Przejęte konto gry World of Warcraft

[Ars]

Witam

Ostatnio pojawił się u mnie problem z hacowaniem mojego konta w grze World of Warcraft. Pomimo, że w tę grę nie gram od stycznia, czyli nie loguje się do niej, co pewien okres ktoś zmienia hasło do mojego konta. Mało prawdopodobne żeby to były ataki brute force, a antywirusy (MKS online, Dr Web) nic nie znajdują. W dodatku gdy próbuje przeskanować komputer GMERem albo Combo Fixem pojawia się blue screen 0x000000019. W przypadku GMERa odrazu po uruchomieniu pojawia się ten komunikat, a w przypadku COMBO FIXa przy skanowaniu nr 52. Zauważyłem również, że po uruchomieniu firefoxa pojawiają się dziwne procesy TCP (załączam plik z nazwami tych procesów), które nie znikają już. Innych objawów jak zmiany hasała do innych stron, bluescreen w innych momentach czy np. obciążenie łącza nie występują.

Proszę o pomoc

OTL.Txt

Extras.Txt

TCP.txt

[picasso]

Tytuł dostosowuję do problemu, BSOD przy używaniu narzędzi to jest "efekt wtórny".

 

 

Ostatnio pojawił się u mnie problem z hacowaniem mojego konta w grze World of Warcraft.

 

Nie notuję w raportach znaków czynnej infekcji, tylko śmieci paskowe-adware (Ask Toolbar / RelevantKnowledge / vShare Toolbar / pdfforge Toolbar). Aczkolwiek są jakieś trzy dziwne pliki (bltofzsb.qlf + ojvzdisj.xda + cglogs.dat), a ten ostatni jest podawany w kontekście infekcji KLIK. Nie widać jednak żadnych jawnych aktywności.

 

 

1. Wykonaj porządki wstępne. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL 
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316"
FF - prefs.js..extensions.enabledItems: toolbar@ask.com:3.9.1.14019
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:4.3
FF - prefs.js..extensions.enabledItems: wtxpcom@mybrowserbar.com:4.3
FF - prefs.js..keyword.URL: "http://vshare.toolbarhome.com/search.aspx?srch=ku&q="
O3 - HKU\S-1-5-21-1482476501-1645522239-839522115-1003\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKU\S-1-5-21-1482476501-1645522239-839522115-1003\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
[2011-05-15 22:10:19 | 000,001,583 | ---- | M] () -- C:\Documents and Settings\Mateusz\Dane aplikacji\Mozilla\Firefox\Profiles\jypfujyy.default\searchplugins\web-search.xml
[2011-02-21 15:37:49 | 000,002,046 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\fcmdSrchddr.xml
[2010-09-14 12:46:53 | 000,005,077 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\bltofzsb.qlf
[2010-01-04 20:00:42 | 000,004,985 | ---- | C] () -- C:\Documents and Settings\All Users\Dane aplikacji\ojvzdisj.xda
[2005-04-08 04:16:43 | 000,155,175 | -H-- | C] () -- C:\Documents and Settings\Mateusz\Dane aplikacji\cglogs.dat
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\RelevantKnowledge\rlvknlg.exe"=- 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}]
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Powstanie z tego wynikowy log do pokazania.

 

2. Nie został tu wykonany pomyślnie skan pod kątem rootkitów. W obliczu trudności skanu za pomocą GMER dostarcz chociaż skan pod kątem infekcji typu bootkit, wykonany narzędziem Kaspersky TDSSKiller. Jeśli cokolwiek zostanie wykryte, nie podejmuj akcji (Skip) i tylko wyprodukuj raport tekstowy do oceny.

 

3. Przeprowadź też skanowanie przez Malwarebytes' Anti-Malware i zaprezentuj wyniki.

 

4. Zwracam uwagę, że system jest kiepsko zabezpieczony, nie widzę żadnego oprogramowania AV / zapory.... A przy podejrzeniu aktywności keyloggera sugeruję instalację darmowego SpyShelter Personal Free.

 

 

antywirusy (MKS online, Dr Web) nic nie znajdują

 

Nie polegałabym na zdaniu MKS w tej kwestii. Skaner typu "S" = swojski, ale słaby.

 

 

 

.

[Ars]

Kaspersky TDSSKiller nic nie wykrył, Anti-Malware znalazł kilkanaście zainfekowanych plików, wpisów. Niestety dalej występuje bluescreen przy uruchomieniu GMERu. W załączniku wysyłam log z Anti-Malware. Log z OTL nie chce się wysyłać dlatego podaje adres gdzie jest dostępny http://wklej.org/id/559579/ SpyShelter już zainstalowany. Przypomniało mi się, że od pewnego czasu mam problem z uruchomieniem plików DOS. Gdy uruchamiam command.com pojawiają się dziwne znaki:

 

 

W dodatku gdy próbuje uruchomić jakis plik dos pojawia się komunikat: NTVDM.CPU: napotkano niedozwoloną instrukcję. Podmiana plików AUTOEXEC.NT, CONFIG.NT, COMMAND.COM nic nie daje.

mbam-log-2011-07-09 (11-49-39).txt

[picasso]

Wyniki MBAM: te z "Zainfekowane informacje rejestru systemowego" nie liczą się (to tylko przekonfigurowane ustawienia), wszystko z katalogu System Volume Information (Przywracanie systemu) to tylko kopie adware RevelantKnowledge, keygeny zawsze podejrzane, a o wynikach z katalogu Ultra nie wiem co sądzić.

 

 

SpyShelter już zainstalowany.

 

Warto dorzucić pełnowartościowego firewalla, który może blokować próby obustronnych kontaktów z hakerskim serwerem. Propozycje darmowe: PrivateFirewall, Online Armor Free, COMODO Firewall. Tylko jedna uwaga, te zapory mają funkcjonalność HIPS, która już jest w SpyShelter. To za dużo i należałoby zdeaktywować w wybranym programie ten moduł, by nie skrzyżować.

 

 

Niestety dalej występuje bluescreen przy uruchomieniu GMERu.

 

Oczywiście, moje operacje nie miały na celu likwidacji tego efektu. BSOD przy próbie uruchamiania GMER (oraz ComboFix z integracją narzędzi od autora GMERa) nie świadczy o niczym jeszcze. Są takie systemy, na których GMER w ogóle nie chce działać, mimo że teoretycznie spełniono warunki do prawidłowego działania (usunięta emulacja napędów + wyłączone oprogramowanie zabezpieczające). Wypróbuj czy skanowanie przejdzie, jeśli zaczniesz odznaczać po kolei poszczególne sekcje skanowania: zacznij od odfajkowania sekcji IAT/EAT, a przy braku pozytywnych skutków próbuj z kolejnymi.

 

 

Przypomniało mi się, że od pewnego czasu mam problem z uruchomieniem plików DOS. Gdy uruchamiam command.com pojawiają się dziwne znaki (...)

W dodatku gdy próbuje uruchomić jakis plik dos pojawia się komunikat: NTVDM.CPU: napotkano niedozwoloną instrukcję. Podmiana plików AUTOEXEC.NT, CONFIG.NT, COMMAND.COM nic nie daje.

 

Wykonaj skan prezentujący składniki podsystemu 16-bit. Uruchom OTL, wszystkie sekcje przestaw na Brak + Żadne, zaś w polu Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers
/md5start
command.com
ntio*.sys
ntdos*.sys
ntvdm.exe
ntvdm.dll
redir.exe
/md5stop
type C:\Windows\system32\autoexec.nt /C
type C:\Windows\system32\config.nt /C

Klik w Skanuj (a nie Wykonaj skrypt!).

 

 

.

[Bonifacy]

Profilaktycznie można by było przeskanować system narzędziem Removal Tool Trojan.Keylogger.IStealer - http://www.malwarecity.com/community/index.php?app=downloads&showfile=3

Trojan.Keylogger.IStealer interesuje się hasłami z takich programów jak:

1. Instant Messenger services - MSN Messenger®, Google™ Talk, Trillian, Pidgin, Paltalk

2. Browsers: Firefox®, Internet Explorer® (including version no. 8), Opera and Google™ Chrome

3. FTP transfer apps - CuteFTP, FileZilla, SmartFTP, FlashFXP

4. DNS providers: NO-IP and DynDNS

5. Other applications of interest: Steam, Internet Download Manager

A nóż widelec strzał będzie celny...

szerzej o tym śmieciu: http://www.malwarecity.com/blog/malware-review-trojankeyloggeristealer-837.html

[Ars]

Removal Tool Trojan.Keylogger.IStealer nic nie znalazł. W załączniku daje log po wykonaniu zalecanego skanu w OTL. Jeżeli chodzi o GMERA to żadnych opcji nie mogę wybrać ponieważ bluescreen pojawia się zaraz po dwukliku na aplikacje, a nie po rozpoczęciu skanowania jak w ComboFixie. Po ostatnim restarcie spowodowanym próbą uruchomienia GMERA przy stracie windowsa SpyShelter poinformował, że chce się uruchomić plik, którego wcześniej nie zauważyłem, a mianowicie plik C:\WINDOWS\system32\Drivers\ZDPSp50.sys W googlach są sprzeczne informacje na temat tego pliku dlatego o tym pisze, bez akceptacji uruchomienia tego pliku nie chciał się połączyć komputer z ruterem. OTL w normalnym skanowaniu nie znajduje żadnego procesu z tym plikiem.

OTL.Txt

[picasso]

Jeżeli chodzi o GMERA to żadnych opcji nie mogę wybrać ponieważ bluescreen pojawia się zaraz po dwukliku na aplikacje, a nie po rozpoczęciu skanowania jak w ComboFixie.

 

Czy w Trybie awaryjnym Windows także się to dzieje?

 

 

Po ostatnim restarcie spowodowanym próbą uruchomienia GMERA przy stracie windowsa SpyShelter poinformował, że chce się uruchomić plik, którego wcześniej nie zauważyłem, a mianowicie plik C:\WINDOWS\system32\Drivers\ZDPSp50.sys W googlach są sprzeczne informacje na temat tego pliku dlatego o tym pisze, bez akceptacji uruchomienia tego pliku nie chciał się połączyć komputer z ruterem.

 

Ten sterownik jest widoczny dla mnie w raportach od pierwszego OTL i jest OK:

 

DRV - [2007-01-16 13:52:20 | 000,017,664 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ZDPSp50.sys -- (ZDPSp50)

 

OTL w normalnym skanowaniu nie znajduje żadnego procesu z tym plikiem.

 

Jak podałam wyżej to jest sterownik i w logu ma status "Running".

 

 

W załączniku daje log po wykonaniu zalecanego skanu w OTL.

 

Nic z tego dla mnie nie wynika konkretnego, aczkolwiek notuję brak spójności wersji plików. Posiadasz XP SP3, a niektóre pliki mają daty na 2001 lub 2004 a nie 2008, niemniej 99% z nich ma sumy kontrolne zgodne z moimi plikami. Wyjątkiem jest tu command.com, który u Ciebie wygląda tak:

 

[2001-08-17 13:32:04 | 000,050,620 | ---- | M] () MD5=BE67D29CA914DE072D9971E3FFFC4050 -- C:\WINDOWS\system32\command.com

Natomiast u mnie w XP SP3 tak:

 

[2008-04-15 08:30:00 | 000,051,823 | ---- | M] () MD5=8D6FD0E2CD5DCE194ECE02D147182F6A -- C:\WINDOWS\system32\command.com

Mimo że już go wymieniałeś, proponuję podmianę pliku raz jeszcze, moją wersją. Pobierz plik: KLIK.

 

 

 

.

[Ars]

Podmiana command.com nic nie dała, nadal po uruchomieniu tej aplikacji pojawiają się dziwne znaki. GMER w trybie awaryjnym ruszył, w logu alcohol jest zarówno na partycji c jak i e z tym, że ten z e to pozostałości po starej wersji, która została już odinstalowana.

gmer.txt

[picasso]

Hmm, a może to problem z ustawieniami klawiaturowymi.

 

1. Zrób test, w autoexec.nt otworzonym w Notatniku dodaj taką linijkę:

 

kb16 PL,850,C:\windows\system32\keyboard.sys

 

Czy to powoduje zmianę zachowania okna command.com?

 

2. Nowy skan w OTL na warunkach Brak + Żadne, a do okna wklejone:

 

HKEY_CURRENT_USER\Keyboard Layout /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Keyboard Layout /s
/md5start
C:\Windows\System32\KB16.COM
C:\Windows\System32\Keyboard.sys
C:\Windows\System32\Country.sys
/md5stop

 

GMER w trybie awaryjnym ruszył, w logu alcohol jest zarówno na partycji c jak i e z tym, że ten z e to pozostałości po starej wersji, która została już odinstalowana.

 

W GMER nic nie ma. To co widać to statyczne klucze-odpadki po emulatorach, nieczynne. Zostają nawet po odinstalowaniu przez narzędzie SPTDinst. Pokazują się w GMER bo są zablokowane (żadne konto systemowe nie ma doń uprawnień). Usuwanie tych kluczy opisane w ogłoszeniu o emulatorach.

 

 

.

Edytowane 13 Sierpnia 2011 przez picasso
13.08.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso