KIS blokuje podejrzane akcje przy próbie logowania do banku

Dla specjalistów Bezpieczeństwo
#1

Witam, dawno mnie tu nie było i nie musiałem nikomu zawracać głowy, aż zapomniałem starego loginu i hasła :slight_smile: Ale do rzeczy. Przy próbie logowania do banku wyskoczyła informacja z KIS-a że szyfrowane połączenie zostało przerwana oraz że Podejrzana akcja została zablokowana. W raporcie szczegółowym widzę że chodzi o:Odczyt pamięci z innych procesów i dotyczy to dwóch plików: googleupdate.exe i tuneuputilitiesapp32.exe. Dodatkowo widzę że chwilę wcześniej dodano dwie aplikacje do grupy ZAUFANE: generaltel.dll i appraiser.dll. Oczywiście skan tych wszystkich plików KIS-em pokazuje że są OK, tylko czy aby tak jest? Może coś dzieje się w innym miejscu. Załączam logi

 

http://www.wklej.org/id/1672827/

 

http://www.wklej.org/id/1672828/

 

Proszę zobaczyć co jest nie tak. Z góry dziękuję.

Pozdrawiam

marcinus08

#2

Logowanie do banku KIS otwiera ci przez bezpieczną przeglądarkę (zielona otoczka)?

#3

Tak, dokładnie robie to przez bezpieczne pieniądze (zielona otoczka). Tylko że teraz nie moge już na swoim koncie nic zrobić jest czarny ekran i dwa gadzety w pasku. Nie ma żadnych ikon, paska na dole, tylko czarny ekran. Zostawiłem kompa z włączonym skanowaniem całego systemu w KISie i dałem aby po zakończeniu wyłaczył komputer. No i jak go teraz właczyłem to ciemnośc widzę :frowning: Musiałem zalogować sie do konta administratora żeby móc korzystać.

Dodam jeszcz, że jak próbuje ponownie uruchomic explorer.exe to na moment pokazuje sie pasek na dole, a właściwie to mignie tylko i wszystko. Jak by cos go momentalnie wyłaczało, choć w menadżerze zadań proces explorer.exe cały czas jest i chodzi.

#4

Jeszcze raz prosze aby ktoś spojrzał w logi i powiedział mi czy komp jest zawirusowany, czy to jakies inne problemy.

 

Jeszcze raz daje aktualne logi zrobione z nowego konta uzytkownika bo na tamtym jest jak pisałem czarno.

 

http://wklej.org/id/1674096/

 

http://wklej.org/id/1674099/

Dopiszę jeszcze  - może ktoś się jednak przyjrzy i pomoże  :-(  - że skanowałem kilkoma skanerami online oraz Malwarebytes Anti Malware i niczego nie znajdują. Natomiast nie mogę skorzystać z płytki Ksaspersky Rescue Disk gdyż po prawie całkowitym jej uruchomieniu gdy pojawia się okienko w którym wystarczy zaznaczyć co ma być skanowane i potwierdzić - okienko nie wczytuje sie do końca - są tylko jakby miejsca na przyciski i inne elementy ale okno jest praktycznie w środku puste, więc nie ma jak w nim nic zrobić. Dodam że jeszcze 3 tyg temu działało to wszystko prawidłowo bo ja co jakis czas skanowałem dla bezpieczeństwa kompa właśnie tą metodą, którą uważam za najpewniejszą bo nie uruchamia sie mój system na kompie tylko “zewnętrzny”. Płyta jest OK bo na innym komputerze uruchamie sie prawidłowo do samego końca i można skanować…

#5

Przeskanuj-http://www.freedrweb.com/cureit/?lng=pl

#6

Skanuje od 1,5 godz i jeszcze pozostało mu pond 4 godz, inne skanowały cały komp w mniej niż 2 godz. Jak skończy dam znać, póki co nic nie znalazł.

 

 

 

Ufffff. Skanował prawie 12 godz … NIby znalazł 6 infekcji i przeniósł do kwarantanny, choć pliki te przez inne antywirusy sa traktowane jako normalne, np instalka java. Podaje wpis z końcówki loga bo cały jest makabrycznie długi. Jeśli jest potrzeba to go w całości wrzucę na wklej.org

Total 112641163271 bytes in 233859 files scanned (533823 objects)
Total 233728 files (533683 objects) are clean
Total 6 files (7 objects) are infected
Total 130 files are raised error condition
Scan time is 11:54:17.925

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\Program Files\Smart File Advisor\sfa.exe - quarantined
C:\Program Files\Smart File Advisor\sfa_inst.exe - quarantined
C:\Users\Renata\Downloads\isobuster_all_lang.exe - quarantined
C:\Users\Renata_2\AppData\Local\Temp\VZ9yv8mL.exe.part - quarantined
C:\Users\Renata_2\Downloads\jxpiinstall.exe - quarantined
D:\instalki\IsoBuster(12956)-dp.exe - quarantined

Total 112641163271 bytes in 233859 files scanned (533823 objects)
Total 233728 files (533683 objects) are clean
Total 6 files (7 objects) are infected
Total 6 files (7 objects) are neutralized
Total 130 files are raised error condition
Scan time is 11:54:17.925
#7

jak jest teraz?

#8

 

Dalej KIS zablokował w czasie próby logowania do banku kilkanaście prób: Podejrzana akcja została zablokowana i w każdej jest TuneUp Utilities, 1 raz plik tuneuputilitiesapp32.exe o pozostałe TuneUpUtilitiesService32.exe. Wszystkie akcje opisane jako: Odczyt pamięci z innych procesów.

#9

Pokaż nowe logi i zaczekaj na speca od logów

#10

 

Najnowsze logi:

 

FRST http://wklej.org/id/1675729/

 

Add http://wklej.org/id/1675730/

 

i czekam cierpliwie póki mi neta nie odetną bo nie zapłaciłem, bojąc sie wejść do banku :x …

 

PS. Nie znam sie kompletnie na logach, ale jak patrzę na mój z FRST i inne na tym forum to rzuca mi sie w oczy, że w moim jest pełno wpisów o błedach w dostepie do procesów typu:

Failed to access process -> smss.exe
Failed to access process -> csrss.exe
Failed to access process -> wininit.exe
Failed to access process -> csrss.exe
Failed to access process -> services.exe
Failed to access process -> lsass.exe
Failed to access process -> lsm.exe
Failed to access process -> winlogon.exe
Failed to access process -> svchost.exe
Failed to access process -> nvvsvc.exe

i to dla praktycznie większości procesów…

#11

Jest to normalne zachowanie KIS, gdy masz otwartą bezpieczną przeglądarkę. Inne procesy nie mają wglądu do pamięci przeglądarki.  Wywal Tuneup z autostartu. Po co ci ten monitoring?

Przeinstaluj KIS. Wyszła nowa wersja.

#12

Odinstaluj TuneUp Utilities.Otwórz notatnik systemowy i wklej:

HKLM\...\Run: [] = [X]
Startup: C:\Users\Renata_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
ShortcutTarget: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk - C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE (No File)
Startup: C:\Users\Renata_2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk
ShortcutTarget: Tworzenie wycinków ekranu i uruchamianie programu OneNote 2010.lnk - C:\Program Files\Microsoft Office\Office14\ONENOTEM.EXE (Microsoft Corporation)
URLSearchHook: [S-1-5-21-1832973407-2959896315-1478724360-1003] ATTENTION == Default URLSearchHook is missing.
S2 McAfee SiteAdvisor Service; c:\PROGRA~1\mcafee\SITEAD~1\mcsacore.exe [X]
S3 nmwcd; system32\drivers\ccdcmb.sys [X]
S3 nmwcdc; system32\drivers\ccdcmbo.sys [X]
S3 nmwcdnsu; system32\drivers\nmwcdnsu.sys [X]
S3 nmwcdnsuc; system32\drivers\nmwcdnsuc.sys [X]
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
S3 upperdev; system32\DRIVERS\usbser_lowerflt.sys [X]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
S3 UsbserFilt; system32\DRIVERS\usbser_lowerfltj.sys [X]
2015-03-30 16:15 - 2015-03-30 16:15 - 00000000 ____ D () C:\ProgramData\Doctor Web
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

#13

Melduję wykonanie zadanie :mrgreen: . TuneUp odinstalowany, fix zrobiony, poniżej log z fixa:

 

http://wklej.org/id/1675991/

 

Czy nowe logi zrobić…?

 

PS Poprzednie konto użytkownika (Renata) dalej ciemne, bez ikonek, pulpitu, paska startu itd, ale jakoś bez niego się obejdę jeśli nic nie da się zrobić.

#14

Skasuj folder C:\FRST

#15

Zrobione.

 

KIS uaktualniony.

 

Czy to była jakaś infekcja?