Logowanie do portalu społecznościowego z Filipin (potencjalny keylogger)

fejku · 20 Luty 2023 19:35

Cześć, piszę od razu na świeżo, ponieważ zauważyłem dziś logowanie z Filipin na jedno z moich kont społecznościowych i od razu zapaliła mi się lampka aby sprawdzić czy aby na pewno nie mam jakiegoś syfa na swoim PC.
Przeskanowałem od razu system za pomocą MBAM - raport był czysty. Do tego teraz dorzucam .txt z FRST.
Addition.txt (50,3 KB)
FRST.txt (104,0 KB)
Shortcut.txt (19,6 KB)

Z góry dzięki za pomoc!

ThetaETX · 20 Luty 2023 21:50

Witaj @fejku

Czy w Malwarebytes włączyłeś dodatkowo wykrywanie rootkitów przed skanowaniem?
Opcję te odnajdziesz w ustawieniach → bezpieczeństwo → opcje skanowania.
Jeśli nie - to powtórz pełne skanowanie.

Wykonaj także skan RogueKiller Anti Malware
Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).

Przeglądam logi FRST.

fejku · 20 Luty 2023 22:00

Witaj,
Skanowałem MBAM razem z opcją wykrywania rootkita.
Co do RogueKillera raport poniżej, jakieś „luki” w firewallu ze względu na clienta do jednej z gier (chyba).
Dzięki za odpowiedź
ea.txt (10,8 KB)

ThetaETX · 20 Luty 2023 22:05

W logach nie widzę infekcji. Zastosuj menadżer haseł, np. BitWarden i wszędzie utwórz unikalne hasła.
Zastosuj weryfikację dwuetapową i sprawdź czy nie doszło do wycieku.

Zmień serwer DNS na Quad9 → YouTube (podstawowy 9.9.9.9, zapasowy 149.112.112.112)

Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →

CloseProcesses:
CreateRestorePoint:
VirusTotal: D:\Games\cslol\cslol-manager\cslol-tools\mod-tools.exe
VirusTotal: D:\Games\cslol\cslol-manager\cslol-manager.exe
VirusTotal: C:\Program Files (x86)\Gigabyte\AppCenter\AdjustService.exe
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
HKLM-x32\...\RunOnce: [PreRun] => C:\Program Files (x86)\Gigabyte\AppCenter\PreRun.exe [14632 2016-02-26] (GIGA-BYTE TECHNOLOGY CO., LTD. → )
HKU\S-1-5-21-2690027950-2449419460-39360116-1002\...\Run: [FACEIT] => C:\Users\lukas\AppData\Local\FACEIT\update.exe [2280008 2023-02-17] (FACE IT LIMITED -> )
HKU\S-1-5-21-2690027950-2449419460-39360116-1002\...\Run: [Opera GX Browser Assistant] => D:\Tools\OperaGX\assistant\browser_assistant.exe [3291288 2021-02-01] (Opera Software AS -> Opera Software)
HKU\S-1-5-21-2690027950-2449419460-39360116-1002\...\Run: [com.blitz.app] => "C:\Users\lukas\AppData\Local\Programs\Blitz\Blitz.exe" --autostart (Brak pliku)
HKU\S-1-5-21-2690027950-2449419460-39360116-1002\...\RunOnce: [Application Restart #1] => C:\Program Files\BraveSoftware\Brave-Browser\Application\brave.exe [3362096 2023-02-17] (Brave Software, Inc. -> Brave Software, Inc.)
HKLM\Software\Microsoft\Active Setup\Installed Components: [{C57B257B-3D92-4AC0-8FE8-7D6FF81AEF73}] -> reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v OPENVPN-GUI /f
Task: {3438FFA3-9FBC-4507-8686-BEA4D60AE141} - System32\Tasks\Opera GX scheduled Autoupdate 1657039580 => D:\Tools\OperaGX\launcher.exe [2542536 2023-02-13] (Opera Norway AS -> Opera Software)
Task: {90652DBF-A021-4337-96C6-1EA69AE71B2C} - System32\Tasks\Opera GX scheduled assistant Autoupdate 1658331800 => D:\Tools\OperaGX\launcher.exe [2542536 2023-02-13] (Opera Norway AS -> Opera Software) -> --scheduledautoupdate --component-name=assistant --component-path="D:\Tools\OperaGX\assistant" $(Arg0)
Task: {A6F7A292-313A-4921-ACC5-BCE6031528B0} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [716192 2023-02-15] (Mozilla Corporation -> Mozilla Foundation)
Task: {7B69E079-9E16-426D-9192-833B96726191} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [674720 2023-02-15] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {C7A338A3-2098-4556-B32D-522C492A8313} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe [2645880 2023-02-01] (Overwolf Ltd -> Overwolf LTD)
Tcpip\..\Interfaces\{46523236-dea1-4103-9b31-7dea526f8c98}: [NameServer] 8.8.8.8,8.8.4.4
Tcpip\..\Interfaces\{46523236-dea1-4103-9b31-7dea526f8c98}: [DhcpNameServer] 192.168.1.1
S3 BraveElevationService; "C:\Program Files\BraveSoftware\Brave-Browser\Application\110.1.48.167\elevation_service.exe" [X]
S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
AlternateDataStreams: C:\ProgramData:err [1958]
AlternateDataStreams: C:\Windows\system32\9EarsSurroundSound.dll:72B1DE377E [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Docker Desktop.lnk:CBB8C4555E [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client.lnk:F208FC6732 [3442]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5966]
FirewallRules: [TCP Query User{FD14ACC3-A60B-4234-B802-FFBE7B1202A5}C:\users\lukas\appdata\local\faceit\app-1.31.7\faceit.exe] => (Allow) C:\users\lukas\appdata\local\faceit\app-1.31.7\faceit.exe => Brak pliku
FirewallRules: [UDP Query User{11A28510-8BD3-44FA-A577-F6D312A84E14}C:\users\lukas\appdata\local\faceit\app-1.31.7\faceit.exe] => (Allow) C:\users\lukas\appdata\local\faceit\app-1.31.7\faceit.exe => Brak pliku
FirewallRules: [TCP Query User{2BEAFD67-560B-44E9-BA2C-F782DC981463}C:\users\lukas\appdata\local\faceit\app-1.31.9\faceit.exe] => (Allow) C:\users\lukas\appdata\local\faceit\app-1.31.9\faceit.exe => Brak pliku
FirewallRules: [UDP Query User{E8FE3362-ABDD-402A-8417-62B9254087C2}C:\users\lukas\appdata\local\faceit\app-1.31.9\faceit.exe] => (Allow) C:\users\lukas\appdata\local\faceit\app-1.31.9\faceit.exe => Brak pliku
FirewallRules: [TCP Query User{359F7275-8BDA-44CE-B2FE-8207CD3C18AD}C:\users\lukas\appdata\local\faceit\app-1.31.10\faceit.exe] => (Allow) C:\users\lukas\appdata\local\faceit\app-1.31.10\faceit.exe => Brak pliku
FirewallRules: [UDP Query User{09D1AB59-FA55-44C5-A918-07BFB399BB6D}C:\users\lukas\appdata\local\faceit\app-1.31.10\faceit.exe] => (Allow) C:\users\lukas\appdata\local\faceit\app-1.31.10\faceit.exe => Brak pliku
FirewallRules: [TCP Query User{47553010-24F8-49A0-8DF4-E8BD8E9DE174}D:\games\rubinumclient\pack2\rubinumpatcher.exe] => (Allow) D:\games\rubinumclient\pack2\rubinumpatcher.exe => Brak pliku
FirewallRules: [UDP Query User{A7AA8CA6-744C-49F0-A8DF-F052043BB798}D:\games\rubinumclient\pack2\rubinumpatcher.exe] => (Allow) D:\games\rubinumclient\pack2\rubinumpatcher.exe => Brak pliku
FirewallRules: [TCP Query User{8887ECD4-94AA-4F3A-A9EE-9DADE1285B84}D:\games\rubinumclient\rubinumpatcher.exe] => (Allow) D:\games\rubinumclient\rubinumpatcher.exe => Brak pliku
FirewallRules: [UDP Query User{EEAB8738-D07D-4A54-8855-33F624FA06A9}D:\games\rubinumclient\rubinumpatcher.exe] => (Allow) D:\games\rubinumclient\rubinumpatcher.exe => Brak pliku
FirewallRules: [{C18FC53E-6B84-4AFB-99D5-4B2444165C23}] => (Allow) D:\Tools\GamingTools\overwolf\0.217.0.9\OverwolfBrowser.exe => Brak pliku
FirewallRules: [{D66231C1-B877-4E20-999A-1ABD0D1B0081}] => (Allow) D:\Tools\GamingTools\overwolf\0.217.0.9\OverwolfBrowser.exe => Brak pliku
FirewallRules: [{E6F302CB-A426-4CBC-8D39-61C6311E26A9}] => (Block) D:\Tools\GamingTools\overwolf\0.217.0.9\OverwolfBrowser.exe => Brak pliku
FirewallRules: [{238EFC59-58AE-4E4F-8438-D52EC46182AD}] => (Block) D:\Tools\GamingTools\overwolf\0.217.0.9\OverwolfBrowser.exe => Brak pliku
Shortcut: C:\Users\lukas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\cslol-manager-2022-08-28-a8bfd10.lnk -> D:\Games\cslol-manager-2022-08-28-a8bfd10.zip (Brak pliku)
Hosts:
RemoveProxy:
EmptyEventLogs:
EmptyTemp:

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

fejku · 20 Luty 2023 22:25

O to FixLog.txt. Co do menadżera haseł to w końcu muszę się na to przesiąść i tym zająć. DNS’y zaraz zmienię.
Fixlog.txt (16,2 KB)

Yakii · 21 Luty 2023 09:13

O! Widzę ze ksywka zmieniona. Tez poprzez ten 1login?

system · 23 Marzec 2023 09:13

Ten temat został automatycznie zamknięty 30 dni po ostatnim wpisie. Tworzenie nowych odpowiedzi nie jest już możliwe.