Trojan/y OCCAMY prośba o pomoc

Witam serdecznie!

Kiedyś dawno temu poprosiłem Was o pomoc i ją otrzymałem. Po kilku latach znowu mam jakiś problem. Sytuacja wydarzyła się wczoraj podczas grania w CS (lubię sobie casualowo postrzelać / 35lat). Rozegrałem kilka misji nowej operacji i wszystko było w porządku. Później rozegrałem meczyk (również jako misja), przegrałem, więc chciałem dokończyć misję i odpaliłem kolejny. Wszystko dzieje się na oficjalnych serwerach. Nie gram i nie szukam żadnych zewnętrznych form. Zminimalizowałem grę po czym dostałem dźwięk, że znalazło mecz. Wróciłem a gra się już ładowała bez potwierdzania. W międzyczasie zauważyłem, że gra samoczynnie ściąga coś w tle (sytuacja odbiegająca od normy). Wczytało mnie na zupełnie inną mapę i błyskawicznie się rozłączyłem. W grze dostałem komunikat o fakcie, że nie mogę grać oficjalnych serwerach, bo mam na dysku pliki nieautoryzowane. Wyłączyłem grę, zrobiłem spójność plików i opisałem sprawę do technika steam. Kolejnym krokiem było skanowanie komputera. Jedno z oprogramowania (SPY HUNTER 5) wykrył obecność TROJANA OCCAMY.BC .

Zrobiłem wczoraj w nocy jeszcze skan FRST wyniki wklejam poniżej:
FRST:
http://www.wklejto.pl/883551

Addition:
http://www.wklejto.pl/883549

Shortcut:
http://www.wklejto.pl/883548

Na koniec dodam, że od dawna nie bawię się w poszukiwania lewego oprogramowania, czy plików. Od wielkiego dzwona z komputera korzysta 10-letnia córka (głównie do YT i e-lekcji) oraz młodsi gości. Pod wieczór mogę zrobić dodatkowe potrzebne skany/logi. Obawiam się, że zostałem celem ataku hakerskiego na mój inwentarz CS. Bardzo uważam gdzie zaglądam i w co klikam.

Marcin

Raczej córka kliknęła w jakaś stronę w necie w przerwie. Poczekaj na i Juliusza, a do tego czas zmień z innego urządzenia hasła i ustaw na kontach logowanie dwuetapowe. :wink:

Hasła mam wszędzie dwuetapowe i nic nie zginęło, bo mam podgląd w komórce. Najbardziej obawiam się permanentnego bana za jakieś oprogramowanie z którego nie mam zamiaru korzystać. Żal było by mi ok 2k h w CS, oraz kilku(set) złotówek zainwestowanych w inwentarz. Czekam jeszcze co mi ze Steama odpiszą, czy to jakaś ich dziura związana z dodatkiem, czy faktycznie wina złośliwego oprogramowania, które wdarło się do mojego PC.

Skanowi “SPY HUNTER 5” raczej nie warto ufać, choćby z racji że umie pliki reklamowe cookies oznaczać jako “wirusy” i trzeba płatnej licencji do usuwania/“leczenia” plików.

1lajk

SPY HUNTER tylko wykrył i nazwał zagrożenie.

Witaj @hipcio_stg

Kolega @krystian3w ma rację. Odinstaluj Spy Hunter, nie jest wiarygodny.

W opisach ostrzeżeń systemowych, plik z wirusem znalazło w katalogu kwarantanny ADWCleanera

Zróbmy niewielkie oczyszczanie.

  1. Pobierz ten plik i zapisz w katalogu z FRST, tzn. C:\Users\Marcin\Downloads
    fixlist.txt (3,6 KB)
    “Plik naprawczy został utworzony tylko dla Ciebie, nie należy go stosować na innym komputerze”
  2. Uruchom FRST i kliknij Napraw, program wyłączy niepotrzebne procesy, zrobi Punkt Przywracania i zacznie pracę.
  3. Po restarcie wklej plik wynikowy.

Witaj serdecznie @iJuliusz

Wykonałem zgodnie z poleceniami. Poniżej log z fix-a:

Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 27-01-2021
Uruchomiony przez Marcin (02-02-2021 19:40:06) Run:1
Uruchomiony z C:\Users\Marcin\Downloads
Załadowane profile: Marcin
Tryb startu: Normal

fixlist - zawartość:


CloseProcesses:
CreateRestorePoint:
EmptyTemp:
Task: C:\Windows\Tasks{5E9C47D5-C2A3-4B5B-9646-23F9F5362F1A}.job => C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.90.exeѧ/i C:\Users\Marcin\AppData\Local\Temp\MTGAinstall\MTGAInstaller.msi AI_SETUPEXEPATH=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.90.exe SETUPEXEDIR=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\ ADDLOCAL=MainFeature,MicrosoftVisualC ALLUSERS=1 PRIMARYFOLDER=APPDIR ROOTDRIVE=D:\ AI_PREREQFILES=C:\Users\Marcin\AppData\Roaming\Wizards of the Coast\MTGA Launcher\prerequisites\Visual C++ Redistributable for Visual Studio 2015-2019\VC_redist.x64.exe AI_PREREQDIRS=C:\Users\Marcin\AppData\Roaming AI_MISSING_PREREQS=Visual C++ Redistributable for Visual Studio 2017 x64 AI_SETUPEXEPATH=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.90.exe SETUPEXEDIR=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\ AI_INSTALL=1 BIPROCESSTIME=2020-06-25T15:24:06.1829077Z TARGETLOCKED=TRUE TARGETDIR=D:\ APPDIR=C:\Program Files (x86)\Wizards of the Coast\MTGA\ AI_SETUPEXEPATH_ORIGINAL=C:\Program Files (x86)\Wizards of the Coast\MTGA\MTGALauncher\Updates\MTGAInstaller_1.0.90.exe <==== UWAGA
C:\AdwCleaner
CustomCLSID: HKU\S-1-5-21-2645379238-1908583816-2438023672-1001_Classes\CLSID{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\Marcin\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Brak pliku
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Brak pliku
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> Brak pliku
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> Brak pliku
AlternateDataStreams: C:\ProgramData\PACE:787DFD260BD4240B [217]
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
FirewallRules: [{D076E259-8179-4B92-92B9-7133EAD9351E}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{6D96605C-4B37-4922-9B18-E3E7B9A0ACDB}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [TCP Query User{FDB0D389-4FD4-4902-B99A-52ACE9B0B3FD}C:\program files (x86)\wizards of the coast\mtga\mtga.exe] => (Allow) C:\program files (x86)\wizards of the coast\mtga\mtga.exe => Brak pliku
FirewallRules: [UDP Query User{82935FA1-5DE0-4DB7-A933-8ACF9257D320}C:\program files (x86)\wizards of the coast\mtga\mtga.exe] => (Allow) C:\program files (x86)\wizards of the coast\mtga\mtga.exe => Brak pliku
FirewallRules: [{C030E208-040A-4B70-A80A-9CA8CB147A80}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe => Brak pliku
FirewallRules: [{D3F86488-832F-4052-8116-8EDC46359675}] => (Allow) C:\Program Files (x86)\3uTools\libXunlei\Download\MiniThunderPlatform.exe => Brak pliku
FirewallRules: [{1A897B77-0BAB-4DDB-B229-D7EC0DAC3A60}] => (Allow) LPort=80
FirewallRules: [TCP Query User{55A88718-9C4D-45DD-A0D7-856355131C83}C:\program files\wizards of the coast\mtga\mtga.exe] => (Allow) C:\program files\wizards of the coast\mtga\mtga.exe (Wizards of the Coast, LLC -> )
FirewallRules: [UDP Query User{8D0945F6-5BB1-40C1-8B7D-CEEC29B079EE}C:\program files\wizards of the coast\mtga\mtga.exe] => (Allow) C:\program files\wizards of the coast\mtga\mtga.exe (Wizards of the Coast, LLC -> )


Procesy zostały pomyślnie zamknięte.
Punkt przywracania został pomyślnie utworzony.
C:\Windows\Tasks{5E9C47D5-C2A3-4B5B-9646-23F9F5362F1A}.job => pomyślnie przeniesiono
C:\AdwCleaner => pomyślnie przeniesiono
HKU\S-1-5-21-2645379238-1908583816-2438023672-1001_Classes\CLSID{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92} => pomyślnie usunięto
HKLM\Software\Classes*\ShellEx\ContextMenuHandlers\ANotepad++64 => pomyślnie usunięto
HKLM\Software\Classes*\ShellEx\ContextMenuHandlers\BriefcaseMenu => pomyślnie usunięto
“HKLM\Software\Classes\CLSID{85BBD920-42A0-1069-A2E4-08002B30309D}” => pomyślnie usunięto
HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers{4A7C4306-57E0-4C0C-83A9-78C1528F618C} => pomyślnie usunięto
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\BriefcaseMenu => pomyślnie usunięto
C:\ProgramData\PACE => “:787DFD260BD4240B” ADS pomyślnie usunięto
HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\“DefaultScope”="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" => Wartość pomyślnie przywrócono
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{D076E259-8179-4B92-92B9-7133EAD9351E}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{6D96605C-4B37-4922-9B18-E3E7B9A0ACDB}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\TCP Query User{FDB0D389-4FD4-4902-B99A-52ACE9B0B3FD}C:\program files (x86)\wizards of the coast\mtga\mtga.exe” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\UDP Query User{82935FA1-5DE0-4DB7-A933-8ACF9257D320}C:\program files (x86)\wizards of the coast\mtga\mtga.exe” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{C030E208-040A-4B70-A80A-9CA8CB147A80}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{D3F86488-832F-4052-8116-8EDC46359675}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\{1A897B77-0BAB-4DDB-B229-D7EC0DAC3A60}” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\TCP Query User{55A88718-9C4D-45DD-A0D7-856355131C83}C:\program files\wizards of the coast\mtga\mtga.exe” => pomyślnie usunięto
“HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\UDP Query User{8D0945F6-5BB1-40C1-8B7D-CEEC29B079EE}C:\program files\wizards of the coast\mtga\mtga.exe” => pomyślnie usunięto

=========== EmptyTemp: ==========

BITS transfer queue => 10248192 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 151948937 B
Java, Flash, Steam htmlcache => 168540247 B
Windows/system/drivers => 1995781 B
Edge => 1056819 B
Chrome => 22136244 B
Firefox => 1480862293 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 5324 B
NetworkService => 670642 B
Marcin => 49008738 B

RecycleBin => 2451686865 B
EmptyTemp: => 4 GB danych tymczasowych Usunięto.

================================

System wymagał restartu.

==== Koniec Fixlog 19:41:58 ====

PS. Po wgraniu wczoraj malwarebytes ten nie przepuścił mnie na stronę wklejto.pl informując o trojanach (prawda to?)

Dziękuję.

Nie potrafię powiedzieć dlaczego MBAM zablokował dostęp.

Zrób jeszcze pełny skan ESET (używałeś go już wcześniej)

  • Pobierz ESET Online Scanner
  • Uruchom z Uprawnieniami Administratora
  • Program pobierze Aktualizacje modułu skanowania
  • Wybierz Skanowanie komputera
  • Wybierz Pełne skanowanie
  • Wybierz “Włącz wykrywanie i przenoszenie…”
  • Rozpocznij skanowanie
  • Gdy wykryje jakiekolwiek zagrożenia zapisz raport
  • Program zapyta o Wersję próbną odznacz i wyłącz
  • Udostępnij plik raportu

@iJuliusz

Udało się przeskanować, poniżej raport:

02.02.2021 22:45:41
Przeskanowane pliki: 924254
Wykryte pliki: 6
Wyleczone pliki: 6
Całkowity czas skanowania 02:18:31
Stan skanowania: Zakończono

D:\Program Files (x86)\O22y Inc\Mafia II\Mafia ll.EXE odmiana zagrożenia Win32/HackTool.CheatEngine.AF potencjalnie niebezpieczna aplikacja wyleczone przez usunięcie
D:\Users\Hipcio\Documents\APNSetup.exe Win32/Bundled.Toolbar.Ask.E potencjalnie niebezpieczna aplikacja wyleczone przez usunięcie
D:\Users\Hipcio\Downloads\Memtest86-12556-AsystentPobierania.exe Win32/InstallCore.Gen.A potencjalnie niepożądana aplikacja wyleczone przez usunięcie
D:\Users\Hipcio\Downloads\xfire_installer.exe Win32/OpenCandy potencjalnie niebezpieczna aplikacja wyleczone przez usunięcie
D:\Windows\Installer\MSI552.tmp odmiana zagrożenia Win32/Bundled.Toolbar.Ask.F potencjalnie niebezpieczna aplikacja wyleczone przez usunięcie
E:\dysk 2\zdjęcia gotowe\domn\uTorrent.exe odmiana zagrożenia Win32/Toolbar.Conduit.AY potencjalnie niepożądana aplikacja wyleczone przez usunięcie

Dziękuję. To by było na tyle :wink:

Jeśli System odzyskał sprawność, zastosuj DelFix Zaznacz Remove disinfection tools i kliknij Run.
Zaznacz post, który rozwiązał Twój problem. Wystarczy jeden :wink:
obraz

W razie kolejnych kłopotów z komputerem, pisz :+1:

Pozdrawiam serdecznie
Juliusz
stopa

@iJuliusz

Bardzo dziękuję za pomoc, jednak cały czas niepokoi mnie fakt, że cały czas malware nie przepuszcza mnie na “wklejto.pl

Coraz bardziej dojrzewam mimo wszystko do ponownego stawiania systemu czego wolałbym uniknąć. Mam do przejścia dość skomplikowany (dla mnie) proces konfiguracji cyfrowego pianina. Córka jest w trakcie nauki w szkole muzycznej i pamiętając jak ostatnio się długo z tym męczyłem może to rzutować na jej wyniki w nauce (tego wolałbym uniknąć). Z drugiej strony mam cały czas obawę , że dostanę perma bana na steamie/cs-ie a tego też bym chciał uniknąć. Boję się logować do banku, czy poczty/steama. Nie pamiętam gdzie mam klucz aktywacyjny do win (można to wyciągnąć z postawionego systemu?). Nie pamiętam kiedy stawiałem ostatnio system :frowning: Za czasów gimnazjum system stawiało się dwa razy w miesiącu i częściej. Dzisiaj pociąg mi trochę odjechał.

Podpowiedz mi proszę jak mam się zabezpieczyć przed podobnymi atakami? W jakie programy powinienem się zaopatrzyć?

@iJuliusz

Bardzo dziękuję za pomoc! Mam nadzieję, że na razie wszytko jest w porządku. Poniżej sklejam raport z delfixa

DelFix v1.013 - Logfile created 04/02/2021 at 20:08:25

Updated 17/04/2016 by Xplode

Username : Marcin - DESKTOP-O8F7184

Operating System : Windows 10 Enterprise (64 bits)

~ Removing disinfection tools …

Deleted : C:\FRST
Deleted : C:\Users\Marcin\Downloads\adwcleaner_8.0.9.1.exe
Deleted : C:\Users\Marcin\Downloads\FRST64.exe
Deleted : HKLM\SOFTWARE\AdwCleaner

########## - EOF - ##########

Poproszę jeszcze o poradę w jaki antywirus/inne oprogramowanie powinienem się zaopatrzyć, żeby uniknąć podobnych sytuacji w przyszłości?

1lajk

Malwarebytes może być co najwyzej dodatkiem do AV.
Zajrzyj na testy.


lub

W tym drugim nawet nie jest dostrzeżony.

Odinstaluj to i zainstaluj coś porządnego. Ale jesli chcesz to miec to odinstaluj i zainstaluj ponownie ale jego systemowym deinstalatorem bo inaczej sporo smieci po nim i te same błędy.