Prośba do informatyków

[marcinskc]

Witam wszystkich. Dzisiaj dostałem z allegro maila o takiej treści
Twój adres e-mail w Allegro zostanie zmieniony.

Informujemy, że Twój e-mail w Allegro (zalek100@poczta.onet.pl) ulegnie zmianie na: zalek100@dobrytata.pl.
O zmianę wystąpiono 19-07-2012 15:07:49 z komputera o numerze IP 65.49.14.73.
Aby nowy adres zaczął funkcjonować, należy potwierdzić zmianę - szczegóły w wiadomości przesłanej na nowy adres: zalek100@dobrytata.pl.

Problem w tym, że ja o nic takiego nie wnioskowałem.
Wychodząc z pracy napisałem do allegro, że najprawdopodobniej ktoś przejął moje konto na allegro.
Przyjechałem do domu, odpaliłem pocztę a tam info że kupiłem 12 przedmiotów głównie elektronika za ok 30 tys zł.
Zadzwoniłem do kazdej osoby u której ktoś kupił przedmiot na moje konto z informacją aby nic nie wysyłali, bo moje konto zostalo przejęte.
Z mojego maila wysyła wiadomości o treści:
Hi,
I won your item on Allegro and am Ok with the cost of the item i will like you to give me the shipment cost to Ghana through EMS Pocztex.. then i will like to know your asking price for the package plus the shipping cost through EMS post to Ghana and also give me your name and address that you want me to make the payment for you so that i can make the payment as soon as possible Ok. so i await for this details such as

Your Full Name:
Account number:
Bank Name:
Phone Number:
Total cost for the package and the shipment through EMS:

I hope to hear from you so that i can make the payment OK.
Regards.
Zmieniłem hasło do poczty i nadal wysyłał, poszperałem w ustawieniach poczty i znalazłem w zakładce Twoie dane - dane prywatne - dane kontaktowe adresy email: taki oto mail zalek100@dobrytata.pl.
Od razu go usunąłem z tych danych, znów zmieniłem hasło i od 2 godz cisza, nic nie wysyła.
Przeskanowałem kompa programem malwarebytes anti-malware oraz mksvirem online i nic nie zostało znalezione.
Co to k..wa ma być? Jak z tym walczyć?
Zablokowali mi też konto na allegro.

[voivodpk2]

Skanowanie swoją droga , 99% skuteczność ma format kompa.

Możliwe że złapałeś jakiegoś wirka bądź pobrałeś jakieś oprogramowanie np crack , keygen i to jest jakimś keylogerem/trojanem i wysyła dane z twojego komputera.
W tym wypadku najlepiej zmienić wszędzie hasło, dlatego nie powinno mieć takich samych haseł do kilku stron.
Do spamowych rzeczy używać jakiego badziewnego maila a do allegro czy kont bankowych innego(unikalnego) z mocnym hasłem (0-9 a-z A-Z [!@#$%^&^)}{] )

Osobiście używam Kaspersky Internet Security i takiej akcji już od wielu lat nie miałem.
No i główna zasada , używać jednego kompa do logowania !


@
Ip pochodzi z jakiegoś proxy do ataków (nawet ciężko określić lokalizacje), możliwe ze jest to botnet bądź jakieś inne dziadostwo
http://www.ip-adress.com/ip_tracer/65.49.14.73

[Lisu]

Klasyczne przejęcie konta - dobrze, że napisałeś do obsługi Allegro wyjaśniając co się stało. Powinni anulować wszystkie Twoje zakupy dokonane po przejęciu i wycofać oferty. W tym przypadku akurat wiem, że raczej nie robią problemów. Co do formatu - raczej nie będzie potrzebny. Proponuję skan tak jak pisze kolega Kasperskym, ale również zainstaluj darmowy Microsoft Security Essentials. Kaspersky pożera pamięć komputera, MSE chodzi w tle po cichutku i jak na razie nie mam żadnych wirusowych problemów.

Powodzonka

[marcinskc]

Póki co zainstalowałem Malwarebytes Anti-Malware i nim przeskanowałem. Nic nie znalazł.

[adi610]

może logowałeś się w jakimś miejscu i przeglądarka zapisała hasło ?

[Damo 88]

Czasem tak jest że hasło zostaje ja po wylogowaniu z własnego konta Np : Bankowego kasuje wszystkie ciasteczka itp. w przeglądarce w mozilla działa to tak ( pryciskamy jednoczesnie CTRL, SHIFT,DEL ) i wyskakuje okienko . Używam Kaspersky internet seciurity . Pierwsze 30 dni bezpłatnie . jak po czytasz to kolejne również . A nigdy nie zaznaczam opcji zapamiętaj podczas logowania .

Miałem zrobione zakupy zamorskie z dwa razy lecz odkąd stosuję te metody na razie mam spokój . Jest jeszcze inna opcja dostania się wirusa , wystarczy że podłączysz obce USB wirus sam się instaluje . W Program kasperski automatycznie pyta czy skanować nowo podłączone urządzenie .

Inna metoda pozyskiwania hasła wystarczy że użyjesz klawiatury , ale jak wpisać hasła nie ozywając jej . Znowu Kaspesky ma ikonkę w przeglądarce o nazwie Wirtualna Klawiatura , używasz Myszki

Wszystkie dwie transakcje Bank zwrócił .

[emils]

Proponuje też ściągnąć (darmowy) program Hijackthis. Po uruchomieniu programu masz przycisk "scan and save logfile". Naciskasz i po otworzeniu się notatnika, w którym masz log z programu wklejasz wszystko tutaj http://www.hijackthis.de/
Plik wklej tutaj. Zobaczymy czy coś masz. W kazdym razie stronka też wyłapuje podejrzane pliki.

Ogólnie najlepiej skanować kompa wchodząc w tryb awaryjny. Czyli przy włączaniu kompa naciskasz cały czas F8 i wybierasz tryb awaryjny. Wtedy skanowanie ma większą "moc".

[marcinskc]

Plik wklej tutaj. Zobaczymy czy coś masz.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 20:20:14, on 2012-07-21
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Acer\Acer VCM\RS_Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\PLFSetL.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\PLFSetI.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Acer\Acer VCM\AcerVCM.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Program Files\Informator\Paseczek.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtblfs.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACA ... 5w6592475s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT2206084
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACA ... 5w6592475s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com/?crg=3.1010000&st=10
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
R3 - URLSearchHook: Softonic Deutsch FF Toolbar - {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Pomocnik rejestracji usługi Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Softonic Deutsch FF Toolbar - {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.5612.1312\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Softonic Deutsch FF Toolbar - {9d81af43-de53-48d0-a199-42c2a226b24c} - C:\Program Files\Softonic_Deutsch_FF\tbSoft.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\Audio\Drivers\AzMixerSel.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PLFSetL] C:\WINDOWS\PLFSetL.exe
O4 - HKLM\..\Run: [snp2uvc] rundll32.exe C:\WINDOWS\system32\csnp2uvc.dll,ResetCIDS
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PLFSetI] C:\WINDOWS\PLFSetI.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Program Files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [iPlusManager] C:\Program Files\iPlus\iPlusChecker.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ABBYY Screenshot Reader Bonus] "C:\Program Files\ABBYY PDF Transformer 3.0\Bonus.ScreenshotReader.exe" -autorun
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer VCM.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: Dodaj do listy blokowanych banerów - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Wyślij do interfejsu Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Wyślij do urządzenia &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Wpis w blogu - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Wpis w blogu w Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Wyślij do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Wyślij &do programu OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: &Klawiatura wirtualna - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\ievkbd.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: &Sprawdzanie adresów internetowych - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\klwtbbho.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} - http://www.mks.com.pl/skaner/SkanerOnline.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Acer\Acer VCM\Skype4COM.dll
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL,C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Moduł wstępnego ładowania interfejsu Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demon buforu kategorii składników - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Usługa Kaspersky Anti-Virus (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files\Acer\Acer VCM\RS_Service.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/MARCIN~1/USTAWI~1/Temp/msohtmlclip1/01/clip_image002.jpg

--
End of file - 13636 bytes
Mam coś?

[ppamula]

masz , oczywiście że masz
ale tak się tego nie naprawi

[saywer]

Powiem tak, combofix

http://www.bleepingcomputer.com/downloa ... fix/dl/12/

Jeszcze nigdy się na tym nie zawiodłem, wywala większość śmieci z którymi sobie nie dają rady Kaspersky, Avast czy Symantec. Naprawdę pomocny programik. Najlepiej uruchom komputer w trybie awaryjnym z obsługa sieci i uruchom program. Jak ci się nie uda wejść w tryb awaryjny , to uruchom go w trybie normalnym.

Jeśli chodzi o samą sprawę z przechwyceniem konta na allegro, to wcale nie musi być wina zainfekowanego komputera, najzwyczajniej w świecie mogli się włamać na twoje konto łamiąc po prostu słabe hasło, ale scenariuszy może być wiele. Oczywiście na początek podejrzany jest komputer.

[emils]

Tutaj może tylko pomóc combofix.
Zdecydowanie polecam, bo przez HJ ciężko będzie to wywalić (niby sie usunie, ale jeśli to wirus-wróci za moment).
Zrób jak zrobił saywer i wrzuć log jeszcze raz.

[orzyl]

potwierdzam. Combofix. Na czas jego działania dobrze wyłączyć ochronę antywirusową. Po jego działaniu zainstaluj jakis antywirus nawet darmowy. AVG, Microsoft Essentials, Kaspersky.

[orzyl]

a odnosnie hasła. zawsze możesz użyć generowanego hasła np 12 znakowego i trzymać je np. w KeePass

generator - http://www.adgraf.net/generator_hasel.php
keepass - http://keepass.info/

polecam. sam używam.

[marcinskc]

Po skanowaniu polecanym przez was programem Combofix:

ComboFix 12-07-26.03 - Marcin Zalewski 2012-07-25 17:34:33.1.2 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1250.48.1045.18.1014.361 [GMT 2:00]
Uruchomiony z: c:\documents and settings\Marcin Zalewski\Moje dokumenty\Downloads\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Outdated* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *Disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}
* Utworzono nowy punkt przywracania
.
.
((((((((((((((((((((((((((((((((((((((( Usunięto )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Marcin Zalewski\Dane aplikacji\.#
c:\program files\iplus
c:\program files\iplus\commanderFix.exe
c:\program files\iplus\countries.eng
c:\program files\iplus\countries.pl
c:\program files\iplus\Drivers\difxapi.dll
c:\program files\iplus\Drivers\Driver\GTHSxPA\GT50Ip.sys
c:\program files\iplus\Drivers\Driver\GTHSxPA\GT51Ip.sys
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72mdm.cat
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72mdm.inf
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72ndis.cat
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72ndis.inf
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72sc.cat
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72sc.inf
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72ser.cat
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72ser.inf
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72ubus.cat
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72ubus.inf
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72ubus.sys
c:\program files\iplus\Drivers\Driver\GTHSxPA\gt72ubus2k.sys
c:\program files\iplus\Drivers\Driver\GTHSxPA\GtDetectSc.exe
c:\program files\iplus\Drivers\Driver\GTHSxPA\gtfubus.cat
c:\program files\iplus\Drivers\Driver\GTHSxPA\GtFubus.inf
c:\program files\iplus\Drivers\Driver\GTHSxPA\gtptser.sys
c:\program files\iplus\Drivers\Driver\GTHSxPA\gtscser.sys
c:\program files\iplus\Drivers\driverInstallation.log
c:\program files\iplus\Drivers\driverInstaller.exe
c:\program files\iplus\Drivers\GTM380-drivers-list-vista.txt
c:\program files\iplus\en\iplus.mo
c:\program files\iplus\eng.lang
c:\program files\iplus\help\IPlus_Manager_User_Manual.pdf
c:\program files\iplus\help\Podrecznik_Uzytkownika_IPlus_Manager.pdf
c:\program files\iplus\iPlusChecker.exe
c:\program files\iplus\iPlusManager.exe
c:\program files\iplus\iPlusManager.ini
c:\program files\iplus\license.rtf
c:\program files\iplus\log\openssl.exe
c:\program files\iplus\log\plus.pem
c:\program files\iplus\NDISAPI.dll
c:\program files\iplus\networks.dat
c:\program files\iplus\PaseczekControlAPI.dll
c:\program files\iplus\pl.lang
c:\program files\iplus\pl\iplus.mo
c:\program files\iplus\resources.dat
c:\program files\iplus\tools.exe
c:\program files\iplus\unins000.dat
c:\program files\iplus\unins000.exe
c:\program files\iplus\uninstallTool.exe
c:\program files\iplus\update.exe
c:\program files\iplus\update\update.ini
c:\program files\iplus\userPrefs.def
.
.
((((((((((((((((((((((((( Pliki utworzone od 2012-06-25 do 2012-07-25 )))))))))))))))))))))))))))))))
.
.
2012-07-21 18:18 . 2012-07-21 18:18 388096 ----a-r- c:\documents and settings\Marcin Zalewski\Dane aplikacji\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe
2012-07-21 18:18 . 2012-07-21 18:18 -------- d-----w- c:\program files\Trend Micro
2012-07-21 17:58 . 2012-07-21 17:58 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2012-07-21 17:58 . 2012-07-03 11:46 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2012-07-21 08:25 . 2012-07-21 08:25 -------- d-----w- c:\program files\Conduit
2012-07-21 08:25 . 2012-07-21 08:25 -------- d-----w- c:\documents and settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Softonic_Deutsch_FF
2012-07-21 08:25 . 2012-07-21 08:25 -------- d-----w- c:\documents and settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\ConduitEngine
2012-07-21 08:25 . 2012-07-21 08:25 -------- d-----w- c:\program files\Softonic_Deutsch_FF
2012-07-20 16:39 . 2012-07-20 16:39 97961 ----a-w- c:\windows\system32\drivers\klick.dat
2012-07-20 16:39 . 2012-07-20 16:39 115369 ----a-w- c:\windows\system32\drivers\klin.dat
2012-07-20 16:37 . 2012-07-24 14:44 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Kaspersky Lab
2012-07-20 16:37 . 2012-07-20 16:37 -------- d-----w- c:\program files\Kaspersky Lab
2012-07-19 16:09 . 2012-07-19 16:09 -------- d-----w- c:\documents and settings\Marcin Zalewski\Dane aplikacji\Malwarebytes
2012-07-19 16:09 . 2012-07-19 16:09 -------- d-----w- c:\documents and settings\All Users\Dane aplikacji\Malwarebytes
.
.
.
(((((((((((((((((((((((((((((((((((((((( Sekcja Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-13 13:55 . 2009-09-25 00:53 1866368 ----a-w- c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2009-09-25 00:52 1372672 ----a-w- c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2009-09-25 00:52 1172480 ----a-w- c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2009-09-25 00:52 152576 ----a-w- c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2009-09-24 15:09 329240 ----a-w- c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2009-09-24 15:09 210968 ----a-w- c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2009-09-24 15:09 219160 ----a-w- c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2009-08-06 17:24 15896 ----a-w- c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2009-08-06 17:24 24088 ----a-w- c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2009-09-25 00:52 97304 ----a-w- c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-09-24 15:09 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2009-09-24 15:09 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-08-06 17:24 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2009-08-06 17:24 16408 ----a-w- c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2009-09-24 15:09 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2009-09-24 15:09 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-02 13:19 . 2009-08-06 17:23 18968 ----a-w- c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:18 . 2010-09-09 07:38 214256 ----a-w- c:\windows\system32\muweb.dll
2012-06-02 13:18 . 2010-09-09 07:38 18160 ----a-w- c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2010-09-09 07:38 275696 ----a-w- c:\windows\system32\mucltui.dll
2012-05-31 13:22 . 2009-09-25 00:52 602624 ----a-w- c:\windows\system32\crypt32.dll
2012-05-16 15:09 . 2009-09-25 00:53 916992 ----a-w- c:\windows\system32\wininet.dll
2012-05-11 14:44 . 2009-09-25 00:52 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-05-11 14:44 . 2009-09-25 00:52 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2012-05-11 11:39 . 2009-09-25 00:52 385024 ----a-w- c:\windows\system32\html.iec
2012-05-05 03:14 . 2008-04-14 21:59 2149888 ----a-w- c:\windows\system32\ntoskrnl.exe
2012-05-05 03:14 . 2008-04-14 21:59 2028032 ----a-w- c:\windows\system32\ntkrnlpa.exe
2012-05-02 13:47 . 2009-09-24 15:08 139656 ----a-w- c:\windows\system32\drivers\rdpwd.sys
.
.
((((((((((((((((((((((((((((((((((((( Wpisy startowe rejestru ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Uwaga* puste wpisy oraz domyślne, prawidłowe wpisy nie są pokazane
REGEDIT4
.
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9d81af43-de53-48d0-a199-42c2a226b24c}"= "c:\program files\Softonic_Deutsch_FF\tbSoft.dll" [2010-10-18 3908192]
.
[HKEY_CLASSES_ROOT\clsid\{9d81af43-de53-48d0-a199-42c2a226b24c}]
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-10-18 10:26 3908192 ----a-w- c:\program files\ConduitEngine\ConduitEngine.dll
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9d81af43-de53-48d0-a199-42c2a226b24c}]
2010-10-18 10:26 3908192 ----a-w- c:\program files\Softonic_Deutsch_FF\tbSoft.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9d81af43-de53-48d0-a199-42c2a226b24c}"= "c:\program files\Softonic_Deutsch_FF\tbSoft.dll" [2010-10-18 3908192]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-10-18 3908192]
.
[HKEY_CLASSES_ROOT\clsid\{9d81af43-de53-48d0-a199-42c2a226b24c}]
.
[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-07-12 39408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-18 178712]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
"AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2006-07-17 53248]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-15 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-15 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-15 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-15 455168]
"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
"snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2009-02-16 196608]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"RTHDCPL"="RTHDCPL.EXE" [2009-08-24 18702336]
"PLFSetI"="c:\windows\PLFSetI.exe" [2008-07-29 200704]
"OSSelectorReinstall"="c:\program files\Common Files\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-02-22 2209224]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" [2011-04-24 202296]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-07-03 462920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-15 15360]
.
c:\documents and settings\All Users\Menu Start\Programy\Autostart\
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-9-25 565248]
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2009-5-8 607584]
Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Zdalne zarządzanie systemem Windows
.
R1 kl2;kl2;c:\windows\system32\drivers\kl2.sys [2011-03-04 11352]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [2012-07-21 655944]
R2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [2009-09-25 237568]
R3 GT72NDISIPXP;GT 72 IP NDIS;c:\windows\system32\drivers\Gt51Ip.sys [2009-03-06 106112]
R3 GT72UBUS;GT 72 U BUS;c:\windows\system32\drivers\gt72ubus.sys [2009-03-06 59008]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [2011-03-10 34608]
R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [2009-11-02 19472]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [2009-09-25 38912]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-07-21 22344]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [2009-09-25 1684736]
S3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RTS5121.sys --> c:\windows\system32\Drivers\RTS5121.sys [?]
S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]
.
Zawartość folderu 'Zaplanowane zadania'
.
2012-07-20 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3973020173-757298511-4166307882-1006Core.job
- c:\documents and settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2012-02-10 09:59]
.
2012-07-24 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-3973020173-757298511-4166307882-1006UA.job
- c:\documents and settings\Marcin Zalewski\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe [2012-02-10 09:59]
.
.
------- Skan uzupełniający -------
.
mStart Page = hxxp://home.sweetim.com/?crg=3.1010000&st=10
IE: E&ksportuj do programu Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Wyślij do interfejsu Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Wyślij do urządzenia &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
TCP: DhcpNameServer = 194.204.159.1 194.204.152.34
.
- - - - USUNIĘTO PUSTE WPISY - - - -
.
HKCU-Run-ABBYY Screenshot Reader Bonus - c:\program files\ABBYY PDF Transformer 3.0\Bonus.ScreenshotReader.exe
HKLM-Run-iPlusManager - c:\program files\iPlus\iPlusChecker.exe
AddRemove-iPlus manager_is1 - c:\program files\iPlus\unins000.exe
AddRemove-RealAlt_is1 - d:\real alternative\unins000.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-25 17:46
Windows 5.1.2600 Dodatek Service Pack 3 NTFS
.
skanowanie ukrytych procesów ...
.
skanowanie ukrytych wpisów autostartu ...
.
skanowanie ukrytych plików ...
.
skanowanie pomyślnie ukończone
ukryte pliki: 0
.
**************************************************************************
.
--------------------- Pliki DLL ładowane pod uruchomionymi procesami ---------------------
.
- - - - - - - > 'winlogon.exe'(1592)
c:\windows\system32\igfxdev.dll
.
Czas ukończenia: 2012-07-25 17:52:02
ComboFix-quarantined-files.txt 2012-07-25 15:51
.
Przed: 27 109 560 320 bajtów wolnych
Po: 27 516 928 000 bajtów wolnych
.
WindowsXP-KB310994-SP2-Home-BootDisk-PLK.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 88C947E9BE3F6B4B2DB5B5B6798D1A56

[orzyl]

no to usunął Ci dość dużo (tak jakbys mial soft od iplusa zainfekowany). Teraz jak mówiłem. AV + weryfikacja zbędnego softu i powinno być dobrze. odnośnie allegro juz wiesz co masz robić