Skocz do zawartości

Pomoc w usunięciu Banatrix (?)


Rekomendowane odpowiedzi

Witam wszystkich,

 

     Ostatnio podczas próby zrobienia przelewu w mBanku zablokowano mi konto. Przyczyną było wykrycie po stronie banku złośliwego oprogramowania. Przeskanowałem komputer dwoma programami antywirusowymi tak jak zalecali (Comodo Internet Security, SpyBot oraz ESET Online Scanner), dzięki temu pozbyłem się kilku programików szpiegujących oraz odblokowałem sobie konto. Po ponownej próbie zalogowania się i zrobienia przelewu ponownie zablokowano mi konto z powodu złośliwego oprogramowania. Ponowne skany wyżej wymienionymi programami nie dały żadnych rezultatów (nic nie znaleziono). Na infolinii ponownie poprosiłem o dostęp do mojego konta i aktywację na moją odpowiedzialność. I tu zaczęły się dziać dziwne rzeczy. Mianowicie, kiedy chciałem wykonać przelew przyszedł do mnie sms z kodem autoryzacyjnym, ale na zupełnie inną kwotę (750 zł) oraz na inny numer konta. Próba cofnięcia operacji na stronie nic nie dała, przycisk nie działał. Działał tylko ten od wylogowywania się, co też uczyniłem. Spróbowałem wykonać tę operację jeszcze raz i znów to samo (ten sam sms od  mBanku na taką kwotę i numer konta oraz brak możliwości cofnięcia przelewu). Oczywiście bez autoryzacji przelew nie został zrealizowany, ale problem pozostaje.

     W sieci znalazłem informację, że może być to przykład na zarażenie Banatrix'em (dziwne smsy oraz nakładka na stronę banku). Z góry dziękuję za udzieloną mi pomoc. Załączam wymagane pliki *.txt  ;)  Pozdrawiam!

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

To standardowe symptomy infekcji VBKlip / Banatrix, z tym, że trochę nie pasuję mi wygląd tej infekcji w logach (z reguły była uruchamiana poprzez harmonogram zadań). Stawiam, że poniższe pliki oraz wpisy w auto-uruchamianie należą właśnie do tej infekcji, więc je wywalam:
 

Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat [2016-12-22] ()
Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat [2016-12-21] ()
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat

 
Szczerze powiedziawszy bardzo interesujący jest fakt, że użyte przez Ciebie 2 dobre skanery (SpyBot to przestarzały program, sugerowana deinstalacja) nadal to siedzi. 
 


 
Do mojego wyraźnego zezwolenia, nie wolno robić Ci na tym urządzeniu żadnych operacji związanymi z płatnością online.
 
1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat [2016-12-22] ()
Startup: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat [2016-12-21] ()
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\1.dat
C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\2.dat
AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak pliku
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U3 idsvc; Brak ImagePath
Task: {0D83B61C-B076-48DF-96E3-31D49B14C899} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {1C95882A-1D92-4744-8FB0-C19FA1E5F1B3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {1C95882A-1D92-4744-8FB0-C19FA1E5F1B3} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5090963D-78FF-4D79-B841-7E0CDEDC16E6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {514F8650-03DE-4C21-82EA-B6725BA9A9F5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {5E6E6BC0-4514-41FB-B974-5F583C5ED6D2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {8701B720-AFFD-4CD8-8448-3E46B095E716} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {9D39B992-8C23-4C3B-8823-110A300ABD98} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {ACB3BDD0-6A5D-4A8E-9D48-7A33DEF88CE0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {BC15E50D-FEBB-4AB5-9AFF-8A6F9234CAC0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {C398AE07-670E-47D6-A26D-C86E7C168E39} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {CA119C24-25C3-4D19-BE28-1539ED15E71E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku ShortcutWithArgument: C:\Users\Damian\Desktop\App Launcher for Messenger.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=bllmngcdibgbgjnginpehneeofhbmdjm
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\App Launcher for Messenger.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=bllmngcdibgbgjnginpehneeofhbmdjm
ShortcutWithArgument: C:\Users\Damian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Google Hangouts.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome1.exe (Google Inc.) -> --profile-directory=Default --app-id=knipolnnllmklapflnccelgolnpehhpl

DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Hosts:
EmptyTemp:



Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść Google Chrome:
  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Wyczyść FireFox:

  • Odłącz synchronizację (o ile włączona): KLIK
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania

4. Przeskanuj system za pomocą programu HitmanPro, jeśli coś wykryję to niczego nie usuwaj, a dostarcz raport. 
 
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

W HitmanPro usuń wszystkie detekcje z sekcji Cokkies oraz Potential Unwanted Programs, czyli zostawiasz tylko sekcje Suspicious Files.

 

Komentując resztę to wygląda to już w porządku, prócz siedzącej dalej (usuwanie powiodło się, ale nie widać efektów) szkodliwej mapy domen, w przeglądarce IE

 

1. Pobierz AdwCleaner uruchom go i kliknij szukaj, a gdy uaktywni się przycisk Usuń rozwiń pasek Opcje i zaznacz Resetuj zasady IE, po czym kliknij Oczyść.

Dostarcz raport z działania AdwCleanera (znajduję się w lokalizacji C:\AdwCleaner) oraz zrób nowe raport FRST (bez Shortcut).

 

2. Wykonaj test na obecność szkodnika VbKlip / Banatrix.

 

Otwórz Notatnik i przyklej do niego poniższy 26 cyfrowy przykład numeru konta.

 

11101010101010101010101010 

 

Sprawdź czy nie został podmieniony na inny. Poinformuj mnie o wyniku testu. 

Odnośnik do komentarza

Wszystkie kroki wykonałem tak jak prosiłeś. AdwCleaner wykrył jakieś nieprawidłowości, HitmanPro jak zwykle - nie podoba mu się FRST ;) Test na Banatrix'a przeszedł pomyślnie, nie podmienia się kod\nr banku na inny. Próbowałem ctr+c\ctrl+v oraz kopiuj\wklej z myszki - wszystko gra. Załączam logi. Pozdrawiam! ;)

Addition.txt

AdwCleanerS2.txt

FRST.txt

HitmanPro.txt

Odnośnik do komentarza
AdwCleaner wykrył jakieś nieprawidłowości, HitmanPro jak zwykle - nie podoba mu się FRST

 

Ad. 1 Widzę, że przeprowadziłeś tylko skanowanie w AdwCleaner, a miałeś również wykonać dezynfekcję (patrz jeszcze raz pkt. 1 mojego ostatniego postu). Wykonaj to i dostarcz raport.

 

Po tej dezynfekcji dostarcz nowy raport Addition. 

 

Ad. 2 OK.

 

Test na Banatrix'a przeszedł pomyślnie, nie podmienia się kod\nr banku na inny. Próbowałem ctr+c\ctrl+v oraz kopiuj\wklej z myszki - wszystko gra.

 

Możesz zacząć ostrożnie* korzystać z płatności online na tym urządzeniu. 

 

*za każdym razem sprawdzasz numer konta i kwotę, jeśli cokolwiek się nie zgadza to wracasz do nas.

Odnośnik do komentarza

No dzisiaj rano jeszcze raz przeskanowałem AdwCleaner'em system i znalazł 2 pliki. Usunąłem, przeczyściłem system (systemowym i Ccleaner'em) i wtedy zaczęły się jaja (nie wiem czy to nie wynik dzisiejszej aktualizacji Windowsa 10). System nie chciał wstać, długo się ładował, brak sieci, błąd SENS. Na szczęście wszystko wróciło do normy. Przeskanowałem ponownie i czysto, AdwCleaner i CIS nic nie znalazły. Zrobię to o co prosiłeś i jak będę mieć jeszcze jakieś problemy to się zgłoszę. Wielkie dzięki za pomoc! Jestem dozgonnie wdzięczny ;)

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...