Elektroda.pl
Elektroda.pl
X
Elektroda.pl
Proszę, dodaj wyjątek dla www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Inteligo -> włamanie wirus ?

10 Mar 2007 09:50 2857 11
  • Poziom 19  
    Witam.

    Wczoraj dostałem telefom od rodziny, iż po zalogowaniu się do banku inteligo, pojawiła się informacja o podanie 5 kolejnych zdrapek. "Oczywiście" zostały podane :(

    Parę godzin później był telefon z banku, że konto zostaje zawieszone... że należy zmienić identyfikator... hasło itp...

    Dziś z rana w necie znalazłem:

    http://politologiaap.forall.pl/index.php?option=com_content&task=view&id=128&Itemid=50

    Nie mam bezpośredniego dostępu do komputera (problem odległości ok. 50km), dostałem log ze HiJackThis-a.

    Code:

    Logfile of HijackThis v1.99.1
    Scan saved at 16:55:34, on 2007-03-09
    Platform: Windows XP Dodatek SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\F-Secure\backweb\4476822\Program\SERVIC~1.EXE
    C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    C:\Program Files\F-Secure\backweb\4476822\program\fsbwsys.exe
    C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
    C:\Program Files\F-Secure\Common\FSMA32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\F-Secure\Common\FSMB32.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\F-Secure\Common\FCH32.EXE
    C:\Program Files\F-Secure\Common\FAMEH32.EXE
    C:\Program Files\F-Secure\Anti-Virus\fsqh.exe
    C:\Program Files\F-Secure\Anti-Virus\fsrw.exe
    C:\Program Files\F-Secure\FSPC\fspc.exe
    C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
    C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\F-Secure\Common\FSM32.EXE
    C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
    C:\PROGRA~1\F-Secure\ANTI-S~1\fsaw.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Microsoft ActiveSync\wcescomm.exe
    C:\Program Files\F-Secure\FSGUI\fsguidll.exe
    C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    C:\PROGRA~1\MICROS~4\rapimgr.exe
    C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    C:\Program Files\F-Secure\backweb\4476822\Program\fspex.exe
    D:\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program Files\F-Secure\FSGUI\FSSW.EXE" /reboot
    O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
    O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
    O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
    O4 - Global Startup: F-Secure 2006.lnk = C:\Program Files\F-Secure\backweb\4476822\Program\fspex.exe
    O8 - Extra context menu item: &Zablokuj to okienko - C:\Program Files\F-Secure\Anti-Spyware\blockpopups.htm
    O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O9 - Extra 'Tools' menuitem: Utwórz łącze Ulubione dla urządzenia przenośnego... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
    O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
    O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
    O23 - Service: F-Secure 2006 (BackWeb Plug-in - 4476822) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-Secure\backweb\4476822\Program\SERVIC~1.EXE
    O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
    O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\backweb\4476822\program\fsbwsys.exe
    O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
    O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Program Files\F-Secure\FSPC\fshttps\fshttps.exe
    O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe


    Uwaga!!! W pierszym logu było info o uruchamianiu się z windowem aplikacji: C:/Program Files/ Save?Save.exe To zastało już usunięte, ale czy to była jedyna przyczyna? Log wydaje mi się w porządku

    PS Dane Softu: Windows XP SP2 + F-secure[/code]
  • Poziom 14  
    Log wygląda na czysty, a ten save.exe to trojan jest...
  • Poziom 42  
    Samo usunięcie pliku nic nie da trzeba usunąć jeszcze wpisy w rejestrze
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Messenger Service = "nvhost.exe"
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices Messenger Service = "nvhost.exe"

    i poszukaj innych plików które tworzy poczytaj to

    http://www.antywirusy.pl/?site=home&page=news&catID=27&newsID=2089
  • Spec od komputerów
    :arrow: leonov
    Przeciez autor tego nie ma...

    :arrow: Borys85
    Uzywanie IE + korzystanie z konta to nie za dorby pomysl.

    Wklej log z Silent Runners oraz ComboScan.
  • Poziom 14  
    Kolego Kolobos mam prośbę,
    o ile potrafię sobie poradzić z logiem hijackthis to za cholerę nie wiem jak sprawdzić logi tworzone przez podane przez Ciebie generatory...(wielokrotnie złożone zdanie sory) zatem pozwolę sobie wkleić logi

    sorki za poprzedni format posta

    pozdrawiam
  • Spec od komputerów
    Wyedytuj post i umiesc logi w spakowane w zalaczniku.
  • Poziom 29  
    Jeżeli komputer daleko, to najbardziej chyba praktyczna jest rada, żeby do banku wchodzili z Knoppixa (i wysłać płytkę).

    Można też użyć Virtual PC http://www.microsoft.com/downloads/details.aspx?FamilyId=04D26402-3199-48A3-AFA2-2DC0B40A73B6&displaylang=en plus jakaś dystrybucja Live,
    albo tego http://www.vmware.com/vmtn/appliances/directory/browserapp.html + VMware Player
  • Spec od komputerów
    O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing <- usun ten plik z lancucha przy pomocy lspfix.exe ale innych nie ruszaj.

    W hjt mozesz usunac te zbedne wpisy:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\pchealth\helpctr\System\panels\blank.htm
    O4 - HKLM\..\RunOnce: [Register urlmon.dll] C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\urlmon.dll
    O4 - HKLM\..\RunOnce: [Register hlink.dll] C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\hlink.dll
    O4 - HKLM\..\RunOnce: [Register oleaut32.dll] C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\oleaut32.dll
    O4 - HKLM\..\RunOnce: [IE 3.0 RegSvr schannel.dll] C:\WINDOWS\system32\regsvr32.exe /s C:\WINDOWS\system32\schannel.dll

    Reszta wyglada ok. Ewentualnie mozesz jeszcze uzyc:
    http://siri.urz.free.fr/Fix/SmitfraudFix_En.php zrob to co masz
    opisane pod "Clean" po uzyciu utworzy sie log, ktory wklej na forum.
    http://downloads.subratam.org/Fixwareout.exe <- log z uzycia wklej na forum.
    Oraz wkleic log z gmera z zakladki rootkit (logi w zalaczniku).
  • Poziom 14  
    Witam kolegę,

    załączam logi z wymienionych programów, jeśli jest możliwe w jakimś skrócie jak odczytać takie logi byłbym wdzięczny.
    pozdrawiam
  • Spec od komputerów
    Wszystko wyglada ok, nie ma żadnych sladow ze cos bylo zainstalowane. Wiec albo zostalo usuniete albo faktycznie nic nie bylo.
  • Poziom 14  
    Dzięki kolego, jeśli nie stanowi problemu proszę powiedzieć jak tego typu logi sprawdzić- czy tak jak logi hijackthis wrzucając do hijackthis.de, czy może w jakiś inny sposób...








    chciałem kliknąć na pomógł, ale ta opcja chyba jest zarezerwowana dla osób zakładających dany temat. Nie mniej jednak pomógł się należy.
  • Spec od komputerów
    Wszystkie logi nalezy sprawdzic samemu, innej mozliwosci nie ma. Przegladasz wszystkie wpisy i usuwasz zle, a jak nie wiesz ktore sa zle to nie zajmujesz sie samodzielnym sprawdzaniem. Jak chcesz to na stronach autorow tych programow czasem sa jakies informacje co i jak sprawdzic + google.