Wirus - blokada konta w banku
#1
Cześć chłopaki,

Mam dość duży problem z komputerem..., choć od dłuższego czasu niewidoczny.
Otóż wszystko było w porządku, nic się nie muliło, ale w czasie zalogowania do mBanku i wykonywania przelewu, dostałem smsa: "Twoje konto zostało zablokowane ze względów bezpieczeństwa". Myślę... o co chodzi... Może ktoś się wkrada na moje konto. Przy okazji jechałem za godzinę do mojego banku i zapytałem o ten fakt. Okazało się, że mam wirusa i zablokowali na wszystkie sposoby dostępny do mojego konta...

W takim razie przyjechałem do domu i skanowałem lapka: Malwarebytes, HitmanPro, AdwCleaner.
Czy możecie zobaczyć, czy jest on już czysty?
Na razie boję się zalogować do banku.

Dbam o to, aby nie wchodzić na jakieś głupie strony i jakie pendrivy wkładam, ale jak widać ochrona tylko za pomocą Microsoft Security Essentials i uBlocka to za mało...

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut:

[Aby zobaczyć linki, zarejestruj się tutaj]




Pozdrawiam
Odpowiedz
#2
Za mało...jeśli nie jesteś paranoikiem, to zainstaluj program, który polecają do bankowości online - Trusteer Raport. On tworzy z bankami ze swojej wewnętrznej listy - w Polsce mBank właśnie i BGŻ BNP Parbias, a na świecie ponad 500 takich instytucji - bezpieczne szyfrowane połączenie...taki własny VPN. Do tego ochrona przed wchodzeniem na niebezpieczne strony i coś w rodzaju blokera behawioralnego.

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Warto jednak, żebyś znał i to

[Aby zobaczyć linki, zarejestruj się tutaj]

"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#3
@ichito
Właśnie pytałem na linii mBanku czy polecają zainstalowanie Trusteer Raport: "Nie współpracujemy z tym programem".
Odpowiedz
#4
Nic tu specjalnego nie widać, drobne poprawki.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2519589514-3687096863-1610808296-1002\...\Policies\Explorer: [] 
HKU\S-1-5-21-2519589514-3687096863-1610808296-1002\...\Winlogon: [Shell] C:\Windows\explorer.exe [2871808 2014-01-21] (Microsoft Corporation) <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKU\S-1-5-21-2519589514-3687096863-1610808296-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-2519589514-3687096863-1610808296-1002 -> Brak nazwy - {E718D226-6550-4030-9D68-6E4459D7D165} -  Brak pliku
FF ProfilePath: C:\Users\ZBook 15\AppData\Roaming\TomTom\HOME\Profiles\8ldzfgul.default [2015-07-11]
FF Extension: (Brak nazwy) - C:\Program Files (x86)\TomTom HOME 2\xul\extensions\[email protected] [nie znaleziono]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
Task: {638DBDCD-C5D0-4C1A-825F-4B8516B471CE} - System32\Tasks\{1B94F63B-11FB-4926-BD03-270FCFDC3D01} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\bin\game.exe 
Task: {682552DB-34C5-4988-AF4B-B06FD6E08577} - System32\Tasks\{051A7895-2195-43EF-8E7B-08149CEC45C8} => F:\Install.exe 
Task: {6BD8BE1E-AE1C-46C4-96C1-57E04162A521} - System32\Tasks\{CEEEE2A3-1DD8-4D1C-A4B6-C89F7AD65FB9} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\Install.exe 
Task: {94858217-166A-4FAD-9EFB-2C27EE390A13} - System32\Tasks\{F9E4B4C6-551B-4F40-9D4F-3AB79AC8A84B} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\bin\game.exe 
Task: {97E8819A-7874-4A41-97F5-563219E800E5} - System32\Tasks\{4EAD27E1-7182-485D-A18C-D0DC76C319CC} => F:\bin\game.exe 
Task: {9A3EFB43-3704-4794-B658-F6008AA36A37} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-12-19] (Adobe Systems Incorporated)
Task: {A34C474A-AA42-4FF0-81D5-5AE620DFC483} - System32\Tasks\{254210B9-2AD0-40D2-A920-5D1EFE69E847} => C:\Users\ZBook 15\Desktop\IsoBurner-Setup.exe 
Task: {E0708EFF-E187-4CD5-A7AA-24FE843A1DD0} - System32\Tasks\{BB813354-6C9D-48FD-AFAE-299BD2AFE878} => pcalua.exe -a F:\install.exe -d F:\
Task: {F5C4035A-8A73-47E3-9B24-B7460860EF7E} - System32\Tasks\{94218D6F-A764-4A68-96CA-EF31E228B2D0} => C:\Program Files (x86)\Sega\Virtua Tennis 4\Launcher.exe 
Task: {F9DE0E95-CD10-45CB-8124-558B3B74D360} - System32\Tasks\{B6A5FEE8-E493-4313-AD74-8BFD9743E70F} => F:\bin\game.exe 
Task: {FD8E11A2-0DDE-45FF-8764-762B3FB105C6} - System32\Tasks\{9DD060AA-D987-43C9-9483-85404278272E} => F:\Install.exe 
FirewallRules: [TCP Query User{F05D7BA3-F374-4BDF-B7B7-C8DFC73BCCDA}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{516E2997-3F65-493D-B8E1-C6A46ACB5CBC}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [TCP Query User{2E20BDAA-9B8E-47A5-8682-915967358548}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{A94612F6-C9F0-4B29-95E9-97409527B5F7}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

Czy Hitman i MBAM coś wykryły ?

Hmm może podczas robienia przelewu i potwierdzeniu coś źle wklepałeś ? 
Używałeś w tym czasie vpna jakiegoś?

Zmień w routerze też dnsy na OpenDNS Preferowany: 208.67.222.222  Alternatywny:  208.67.220.220
Odpowiedz
#5
Myśle że dane mogły zostać gdzie indziej wykradzione. Lub zatarł po sobie ślad.
W sklepie chodzą hakerzy z modyfikowanym czytnikiem którzy potrafią ci z odległości 20 cm odbić kartę.
Podobne jak w tych bankomatach tylko że nosi to przy sobie.
Być może logowałeś się z innego komputera, keylogger złapał login ale hasło pewnie masz zmienne więc bank zablokował konto bo ktoś próbował zgadnąć hasło na podstawie wcześniejszych danych.

Najlepiej by było aby zmienić dane logowania i spytać się banku o więcej szczegół dotyczących próby włamania żebyś mógł nie co bardziej ustalić przyczynę wycieku.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#6
Dlatego przypadłości tego typu może być wiele. Można by było się też zwrócić do Banku o podanie szczegółów (wyciągnięcie logów) danego incydentu.
Odpowiedz
#7
@tachion
FRST naprawia mi już ósmą godzinę... Przerwać to i jeszcze raz... wcisnąć napraw?

Nie, nic źle nie wklepałem. To było ewidentna blokada odnośnie czegoś innego niż moje błędy. Mam dwa konta w jednym banku. Drugie na inne hasło. Oba jednak zostały zablokowane... Także widać, że to coś działo się poza moimi działaniami.

Nie, nie używałem żadnego VPN-a.

Tak, dane logowania zmienię. W banku już mi skasowali nowe hasło i kazali utworzyć nowe.

Logi:
- Malwarebytes:

[Aby zobaczyć linki, zarejestruj się tutaj]

- Hitman:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#8
Tak zakończ i sprawdź czy powstał fixlog, jak tak to go pokaż.
Odpowiedz
#9
fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#10
Większa część się nie wykonała, zrób logi i przedstaw je jeszcze raz.

Parę szczątków adware, PUP w skanach widoczne, ale mało istotne.
Odpowiedz
#11
Bank nie udostępni żadnych logów.

W mBanku logowanie do systemu następuje po wpisaniu loginu (numer klienta lub "przyjazna nazwa") i podaniu pełnego hasła (nie podaje się losowych znaków) dlatego. Dlatego moim zdaniem ktoś mógł przypadkowo wpisać Twój numer klienta i logować się swoim hasłem, nie będąc świadomym że zablokował Ci rachunek.

Poza tym, w systemie transakcyjnym powinieneś mieć podgląd prób logowania. Jeśli zobaczysz 3 próby z tego samego adresu z Polski, to moja teoria będzie bardzo sensowna.
1. Zawsze mam rację.
2. Jeśli nie mam racji, patrz pkt 1.
Odpowiedz
#12
@Tajny Współpracownik
Jak będę wiedział, że mam czystego kompa to wejdę na stronę logowania i sprawdzę.

@tachion
Czekałem na naprawę w FRST najpierw 8 godzin. NIC.
Potem włączyłem w awaryjnym i czekałem sześć godzin. Dalej mielił... Wyłączyłem... Coś sobie ten program nie daje rady z Twoimi poleceniami Grin.

W między czasie proszę sprawdźcie chłopaki logi w mojej stacjonarce (wcześniej był laptop).
Chodzi o to, abym chociaż jednego kompa miał jak najszybciej miał dobrego, do przelewów.
Stacjornarka powinna być czystsza.
Skanowana wcześniej Mbam i HitmanPRO.

Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut:

[Aby zobaczyć linki, zarejestruj się tutaj]


EDIT:
FRST nie daje rady zakończyć działania naprawy w lapku... dziś już padł rekord. Dwanaście godzin mielił...

Jakieś inne sposoby?
Odpowiedz
#13
Nie pisz bzdur, polecenia nie mają nic do rzeczy, poza tym niema tam nic specjalnego.

Miałeś przerwać działanie, wykonać raport jeszcze raz i przesłać log ? Napisałem to wyraźnie !

Jak chcesz mieć pewność to format i problem zniknie.
Odpowiedz
#14
Jak masz tak dużego stresa to użyj linuxa uruchamianego z płyty. Tam jest przeglądarka. Poradę jak to wszystko zorganizować i uruchomić znajdziesz na youtube. Pełno tam filmików.

Co do bankowości i zakupów w sieci to pakiet Arcabit ma dobrą przeglądarkę właśnie do tych celów. Z tym , że to jest płatne.
Post sprawdzony przez  Arcabit Internet Security
Odpowiedz
#15
Stacjonarka oprócz kms czysta Smile
Odpowiedz
#16
@tachion
Ale się na mnie wkurzyłeś... Smile. Bardzo Cię przepraszam. Sądziłem, że ponowne przesłanie fixloga, jak się nie skończy naprawiać nie ma sensu...

W taki razie proszę:
- Fixlog:

[Aby zobaczyć linki, zarejestruj się tutaj]

- Addition:

[Aby zobaczyć linki, zarejestruj się tutaj]

- FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

- Shortcut:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#17
Zaraz zaraz, a czasem wykrycie KMS nie skutkowało przerwaniem pomocy?
Odpowiedz
#18
Nie, KMS był w stacjonarce.

Logi są z laptopa - to on jest zawirusowany i dalej ciągniemy ten temat.
Odpowiedz
#19
Sorki że wtrące się do tego tematu , KMS to aktywator więc Tachion nie pomaga piratom Grin
Odpowiedz
#20
Ogólnie komp jest czysty.

Pobierz 

[Aby zobaczyć linki, zarejestruj się tutaj]

 i w karcie logon odhacz:

IAStorIcon
YouCam Mirage
YouCam Tray
PDF Complete
Tresorit
Autodesk® AutoCAD® 2015

Zastanawiam się czy Sentinel Protection Installer 7.5.0 i Sentinel System Driver Installer nie powodują pewnych problemów, jak możesz to odinstaluj (później zainstalujesz program ponownie).

Zaktualizuj Java 8 Update 91 lub odinstaluj całkowicie jeśli nie potrzebne.


Wykonamy skrypt zaczynając od zadań:

Kod:
CloseProcesses:
CreateRestorePoint:
Task: {638DBDCD-C5D0-4C1A-825F-4B8516B471CE} - System32\Tasks\{1B94F63B-11FB-4926-BD03-270FCFDC3D01} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\bin\game.exe
Task: {682552DB-34C5-4988-AF4B-B06FD6E08577} - System32\Tasks\{051A7895-2195-43EF-8E7B-08149CEC45C8} => F:\Install.exe
Task: {6BD8BE1E-AE1C-46C4-96C1-57E04162A521} - System32\Tasks\{CEEEE2A3-1DD8-4D1C-A4B6-C89F7AD65FB9} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\Install.exe
Task: {94858217-166A-4FAD-9EFB-2C27EE390A13} - System32\Tasks\{F9E4B4C6-551B-4F40-9D4F-3AB79AC8A84B} => C:\Users\ZBook 15\Desktop\Skoki Narciarskie 2006\skoki\bin\game.exe
Task: {97E8819A-7874-4A41-97F5-563219E800E5} - System32\Tasks\{4EAD27E1-7182-485D-A18C-D0DC76C319CC} => F:\bin\game.exe
Task: {9A3EFB43-3704-4794-B658-F6008AA36A37} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-12-19] (Adobe Systems Incorporated)
Task: {A34C474A-AA42-4FF0-81D5-5AE620DFC483} - System32\Tasks\{254210B9-2AD0-40D2-A920-5D1EFE69E847} => C:\Users\ZBook 15\Desktop\IsoBurner-Setup.exe
Task: {E0708EFF-E187-4CD5-A7AA-24FE843A1DD0} - System32\Tasks\{BB813354-6C9D-48FD-AFAE-299BD2AFE878} => pcalua.exe -a F:\install.exe -d F:\
Task: {F5C4035A-8A73-47E3-9B24-B7460860EF7E} - System32\Tasks\{94218D6F-A764-4A68-96CA-EF31E228B2D0} => C:\Program Files (x86)\Sega\Virtua Tennis 4\Launcher.exe
Task: {F9DE0E95-CD10-45CB-8124-558B3B74D360} - System32\Tasks\{B6A5FEE8-E493-4313-AD74-8BFD9743E70F} => F:\bin\game.exe
Task: {FD8E11A2-0DDE-45FF-8764-762B3FB105C6} - System32\Tasks\{9DD060AA-D987-43C9-9483-85404278272E} => F:\Install.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface
DeleteKey: HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes
DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes
SearchScopes: HKU\S-1-5-21-2519589514-3687096863-1610808296-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKU\S-1-5-21-2519589514-3687096863-1610808296-1002 -> Brak nazwy - {E718D226-6550-4030-9D68-6E4459D7D165} -  Brak pliku
FF ProfilePath: C:\Users\ZBook 15\AppData\Roaming\TomTom\HOME\Profiles\8ldzfgul.default [2015-07-11]
FF Extension: (Brak nazwy) - C:\Program Files (x86)\TomTom HOME 2\xul\extensions\[email protected] [nie znaleziono]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 hwusb_cdcacm; system32\DRIVERS\ew_cdcacm.sys [X]
S3 hwusb_wwanecm; system32\DRIVERS\ew_wwanecm.sys [X]
RemoveDirectory: C:\AdwCleaner
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
FirewallRules: [TCP Query User{F05D7BA3-F374-4BDF-B7B7-C8DFC73BCCDA}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{516E2997-3F65-493D-B8E1-C6A46ACB5CBC}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [TCP Query User{2E20BDAA-9B8E-47A5-8682-915967358548}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
FirewallRules: [UDP Query User{A94612F6-C9F0-4B29-95E9-97409527B5F7}C:\users\zbook 15\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\zbook 15\appdata\local\akamai\netsession_win.exe
EmptyTemp:


Rozumiem też że to firmowy komputer ? Oprogramowanie jest tu trochę też przestarzałe, zalecałbym przejść na Windows 10, choćby pod względem bezpieczeństwa.

TeamViewer znany z vault7, CIA może mieć wgląd Smile

AutoKMS też jest tu notowany.

Napisz jakie są reakcje ?
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości