Skocz do zawartości

podejrzenie keyloggera w komputerze


Rekomendowane odpowiedzi

Cześć!

 

Dwa miesiące temu otrzymałem maila o tym, że ktoś z Limy, Peru, próbował się zalogować do mojego konta Steam. W mailu był adres IP i miejsce, z którego próbowano się logować. Osoba znała moją nazwę użytkownika oraz hasło. Nie mogła się zalogować, ze względu na brak kodu Steam Guard, który otrzymuję na maila w przypadku logowania się z nowego komputera. Zmieniłem wtedy hasło i stwierdziłem, że to wystarczy. Dzisiaj rano otrzymałem kolejnego maila, że ktoś, tym razem z Indii, próbował zalogować się do mojego konta steam znając nazwę użytkownika oraz hasło. Moje hasła są naprawdę bardzo skomplikowane, są w nich duże i małe litery, cyfry, znaki specjalne. Brute force potrzebowałby kilku lat, żeby znaleźć właściwą kombinację. Zastanawiam się dlatego, czy może w moim komputerze nie jest zainstalowany jakiś keylogger. Czy jest możliwość wykrycia takiego programu? Nikomu haseł nie podaję, nawet nikogo nie znam z tych państw. 

 

Pozdrawiam!

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Miałeś niezłego nosa, że założyłeś u nas temat. Adresy serwerów DNS ustawionych na routerze są zagraniczne, konkretnie pochodzą z Belgii (KLIK / KLIK). Z doświadczenia, która niebagatela wynosi już ok. 3 lata wiem, że to adresy infekcyjne i to tym się będziemy zajmować. Wątkiem pobocznym jest sprzątanie systemu z resztek po programach itd. 

 

P.S: Czy korzystasz z nieoficjalnych platform Steam? Aktualnie popularne są rozmaite strony dot. CS:GO, darmowe przedmioty, skrzynie i klucze. Wiele takich stron to oszustwo / Phishing, a sama rejestracja może być powiązana z kontem Steam. To stanowi potencjalne zagrożenie. Jeśli tak i nie jesteś ich pewny to zarządzaj kasacji konta. 

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
CustomCLSID: HKU\S-1-5-21-689077054-4267889677-1268134294-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-A5541C1C03A3}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {1B826A68-2BFD-486B-B775-CDAEB1CE3B7E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {1D7D4060-DAE8-4F05-88FE-05A6FA97A47E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {280944C5-56A5-4AEC-BA87-45ADC43FB063} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {3387189F-AA93-45AE-82F7-728BAA9584C7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {5AB3FC94-C677-4FD8-BD55-5E866F0BDE89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {62181F62-BCDF-46C4-B2AA-E5813ECFFC97} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {6BCC9D5F-B8B6-49C9-9401-B260ACF0280C} - \CCleanerSkipUAC -> Brak pliku 
Task: {A5658747-E50E-400C-94FF-53EBA4BFDD9C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {BAACA7C6-C5F1-4C9B-BB5F-DEEE0D7D2A65} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {D2EC9FF0-07D6-4665-BF8D-515F9E24D0CF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {DC8A6D5F-25CB-47FC-8C7D-4C4CCA68EC6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {E6488BEE-1463-487C-822D-5B2346287339} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
C:\Users\Misiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\µTorrent.lnk 
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zmień hasło dostępu do konta Steam oraz Email, hasło ma być łatwe do zapamiętania, ale trudne do złamania. Duże, małe litery, znaki specjalne. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Zapomniałem dodać, że ja obecnie znajduję się w Belgii od ubiegłego piątku i być może stąd adresy DNS są z Belgii.

 

Owszem, korzystam z nieautoryzowanych platform steam, ale są to jedynie takie, których używają znani streamerzy. 

 

Czy powyższa informacja dotycząca mojej lokalizacji coś zmienia? Czy dalej mam wykonać zaproponowane przez Ciebie rzeczy? 

Odnośnik do komentarza

Owszem, korzystam z nieautoryzowanych platform steam, ale są to jedynie takie, których używają znani streamerzy.

 

Podaj linki.

 


 

Teraz śmiało mogę teraz powiedzieć, że w systemie brak oznak infekcji.

 

Podmień sobie tylko skrypt z pkt. 2 na ten poniższy (tamten jest zrobiony pod infekcje DNS).

 

CloseProcesses:
CreateRestorePoint:
S3 klids; \??\C:\ProgramData\Kaspersky Lab\AVP16.0.1\Bases\klids.sys [X]
CustomCLSID: HKU\S-1-5-21-689077054-4267889677-1268134294-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-A5541C1C03A3}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
Task: {1B826A68-2BFD-486B-B775-CDAEB1CE3B7E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {1D7D4060-DAE8-4F05-88FE-05A6FA97A47E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {280944C5-56A5-4AEC-BA87-45ADC43FB063} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {3387189F-AA93-45AE-82F7-728BAA9584C7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {5AB3FC94-C677-4FD8-BD55-5E866F0BDE89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {62181F62-BCDF-46C4-B2AA-E5813ECFFC97} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {6BCC9D5F-B8B6-49C9-9401-B260ACF0280C} - \CCleanerSkipUAC -> Brak pliku 
Task: {A5658747-E50E-400C-94FF-53EBA4BFDD9C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {BAACA7C6-C5F1-4C9B-BB5F-DEEE0D7D2A65} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {D2EC9FF0-07D6-4665-BF8D-515F9E24D0CF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
Task: {DC8A6D5F-25CB-47FC-8C7D-4C4CCA68EC6D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {E6488BEE-1463-487C-822D-5B2346287339} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
C:\Users\Misiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\µTorrent.lnk
CMD: netsh advfirewall reset
EmptyTemp:

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...