublikowano 5 Stycznia 2017 Zgłoś Udostępnij Opublikowano 5 Stycznia 2017 To standardowe symptomy infekcji VBKlip / Banatrix, z tym, że trochę nie pasuję mi wygląd tej infekcji w logach (z reguły była uruchamiana poprzez harmonogram zadań). Stawiam, że poniższe pliki oraz wpisy w auto-uruchamianie należą właśnie do tej infekcji, więc je wywalam: Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat [2016-12-22] ()Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat [2016-12-21] ()C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.datC:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat Szczerze powiedziawszy bardzo interesujący jest fakt, że użyte przez Ciebie 2 dobre skanery (SpyBot to przestarzały program, sugerowana deinstalacja) nadal to siedzi. Do mojego wyraźnego zezwolenia, nie wolno robić Ci na tym urządzeniu żadnych operacji związanymi z płatnością online. 1. Otwórz Notatnik w nim wklej:CloseProcesses:CreateRestorePoint:HKLM-x32\...\Run: [] => [X]Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat [2016-12-22] ()Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat [2016-12-21] ()C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.datC:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.datAppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak plikuSearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =U3 idsvc; Brak ImagePathTask: {0D83B61C-B076-48DF-96E3-31D49B14C899} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1C95882A-1D92-4744-8FB0-C19FA1E5F1B3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {1C95882A-1D92-4744-8FB0-C19FA1E5F1B3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5090963D-78FF-4D79-B841-7E0CDEDC16E6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {514F8650-03DE-4C21-82EA-B6725BA9A9F5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {5E6E6BC0-4514-41FB-B974-5F583C5ED6D2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {8701B720-AFFD-4CD8-8448-3E46B095E716} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9D39B992-8C23-4C3B-8823-110A300ABD98} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {ACB3BDD0-6A5D-4A8E-9D48-7A33DEF88CE0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BC15E50D-FEBB-4AB5-9AFF-8A6F9234CAC0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C398AE07-670E-47D6-A26D-C86E7C168E39} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {CA119C24-25C3-4D19-BE28-1539ED15E71E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku ShortcutWithArgument: C:\Users\Damian\Desktop\App Launcher for Messenger.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=bllmngcdibgbgjnginpehneeofhbmdjmShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\App Launcher for Messenger.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=bllmngcdibgbgjnginpehneeofhbmdjmShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome1.exe (Google Inc.) -> --profile-directory=Default --app-id=knipolnnllmklapflnccelgolnpehhpl DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\DomainsDeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\DomainsHosts:EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Przeskanuj system za pomocą programu HitmanPro, jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Diamond Opublikowano 9 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 9 Stycznia 2017 Przepraszam, że tak długo nie odpowiadałem, ale komputer został w pracy więc nie miałem do niego dostępu. Wykonałem po kolei wszystkie czynności jakie zaleciłeś. Dołączam raporty ze skanowania FRST oraz HitmanPro (nic nie wykrył, prócz FRST i ciasteczek). Pozdrawiam! Addition.txt Fixlog.txt FRST.txt Shortcut.txt HitmanPro.txt Odnośnik do komentarza
Miszel03 Opublikowano 9 Stycznia 2017 Zgłoś Udostępnij Opublikowano 9 Stycznia 2017 W HitmanPro usuń wszystkie detekcje z sekcji Cokkies oraz Potential Unwanted Programs, czyli zostawiasz tylko sekcje Suspicious Files. Komentując resztę to wygląda to już w porządku, prócz siedzącej dalej (usuwanie powiodło się, ale nie widać efektów) szkodliwej mapy domen, w przeglądarce IE. 1. Pobierz AdwCleaner uruchom go i kliknij szukaj, a gdy uaktywni się przycisk Usuń rozwiń pasek Opcje i zaznacz Resetuj zasady IE, po czym kliknij Oczyść. Dostarcz raport z działania AdwCleanera (znajduję się w lokalizacji C:\AdwCleaner) oraz zrób nowe raport FRST (bez Shortcut). 2. Wykonaj test na obecność szkodnika VbKlip / Banatrix. Otwórz Notatnik i przyklej do niego poniższy 26 cyfrowy przykład numeru konta. 11101010101010101010101010 Sprawdź czy nie został podmieniony na inny. Poinformuj mnie o wyniku testu. Odnośnik do komentarza
Diamond Opublikowano 10 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Stycznia 2017 Wszystkie kroki wykonałem tak jak prosiłeś. AdwCleaner wykrył jakieś nieprawidłowości, HitmanPro jak zwykle - nie podoba mu się FRST Test na Banatrix'a przeszedł pomyślnie, nie podmienia się kod\nr banku na inny. Próbowałem ctr+c\ctrl+v oraz kopiuj\wklej z myszki - wszystko gra. Załączam logi. Pozdrawiam! Addition.txt AdwCleanerS2.txt FRST.txt HitmanPro.txt Odnośnik do komentarza
Miszel03 Opublikowano 11 Stycznia 2017 Zgłoś Udostępnij Opublikowano 11 Stycznia 2017 AdwCleaner wykrył jakieś nieprawidłowości, HitmanPro jak zwykle - nie podoba mu się FRST Ad. 1 Widzę, że przeprowadziłeś tylko skanowanie w AdwCleaner, a miałeś również wykonać dezynfekcję (patrz jeszcze raz pkt. 1 mojego ostatniego postu). Wykonaj to i dostarcz raport. Po tej dezynfekcji dostarcz nowy raport Addition. Ad. 2 OK. Test na Banatrix'a przeszedł pomyślnie, nie podmienia się kod\nr banku na inny. Próbowałem ctr+c\ctrl+v oraz kopiuj\wklej z myszki - wszystko gra. Możesz zacząć ostrożnie* korzystać z płatności online na tym urządzeniu. *za każdym razem sprawdzasz numer konta i kwotę, jeśli cokolwiek się nie zgadza to wracasz do nas. Odnośnik do komentarza
Diamond Opublikowano 11 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 11 Stycznia 2017 Przepraszam, rzeczywiście pominąłem czyszczenie, mój błąd. Wielkie dzięki za pomoc! Jeśli coś nie będzie grało to na pewno wrócę na forum po pomoc. Załączam wszystkie raporty (z AwCleaner 2 bo nie wiedziałem czy ten po resecie komputera czy przed). Pozdrawiam. Addition.txt AdwCleanerC0.txt AdwCleanerS3.txt FRST.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Stycznia 2017 Zgłoś Udostępnij Opublikowano 12 Stycznia 2017 OK, mapa domem wywalona, więc będziemy kończyć. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz wyczyść punkty przywracania systemu (aby przez przypadek nie odtworzyć szkodnika) - KLIK / KLIK. Odnośnik do komentarza
Diamond Opublikowano 12 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 12 Stycznia 2017 No dzisiaj rano jeszcze raz przeskanowałem AdwCleaner'em system i znalazł 2 pliki. Usunąłem, przeczyściłem system (systemowym i Ccleaner'em) i wtedy zaczęły się jaja (nie wiem czy to nie wynik dzisiejszej aktualizacji Windowsa 10). System nie chciał wstać, długo się ładował, brak sieci, błąd SENS. Na szczęście wszystko wróciło do normy. Przeskanowałem ponownie i czysto, AdwCleaner i CIS nic nie znalazły. Zrobię to o co prosiłeś i jak będę mieć jeszcze jakieś problemy to się zgłoszę. Wielkie dzięki za pomoc! Jestem dozgonnie wdzięczny Odnośnik do komentarza
Miszel03 Opublikowano 12 Stycznia 2017 Zgłoś Udostępnij Opublikowano 12 Stycznia 2017 Zrobię to o co prosiłeś i jak będę mieć jeszcze jakieś problemy to się zgłoszę OK. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się