Liczba postów: 7
Liczba wątków: 2
Dołączył: 26.09.2015
Reputacja:
0
Witam wszystkich,
podejrzewam ze załapałem jakiś syf na laptopie poniewaz dostalem dzisiaj kilkadziesiąt mailer-daemonow w ktorych ktos podyszwa sie pod moj adres i rozsyla spam do calej mojej skrzynki z konta ktore obsluguje przez Livemaila.
Serwer hostowany jest na home.pl, dzwonilem powiedzieli ze widzieli ruch dokladnie w tym czasie z roznych serwerow typu japonia, grecja itd.
Historia powtorzyla sie juz drugi raz.
Zainstalowany mam McAfee oraz Malwarebytes - AntiMalware.
Po pierwszym ataku zrobilem skan Malwarebytes i bylo duzo obiektow - log zalaczony.
Hasła do skrzynki zmienione.
Dodatkowo wklejam rowniez logi z FRST.
I pytanie: jesli to jest jakis robak czy taki pozadny wipe dysku pomoze?
Jakie kroki dodatkowo powinienem wykonac wlacznie z wywaleniem kompa?
Dzieki wielkie za zerkniecie co widac i za pomoc.
[Aby zobaczyć linki, zarejestruj się tutaj] FRST
[Aby zobaczyć linki, zarejestruj się tutaj] Addition
[Aby zobaczyć linki, zarejestruj się tutaj] Shortcut
[Aby zobaczyć linki, zarejestruj się tutaj] Malwarebytes scan
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Główne szkodniki wykryte przez MBAM to potencjalne niepożądane aplikacji i adware.
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [NoFolderOptions] 0
HKLM\...\Policies\Explorer: [NoControlPanel] 0
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKU\S-1-5-21-3154392014-518256572-1840021067-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-3154392014-518256572-1840021067-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U0 msahci; system32\drivers\msahci.sys [X]
C:\Users\Lukasz\AppData\Local\{46E27C35-AAB0-4EB5-8E71-09F031652115}
C:\Users\Lukasz\AppData\Local\{26D0C796-22B8-484D-B176-FF62FB4CEDCF}
C:\Users\Lukasz\AppData\Local\{CD0D36C3-52BF-406E-AEFF-715D23F5FFC8}
C:\Users\Lukasz\AppData\Local\{F04630D5-920F-48F7-9045-D419CAAFB750}
C:\Users\Lukasz\AppData\Local\{AC3C5C0B-C8B4-4624-A4A3-8C80C7450089}
C:\Users\Lukasz\AppData\Local\{B8BAAB91-4DBE-429F-9CA9-9853194CDAE8}
C:\Users\Lukasz\AppData\Local\{49D60183-A38D-4C1C-8AD2-EA3DACF11D3E}
C:\Users\Lukasz\AppData\Local\{A47EA720-79FB-4EC7-837C-ECE781D37877}
C:\Users\Lukasz\AppData\Local\{A781FFBA-03D7-4E8E-BB3B-3EDE88D3B20D}
C:\Users\Lukasz\AppData\Local\{D662FB64-3198-4FF3-976C-31F07A087CD3}
C:\Users\Lukasz\AppData\Local\{4954F543-3B05-473B-B9C4-0160D3D6EB81}
C:\Users\Lukasz\AppData\Local\{21E8401F-0D44-4C4F-91D2-353640E07553}
C:\Users\Lukasz\AppData\Local\{DBE937B4-E219-4ED7-A8FA-757AED3B6D6C}
C:\Users\Lukasz\AppData\Local\{DAA6FDC6-DBD1-49EA-A4D2-FE1E09130D34}
C:\Users\Lukasz\AppData\Local\{39DF51DA-10BE-4B25-A695-6E86825C2590}
C:\Users\Lukasz\AppData\Local\{720B3B71-BA3F-4DEC-A1B3-EEC6D0E520F6}
C:\Users\Lukasz\AppData\Local\{AC6ACE7E-5D6D-48BE-A916-5FD7D14CBFDE}
C:\Users\Lukasz\AppData\Local\{BDB39CB9-18AD-4ADA-8955-D8ED943C4CDB}
C:\Users\Lukasz\AppData\Local\{A6E530EB-2791-45D9-BF1A-2A2C52582324}
C:\Users\Lukasz\AppData\Local\{6A258A86-7EC6-4C2D-BEDD-299F3B0D0EC5}
C:\Users\Lukasz\AppData\Local\{144508B9-3E80-489F-9D6D-6800D28AA456}
C:\Users\Lukasz\AppData\Local\{297FDF2A-CBD3-4A6D-AEC4-A1708F87A93D}
C:\Users\Lukasz\AppData\Local\{2F20C525-9B4E-4627-A0DD-FE88C189ACB9}
C:\Users\Lukasz\AppData\Local\{2BA8C036-65A5-4F1A-B932-5C39ACAFC293}
C:\Users\Lukasz\AppData\Local\{0AFF4956-B813-4BDA-98D8-4256442E22C7}
C:\Users\Lukasz\AppData\Local\{067BDFF7-BDD8-4ABA-9C95-B16A08B316C2}
C:\Users\Lukasz\AppData\Local\{FDFE2177-5586-4F06-BF8A-B6867D4452E6}
C:\Users\Lukasz\AppData\Local\{4CD0A833-2DE0-4374-B2B6-FFD430F0E591}
C:\Users\Lukasz\AppData\Local\{E0C8985F-5664-4535-BD04-133AD45B6615}
C:\Users\Lukasz\AppData\Local\{F52EBCFD-6F8B-4C6E-9E1B-311FEE1CACCB}
C:\Users\Lukasz\AppData\Local\{73D66326-39E0-4583-9E41-0FB85FD3E356}
C:\Users\Lukasz\AppData\Local\{B8CAB061-D888-453E-AEC9-2D1115ACC507}
C:\Users\Lukasz\AppData\Local\{616B1765-C610-4C73-904C-4184EF0DE264}
C:\Users\Lukasz\AppData\Local\{934CD46E-2732-40F7-9935-8B994D302119}
C:\Users\Lukasz\AppData\Local\{0FA93548-BEBB-4135-935B-7DE99065668A}
C:\Users\Lukasz\AppData\Local\{B3215BB8-992F-44CF-A11E-F42A9F5E1854}
C:\Users\Lukasz\AppData\Local\{653B4F50-5550-4C79-99C0-399888C5DD8A}
C:\Users\Lukasz\AppData\Local\{DD21CE3B-32C1-4595-992B-F9163E26D50C}
C:\Users\Lukasz\AppData\Local\{B9E30210-7D4C-467E-BE80-21E2EB4E5EEB}
C:\Users\Lukasz\AppData\Local\{913AEB3E-E054-417A-A99D-F2CD8D8F16B2}
C:\Users\Lukasz\AppData\Local\{2D8351B3-BA6A-400D-B953-0B4A5E2BFBD7}
C:\Users\Lukasz\AppData\Local\{1051C4AA-D776-4519-B871-5CBB10B8A917}
C:\Users\Lukasz\AppData\Local\{CE66C099-71AA-48F8-AC9A-CB152DD8271A}
C:\Users\Lukasz\AppData\Local\{94DA29C1-3818-4433-BFE6-DA842456632F}
C:\Users\Lukasz\AppData\Local\{91950FAC-B3F6-4C79-8EF3-82A3BDCEAE73}
C:\Users\Lukasz\AppData\Roaming\sp_data.sys
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service"
Task: {41FA64E4-7070-437B-8829-FD7FD0039CF5} - System32\Tasks\GoogleUpdateTaskMachineUA1d0e379b86b8928 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-02-26] (Google Inc.)
Task: {54229400-7F1D-41DC-97D9-F2F8DED0A169} - System32\Tasks\GoogleUpdateTaskMachineUA1d051ef72914114 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-02-26] (Google Inc.)
Task: {57B0D9A2-9A24-4F8A-B74E-D977ACD980E8} - System32\Tasks\GoogleUpdateTaskMachineUA1d0f19652224efc => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-02-26] (Google Inc.)
Task: {60A04F37-33D6-44E0-A02C-71097DFBBCFA} - System32\Tasks\GoogleUpdateTaskMachineUA1d08f007239be02 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-02-26] (Google Inc.)
Task: {9213AE89-3BC5-40F2-9FD9-0CF72129E1F8} - System32\Tasks\GoogleUpdateTaskMachineCore1d0bf64e148fda9 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-02-26] (Google Inc.)
Task: {395A2AE2-53DB-4D3E-9720-5D8B1364EFC8} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-07-07] (Adobe Systems Incorporated)
Task: {CCC16082-F6A3-4F51-B049-445799493A57} - System32\Tasks\ASUS Live Update2 => C:\Program Files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe [2015-03-23] (ASUSTeK Computer Inc.)
Task: {D91CDE36-6AC7-4139-B47D-33BAE3ADD52F} - System32\Tasks\ASUS Live Update1 => C:\Program Files (x86)\ASUS\ASUS Live Update\LiveUpdate.exe [2015-03-23] (ASUSTeK Computer Inc.)
CMD: netsh advfirewall reset
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] kliknij Szukaj i następnie Usuń
Pokaż raport z niego.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Po uruchomieniu otworzy się okno cmd proszące o wciśnięcie jakiegokolwiek klawisza, by kontynuować. Rozpoczyna się skan i usuwanie. Wynikowo na Pulpicie powstanie log JRT.txt.
Ściągnij program [Aby zobaczyć linki, zarejestruj się tutaj] uruchom kliknij w Change paramters,zaznacz wszystko klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu,ale nie przenoś niczego do kwarantanny i nie usuwaj.
Zrób nowe logi i przedstaw z FRST.txt > Addition.txt
Liczba postów: 7
Liczba wątków: 2
Dołączył: 26.09.2015
Reputacja:
0
dzieki za szybka reakcje!
mam nadzieje zgodnie z instrukcja:
[Aby zobaczyć linki, zarejestruj się tutaj] Fixlog
[Aby zobaczyć linki, zarejestruj się tutaj] AdwCleaner
[Aby zobaczyć linki, zarejestruj się tutaj] JRT
[Aby zobaczyć linki, zarejestruj się tutaj] TDS killer
[Aby zobaczyć linki, zarejestruj się tutaj] FRST
[Aby zobaczyć linki, zarejestruj się tutaj] addition
[Aby zobaczyć linki, zarejestruj się tutaj] shortcut
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Do notatnika wklej i zapisz jako fixlist.txt
Kod: CloseProcesses:
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [508800 2014-12-17] (Oracle Corporation)
RemoveDirectory: C:\AdwCleaner
Task: {45ADDF6D-BC93-4D3D-BF9C-A2C0D211C878} - \ASUS Live Update2 -> Brak pliku <==== UWAGA
Task: {6692ECA7-F0D5-48C1-BE4B-117AF2845362} - \ASUS Live Update1 -> Brak pliku <==== UWAGA
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\98526729.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\98526729.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="Service"
EmptyTemp:
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Fix,po wykonaniu pokaż raport z tego działania.
Odinstaluj:
McAfee Security Scan Plus
Liczba postów: 7
Liczba wątków: 2
Dołączył: 26.09.2015
Reputacja:
0
zrobione
[Aby zobaczyć linki, zarejestruj się tutaj] fixlog
McAfee Security Scan Plus - odinstalowane
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Odinstaluj jeszcze dodatkowo ASUS Live Update i to będzie na tyle.
Pełny skan MBAM przeprowadź dodatkowo,wystarczy tylko partycję systemową.
Ściągnij [Aby zobaczyć linki, zarejestruj się tutaj]
Zapisz na pulpicie,uruchom i zaznacz Remove disinfection tools,następnie kliknij Run
Program do usuwania wszelkich użytych narzędzi typu OTL.ADW.FRST i innych.
Liczba postów: 7
Liczba wątków: 2
Dołączył: 26.09.2015
Reputacja:
0
ok zrobione
MBAM nic nie wylapal
Zapytam tez czy po tych zabiegach komputer jest czysty i nie potrzeba np zrobic wipa dysku etc?
I pytanie laika: co tak naprawde sie zadzialo? czy to byl robak, trojan czy inne jeszcze dziadostwo?
i jak takie programy lamia hasla do skrzynek?
Druga sprawa to jakie kroki powinienm jeszcze podjac aby do czegos takiego znowu nie doszlo?
Mam McAfee, MBAM, Adblock - co jeszcze powinienem dodac wg Was do tego zestawu?
Dziekuje bardzo za pomoc.
Liczba postów: 956
Liczba wątków: 57
Dołączył: 25.02.2014
Reputacja:
97
(27.09.2015, 19:55)lucjano napisał(a): [Aby zobaczyć linki, zarejestruj się tutaj] Druga sprawa to jakie kroki powinienm jeszcze podjac aby do czegos takiego znowu nie doszlo?
Mam McAfee, MBAM, Adblock - co jeszcze powinienem dodac wg Was do tego zestawu?
Dziekuje bardzo za pomoc. Od tego jest dział "Dobór Zestawu Zabezpieczającego".
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
28.09.2015, 19:14
(Ten post był ostatnio modyfikowany: 28.09.2015, 20:26 przez tachion.)
Tak jak pisałem w największym stopniu zostały tu wykryte i wyeliminowane adware.pup.
Jeśli zaszyje ci się w daną lokalizację trojan typu keylogger,to jest on w stanie przechwytywać wciśnięcia klawiszy na klawiaturze i przesyłać je na dane serwery typu C&C.
Liczba postów: 7
Liczba wątków: 2
Dołączył: 26.09.2015
Reputacja:
0
ok rozumiem.
jak zatem ocenic realnie czy komputer zostal oczyszczony czy tez cos jeszcze gdzies moze byc?
i powtorze moje laickie pytanie: czy wymaz dysku programem typu wipe my disk da mi pewnosc pozbycia sie szkodnika?
idac dalej czy wyrzucenie dysku temat zalatwi?
|
