Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
Cześć chłopaki,
Mam dość duży problem z komputerem..., choć od dłuższego czasu niewidoczny.
Otóż wszystko było w porządku, nic się nie muliło, ale w czasie zalogowania do mBanku i wykonywania przelewu, dostałem smsa: "Twoje konto zostało zablokowane ze względów bezpieczeństwa". Myślę... o co chodzi... Może ktoś się wkrada na moje konto. Przy okazji jechałem za godzinę do mojego banku i zapytałem o ten fakt. Okazało się, że mam wirusa i zablokowali na wszystkie sposoby dostępny do mojego konta...
W takim razie przyjechałem do domu i skanowałem lapka: Malwarebytes, HitmanPro, AdwCleaner.
Czy możecie zobaczyć, czy jest on już czysty?
Na razie boję się zalogować do banku.
Dbam o to, aby nie wchodzić na jakieś głupie strony i jakie pendrivy wkładam, ale jak widać ochrona tylko za pomocą Microsoft Security Essentials i uBlocka to za mało...
FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Addition: [Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut: [Aby zobaczyć linki, zarejestruj się tutaj]
Pozdrawiam
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
25.03.2017, 19:06
(Ten post był ostatnio modyfikowany: 25.03.2017, 19:08 przez ichito.)
Za mało...jeśli nie jesteś paranoikiem, to zainstaluj program, który polecają do bankowości online - Trusteer Raport. On tworzy z bankami ze swojej wewnętrznej listy - w Polsce mBank właśnie i BGŻ BNP Parbias, a na świecie ponad 500 takich instytucji - bezpieczne szyfrowane połączenie...taki własny VPN. Do tego ochrona przed wchodzeniem na niebezpieczne strony i coś w rodzaju blokera behawioralnego.
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Warto jednak, żebyś znał i to
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
@ ichito
Właśnie pytałem na linii mBanku czy polecają zainstalowanie Trusteer Raport: "Nie współpracujemy z tym programem".
Liczba postów: 4 765
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nic tu specjalnego nie widać, drobne poprawki.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2519589514-3687096863-1610808296-1002\...\Policies\Explorer: []
HKU\S-1-5-21-2519589514-3687096863-1610808296-1002\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2014-01-21] (Microsoft Corporation) <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKU\S-1-5-21-2519589514-3687096863-1610808296-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-2519589514-3687096863-1610808296-1002 -> Brak nazwy - {E718D226-6550-4030-9D68-6E4459D7D165} - Brak pliku
FF ProfilePath: C:\Users\ZBook 15\AppData\Roaming\TomTom\HOME\Profiles\8ldzfgul.default [2015-07-11]
FF Extension: (Brak nazwy) - C:\Program Files (x86)\TomTom HOME 2\xul\extensions\[email protected] [nie znaleziono]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
Task: {638DBDCD-C5D0-4C1A-825F-4B8516B471CE} - System32\Tasks\{1B94F63B-11FB-4926-BD03-270FCFDC3D01} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\bin\game.exe
Task: {682552DB-34C5-4988-AF4B-B06FD6E08577} - System32\Tasks\{051A7895-2195-43EF-8E7B-08149CEC45C8} => F:\Install.exe
Task: {6BD8BE1E-AE1C-46C4-96C1-57E04162A521} - System32\Tasks\{CEEEE2A3-1DD8-4D1C-A4B6-C89F7AD65FB9} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\Install.exe
Task: {94858217-166A-4FAD-9EFB-2C27EE390A13} - System32\Tasks\{F9E4B4C6-551B-4F40-9D4F-3AB79AC8A84B} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\bin\game.exe
Task: {97E8819A-7874-4A41-97F5-563219E800E5} - System32\Tasks\{4EAD27E1-7182-485D-A18C-D0DC76C319CC} => F:\bin\game.exe
Task: {9A3EFB43-3704-4794-B658-F6008AA36A37} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-12-19] (Adobe Systems Incorporated)
Task: {A34C474A-AA42-4FF0-81D5-5AE620DFC483} - System32\Tasks\{254210B9-2AD0-40D2-A920-5D1EFE69E847} => C:\Users\ZBook 15\Desktop\IsoBurner-Setup.exe
Task: {E0708EFF-E187-4CD5-A7AA-24FE843A1DD0} - System32\Tasks\{BB813354-6C9D-48FD-AFAE-299BD2AFE878} => pcalua.exe -a F:\install.exe -d F:\
Task: {F5C4035A-8A73-47E3-9B24-B7460860EF7E} - System32\Tasks\{94218D6F-A764-4A68-96CA-EF31E228B2D0} => C:\Program Files (x86)\Sega\Virtua Tennis 4\Launcher.exe
Task: {F9DE0E95-CD10-45CB-8124-558B3B74D360} - System32\Tasks\{B6A5FEE8-E493-4313-AD74-8BFD9743E70F} => F:\bin\game.exe
Task: {FD8E11A2-0DDE-45FF-8764-762B3FB105C6} - System32\Tasks\{9DD060AA-D987-43C9-9483-85404278272E} => F:\Install.exe
FirewallRules: [TCP Query User{F05D7BA3-F374-4BDF-B7B7-C8DFC73BCCDA}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{516E2997-3F65-493D-B8E1-C6A46ACB5CBC}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [TCP Query User{2E20BDAA-9B8E-47A5-8682-915967358548}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{A94612F6-C9F0-4B29-95E9-97409527B5F7}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Czy Hitman i MBAM coś wykryły ?
Hmm może podczas robienia przelewu i potwierdzeniu coś źle wklepałeś ?
Używałeś w tym czasie vpna jakiegoś?
Zmień w routerze też dnsy na OpenDNS Preferowany: 208.67.222.222 Alternatywny: 208.67.220.220
Liczba postów: 2 755
Liczba wątków: 56
Dołączył: 14.12.2011
Reputacja:
250
Myśle że dane mogły zostać gdzie indziej wykradzione. Lub zatarł po sobie ślad.
W sklepie chodzą hakerzy z modyfikowanym czytnikiem którzy potrafią ci z odległości 20 cm odbić kartę.
Podobne jak w tych bankomatach tylko że nosi to przy sobie.
Być może logowałeś się z innego komputera, keylogger złapał login ale hasło pewnie masz zmienne więc bank zablokował konto bo ktoś próbował zgadnąć hasło na podstawie wcześniejszych danych.
Najlepiej by było aby zmienić dane logowania i spytać się banku o więcej szczegół dotyczących próby włamania żebyś mógł nie co bardziej ustalić przyczynę wycieku.
Warstwy ochrony
1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Liczba postów: 4 765
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Dlatego przypadłości tego typu może być wiele. Można by było się też zwrócić do Banku o podanie szczegółów (wyciągnięcie logów) danego incydentu.
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
@ tachion
FRST naprawia mi już ósmą godzinę... Przerwać to i jeszcze raz... wcisnąć napraw?
Nie, nic źle nie wklepałem. To było ewidentna blokada odnośnie czegoś innego niż moje błędy. Mam dwa konta w jednym banku. Drugie na inne hasło. Oba jednak zostały zablokowane... Także widać, że to coś działo się poza moimi działaniami.
Nie, nie używałem żadnego VPN-a.
Tak, dane logowania zmienię. W banku już mi skasowali nowe hasło i kazali utworzyć nowe.
Logi:
- Malwarebytes: [Aby zobaczyć linki, zarejestruj się tutaj]
- Hitman: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 765
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Tak zakończ i sprawdź czy powstał fixlog, jak tak to go pokaż.
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
fixlog: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 765
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Większa część się nie wykonała, zrób logi i przedstaw je jeszcze raz.
Parę szczątków adware, PUP w skanach widoczne, ale mało istotne.
Liczba postów: 919
Liczba wątków: 12
Dołączył: 05.12.2015
Reputacja:
58
Bank nie udostępni żadnych logów.
W mBanku logowanie do systemu następuje po wpisaniu loginu (numer klienta lub "przyjazna nazwa") i podaniu pełnego hasła (nie podaje się losowych znaków) dlatego. Dlatego moim zdaniem ktoś mógł przypadkowo wpisać Twój numer klienta i logować się swoim hasłem, nie będąc świadomym że zablokował Ci rachunek.
Poza tym, w systemie transakcyjnym powinieneś mieć podgląd prób logowania. Jeśli zobaczysz 3 próby z tego samego adresu z Polski, to moja teoria będzie bardzo sensowna.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
26.03.2017, 22:32
(Ten post był ostatnio modyfikowany: 27.03.2017, 18:34 przez bajtelo.
Powód edycji: Nie chcę umieszczać dwóch postów pod sobą.
)
@Tajny Współpracownik
Jak będę wiedział, że mam czystego kompa to wejdę na stronę logowania i sprawdzę.
@ tachion
Czekałem na naprawę w FRST najpierw 8 godzin. NIC.
Potem włączyłem w awaryjnym i czekałem sześć godzin. Dalej mielił... Wyłączyłem... Coś sobie ten program nie daje rady z Twoimi poleceniami .
W między czasie proszę sprawdźcie chłopaki logi w mojej stacjonarce (wcześniej był laptop).
Chodzi o to, abym chociaż jednego kompa miał jak najszybciej miał dobrego, do przelewów.
Stacjornarka powinna być czystsza.
Skanowana wcześniej Mbam i HitmanPRO.
Addition: [Aby zobaczyć linki, zarejestruj się tutaj]
FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
Shortcut: [Aby zobaczyć linki, zarejestruj się tutaj]
EDIT:
FRST nie daje rady zakończyć działania naprawy w lapku... dziś już padł rekord. Dwanaście godzin mielił...
Jakieś inne sposoby?
Liczba postów: 4 765
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Nie pisz bzdur, polecenia nie mają nic do rzeczy, poza tym niema tam nic specjalnego.
Miałeś przerwać działanie, wykonać raport jeszcze raz i przesłać log ? Napisałem to wyraźnie !
Jak chcesz mieć pewność to format i problem zniknie.
Liczba postów: 262
Liczba wątków: 18
Dołączył: 25.07.2014
Reputacja:
17
Jak masz tak dużego stresa to użyj linuxa uruchamianego z płyty. Tam jest przeglądarka. Poradę jak to wszystko zorganizować i uruchomić znajdziesz na youtube. Pełno tam filmików.
Co do bankowości i zakupów w sieci to pakiet Arcabit ma dobrą przeglądarkę właśnie do tych celów. Z tym , że to jest płatne.
Post sprawdzony przez Arcabit Internet Security
Liczba postów: 4 765
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Stacjonarka oprócz kms czysta
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
27.03.2017, 21:40
(Ten post był ostatnio modyfikowany: 27.03.2017, 22:32 przez bajtelo.)
@ tachion
Ale się na mnie wkurzyłeś... . Bardzo Cię przepraszam. Sądziłem, że ponowne przesłanie fixloga, jak się nie skończy naprawiać nie ma sensu...
W taki razie proszę:
- Fixlog: [Aby zobaczyć linki, zarejestruj się tutaj]
- Addition: [Aby zobaczyć linki, zarejestruj się tutaj]
- FRST: [Aby zobaczyć linki, zarejestruj się tutaj]
- Shortcut: [Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 904
Liczba wątków: 23
Dołączył: 08.01.2012
Reputacja:
30
Zaraz zaraz, a czasem wykrycie KMS nie skutkowało przerwaniem pomocy?
Liczba postów: 46
Liczba wątków: 10
Dołączył: 30.05.2013
Reputacja:
0
Nie, KMS był w stacjonarce.
Logi są z laptopa - to on jest zawirusowany i dalej ciągniemy ten temat.
Sorki że wtrące się do tego tematu , KMS to aktywator więc Tachion nie pomaga piratom
Liczba postów: 4 765
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Ogólnie komp jest czysty.
Pobierz [Aby zobaczyć linki, zarejestruj się tutaj] i w karcie logon odhacz:
IAStorIcon
YouCam Mirage
YouCam Tray
PDF Complete
Tresorit
Autodesk® AutoCAD® 2015
Zastanawiam się czy Sentinel Protection Installer 7.5.0 i Sentinel System Driver Installer nie powodują pewnych problemów, jak możesz to odinstaluj (później zainstalujesz program ponownie).
Zaktualizuj Java 8 Update 91 lub odinstaluj całkowicie jeśli nie potrzebne.
Wykonamy skrypt zaczynając od zadań:
Kod: CloseProcesses:
CreateRestorePoint:
Task: {638DBDCD-C5D0-4C1A-825F-4B8516B471CE} - System32\Tasks\{1B94F63B-11FB-4926-BD03-270FCFDC3D01} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\bin\game.exe
Task: {682552DB-34C5-4988-AF4B-B06FD6E08577} - System32\Tasks\{051A7895-2195-43EF-8E7B-08149CEC45C8} => F:\Install.exe
Task: {6BD8BE1E-AE1C-46C4-96C1-57E04162A521} - System32\Tasks\{CEEEE2A3-1DD8-4D1C-A4B6-C89F7AD65FB9} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\Install.exe
Task: {94858217-166A-4FAD-9EFB-2C27EE390A13} - System32\Tasks\{F9E4B4C6-551B-4F40-9D4F-3AB79AC8A84B} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\bin\game.exe
Task: {97E8819A-7874-4A41-97F5-563219E800E5} - System32\Tasks\{4EAD27E1-7182-485D-A18C-D0DC76C319CC} => F:\bin\game.exe
Task: {9A3EFB43-3704-4794-B658-F6008AA36A37} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-12-19] (Adobe Systems Incorporated)
Task: {A34C474A-AA42-4FF0-81D5-5AE620DFC483} - System32\Tasks\{254210B9-2AD0-40D2-A920-5D1EFE69E847} => C:\Users\ZBook 15\Desktop\IsoBurner-Setup.exe
Task: {E0708EFF-E187-4CD5-A7AA-24FE843A1DD0} - System32\Tasks\{BB813354-6C9D-48FD-AFAE-299BD2AFE878} => pcalua.exe -a F:\install.exe -d F:\
Task: {F5C4035A-8A73-47E3-9B24-B7460860EF7E} - System32\Tasks\{94218D6F-A764-4A68-96CA-EF31E228B2D0} => C:\Program Files (x86)\Sega\Virtua Tennis 4\Launcher.exe
Task: {F9DE0E95-CD10-45CB-8124-558B3B74D360} - System32\Tasks\{B6A5FEE8-E493-4313-AD74-8BFD9743E70F} => F:\bin\game.exe
Task: {FD8E11A2-0DDE-45FF-8764-762B3FB105C6} - System32\Tasks\{9DD060AA-D987-43C9-9483-85404278272E} => F:\Install.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
SearchScopes: HKU\S-1-5-21-2519589514-3687096863-1610808296-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-2519589514-3687096863-1610808296-1002 -> Brak nazwy - {E718D226-6550-4030-9D68-6E4459D7D165} - Brak pliku
FF ProfilePath: C:\Users\ZBook 15\AppData\Roaming\TomTom\HOME\Profiles\8ldzfgul.default [2015-07-11]
FF Extension: (Brak nazwy) - C:\Program Files (x86)\TomTom HOME 2\xul\extensions\[email protected] [nie znaleziono]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
RemoveDirectory: C:\AdwCleaner
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
FirewallRules: [TCP Query User{F05D7BA3-F374-4BDF-B7B7-C8DFC73BCCDA}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{516E2997-3F65-493D-B8E1-C6A46ACB5CBC}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [TCP Query User{2E20BDAA-9B8E-47A5-8682-915967358548}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{A94612F6-C9F0-4B29-95E9-97409527B5F7}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
EmptyTemp:
Rozumiem też że to firmowy komputer ? Oprogramowanie jest tu trochę też przestarzałe, zalecałbym przejść na Windows 10, choćby pod względem bezpieczeństwa.
TeamViewer znany z vault7, CIA może mieć wgląd
AutoKMS też jest tu notowany.
Napisz jakie są reakcje ?
|