Próba phisingu?

mid30 · 14 Listopad 2012 19:47

Witajcie.

W dniu dzisiejszym o mało co padłem ofiarą Phishingu, a przynajmniej tak to wygląda. Strona logowania banku lloydstsb w przeglądarce firefox wymagała ode mnie danych, których normalnie nie powinna wymagać. (Między innymi pełne dane karty). Proces logowania na innym komputerze przebiega normalnie. Na chromie drugi etap logowania również wyświetla się tradycyjnie, ale ze względów bezpieczeństwa nie logowałem się kompletnie.

OTL: http://wklej.org/id/871021/

Extras: http://wklej.org/id/871025/

Atis · 14 Listopad 2012 20:08

Pobierz AdwCleaner

Zamknij przeglądarkę internetową.

Uruchom AdwCleaner i kliknij Delete.

Do okna Własne opcje skanowania / skrypt wklej:

:OTL DRV - File not found [Kernel | On_Demand | Stopped] – System32\Drivers\VcommMgr.sys – (VcommMgr) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\VComm.sys – (VComm) DRV - File not found [Kernel | Boot | Stopped] – System32\Drivers\BTHidMgr.sys – (BTHidMgr) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\vbtenum.sys – (BTHidEnum) DRV - File not found [Kernel | On_Demand | Stopped] – System32\Drivers\btcusb.sys – (Btcsrusb) DRV - File not found [Kernel | On_Demand | Stopped] – System32\Drivers\btcombus.sys – (BTCOMBUS) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\btnetdrv.sys – (BT) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\BlueletSCOAudio.sys – (BlueletSCOAudio) DRV - File not found [Kernel | On_Demand | Stopped] – system32\DRIVERS\blueletaudio.sys – (BlueletAudio) [2012-08-24 07:56:20 | 000,000,000 | —D | M] (Zynga Community Toolbar) – C:\Documents and Settings\mid23\Dane aplikacji\Mozilla\Firefox\Profiles\ykao08yk.default\extensions{7b13ec3e-999a-4b70-b9cb-2617b8323822} [2012-10-27 12:45:44 | 000,000,000 | —D | M] (PriceGong) – C:\Documents and Settings\mid23\Dane aplikacji\Mozilla\Firefox\Profiles\ykao08yk.default\extensions{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829} [2012-09-01 12:48:42 | 000,000,000 | —D | M] (uTorrentBar Community Toolbar) – C:\Documents and Settings\mid23\Dane aplikacji\Mozilla\Firefox\Profiles\ykao08yk.default\extensions{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2011-08-18 16:17:00 | 000,002,230 | ---- | M] () – C:\Documents and Settings\mid23\Dane aplikacji\Mozilla\Firefox\Profiles\ykao08yk.default\searchplugins\iBryte_playbryte.xml [2012-04-04 20:43:48 | 000,003,915 | ---- | M] () – C:\Documents and Settings\mid23\Dane aplikacji\Mozilla\Firefox\Profiles\ykao08yk.default\searchplugins\sweetim.xml [2010-05-05 12:29:30 | 000,001,589 | ---- | M] () – C:\Documents and Settings\mid23\Dane aplikacji\Mozilla\Firefox\Profiles\ykao08yk.default\searchplugins\web-search.xml [2012-11-11 23:27:36 | 000,001,240 | ---- | M] () – C:\Documents and Settings\mid23\Dane aplikacji\Mozilla\Firefox\Profiles\ykao08yk.default\searchplugins\search–earn.xml O4 - HKU\S-1-5-21-117609710-920026266-1801674531-1003…\Run: [] File not found O4 - HKU\S-1-5-21-117609710-920026266-1801674531-1003…\Run: [Pufio] “C:\Documents and Settings\mid23\Dane aplikacji\Awerzi\urew.exe” File not found O4 - HKU.DEFAULT…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-18…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-19…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found O4 - HKU\S-1-5-20…\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 File not found [2012-11-14 09:08:32 | 000,000,000 | —D | C] – C:\Documents and Settings\mid23\Dane aplikacji\Ybhaow [2012-11-14 09:08:32 | 000,000,000 | —D | C] – C:\Documents and Settings\mid23\Dane aplikacji\Orhyq [2012-11-14 09:08:32 | 000,000,000 | —D | C] – C:\Documents and Settings\mid23\Dane aplikacji\Awerzi [2012-11-02 23:01:26 | 000,000,032 | ---- | M] () – C:\WINDOWS\0 [2012-11-02 10:32:44 | 000,000,000 | ---- | M] () – C:\WINDOWS\System32\0 :Files C:\Documents and Settings\mid23*.exe :Commands [emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu.

mid30 · 15 Listopad 2012 08:19

Raport z TDSS http://wklej.org/id/871285/

Atis · 15 Listopad 2012 08:52

TDSSKiller nie wykrył żadnej infekcji.

sptd to sterownik od DAEMON Tools i zawsze jest wykrywany jako zablokowany (Locked).

Wykonaj poprawiony skrypt, bo wczoraj zapomniałem napisać pierwszej komendy :OTL

Później kliknij Skanuj i pokaż nowy log.

mid30 · 15 Listopad 2012 16:12

OTL http://wklej.org/id/871533/

nie pojawił mi się plik Extras.

Logowanie wyświetla już poprawną stronę

Atis · 15 Listopad 2012 17:11

Na wszelki wypadek zmień wszystkie hasła logowania.

Wklej i kliknij Wykonaj skrypt:

:OTL FF - prefs.js…browser.search.defaultengine: “Ask.com” FF - prefs.js…browser.search.defaultenginename: “Web Search…” FF - prefs.js…browser.search.defaulturl: “http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=” FF - prefs.js…browser.search.order.1: “Ask.com” FF - prefs.js…browser.search.selectedEngine: “Search & Earn” FF - prefs.js…keyword.URL: “http://search.conduit.com/ResultsExt.aspx?ctid=CT2786678&SearchSource=2&q=” FF - prefs.js…network.proxy.http: “8.7.22.89” FF - prefs.js…network.proxy.http_port: 80 [2012-11-07 11:24:34 | 000,189,128 | ---- | M] () (No name found) – C:\Documents and Settings\mid23\Dane aplikacji\Mozilla\Firefox\Profiles\ykao08yk.default\extensions{EEE6C361-6118-11DC-9C72-001320C79847}.xpi

Odinstaluj starą wersję programu Java 7 Update 7.

Później zainstaluj:

Internet Explorer 8

Java 7 update 9

Uruchom OTL i kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.