Instalacja AdWare podczas operacji na koncie bankowym


(master of disaster) #1

Witam.

Osoba która obsługiwała komputer, twierdzi że podczas wykonywania operacji na swoim bankowym koncie internetowym, zainstalowało się (SAMO :x) AdWare.

Z widocznych na pierwszy rzut oka szkód to zmienienie strony startowej na http://www.delta-homes.com/ i zainstalowanie programu  picexa,  którego nawet nie uruchamiałem.

Oczywiście była rozmowa z bankiem, jedank jedyne co ich obsługa miała do zaproponowania to zmiana hasła do konta bankowego.

Pieniędzy nikt nie ukradł, nie wiem czy miałby w ogóle taką możliwość, lecz na wszelki wypadek wklejam logi:

 

FRST: http://www.wklej.org/hash/0da7aab5086/

Addition: http://www.wklej.org/hash/16d534e347e/

Shortcut: http://www.wklej.org/hash/d13370cfe15/

 

Dodam że przed logami z FRST zrobiłem scana i clean'a adwcleaner'em.

 

Pozdrawiam i proszę o pomoc.


(Acorus) #2

Samo nic się nie zrobi.Odinstaluj Akamai NetSession Interface,Picexa,YAC(Yet Another Cleaner!).Otwórz notatnik systemowy i wklej:

CloseProcesses:
HKU\S-1-5-21-2664844871-2036081533-4084360826-1000\...\Run: [Akamai NetSession Interface] = C:\Users\Bartek\AppData\Local\Akamai\netsession_win.exe [4673432 2014-10-30] (Akamai Technologies, Inc.)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hpts=1430893516from=wpm05063uid=MaxtorX6Y080P0_Y24LXYYE
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hpts=1430893516from=wpm05063uid=MaxtorX6Y080P0_Y24LXYYE
HKU\S-1-5-21-2664844871-2036081533-4084360826-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hpts=1430893516from=wpm05063uid=MaxtorX6Y080P0_Y24LXYYE
HKU\S-1-5-21-2664844871-2036081533-4084360826-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://www.msn.com/pl-pl/?ocid=iehp
HKU\S-1-5-21-2664844871-2036081533-4084360826-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hpts=1430893516from=wpm05063uid=MaxtorX6Y080P0_Y24LXYYE
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2664844871-2036081533-4084360826-1000 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=butm_medium=utm_campaign=install_ieutm_content=dsfrom=uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6Ats=1420373293type=defaultq={searchTerms}
SearchScopes: HKU\S-1-5-21-2664844871-2036081533-4084360826-1000 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://do-search.com/web/?utm_source=butm_medium=utm_campaign=install_ieutm_content=dsfrom=uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6Ats=1420373293type=defaultq={searchTerms}
SearchScopes: HKU\S-1-5-21-2664844871-2036081533-4084360826-1000 - {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://do-search.com/web/?utm_source=butm_medium=utm_campaign=install_ieutm_content=dsfrom=uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6Ats=1420373293type=defaultq={searchTerms}
SearchScopes: HKU\S-1-5-21-2664844871-2036081533-4084360826-1000 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://do-search.com/web/?utm_source=butm_medium=utm_campaign=install_ieutm_content=dsfrom=uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6Ats=1420373293type=defaultq={searchTerms}
SearchScopes: HKU\S-1-5-21-2664844871-2036081533-4084360826-1000 - {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://do-search.com/web/?utm_source=butm_medium=utm_campaign=install_ieutm_content=dsfrom=uid=ST500DM002-1BC142_W2A27G6AXXXXW2A27G6Ats=1420373293type=defaultq={searchTerms}
CHR HomePage: Default - hxxp://www.delta-homes.com/?type=hpts=1430893516from=wpm05063uid=MaxtorX6Y080P0_Y24LXYYE
CHR StartupUrls: Default - "hxxp://www.delta-homes.com/?type=hpts=1430893516from=wpm05063uid=MaxtorX6Y080P0_Y24LXYYE"
CHR DefaultSearchKeyword: Default - delta-homes
CHR Extension: (Bookmark Manager) - C:\Users\Bartek\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-15]
R2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [118048 2015-05-06] (Elex do Brasil Participações Ltda)
R2 iSafeService; C:\Program Files\Elex-tech\YAC\iSafeSvc.exe [118048 2015-05-06] (Elex do Brasil Participações Ltda)
S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-05-09 13:18 - 2015-05-09 13:18 - 00000000 ____ D () C:\Users\Bartek\AppData\Roaming\Elex-tech
2015-05-09 13:18 - 2015-04-17 04:43 - 00044712 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\iSafeNetFilter.sys
2015-05-08 12:57 - 2015-05-09 13:16 - 00000000 ____ D () C:\AdwCleaner
2015-05-06 21:44 - 2015-05-06 21:44 - 00000000 ____ D () C:\Program Files\Elex-tech
2015-05-06 08:26 - 2015-05-06 14:00 - 00000000 ____ D () C:\Users\Bartek\AppData\Roaming\Picexa Viewer
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Przeskanuj programem Malwarebytes Anti-Malware http://www.malwarebytes.org/8/