Włamywanie na FB / Konto T-Mobile

Post20 maja 2016, 21:28

Witam. Dostałem laptopa znajomej z dość oryginalnym problemem. Mianowicie jej były mąż ma prawdopodobnie dostęp do jej komputera, czasami wystarczy że gdzieś zadzwoni ze swojego telefonu, a on za minute bądź dwie potrafi zadzwonić i pyta się, o czym rozmawiała z daną osobą, przychodzą jej kody potwierdzające do logowania się w T-Mobile, próby włamania na Facebook (pokazywała się wiadomość, że ktoś z tej lokalizacji próbował się włamać na konto, gdzie akurat on mieszka) i takie różne szopki.

Oto logi FRST i OTL.

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

Z góry dziękuję za pomoc

Post21 maja 2016, 10:17

Jeżeli Keylogger ukrywa się po folderach dłużej niż miesiąc w logach tego nie zobacze. Od tego są skanery - Malwarebytes. Ale to na koniec.

(TeamViewer GmbH) C:\Users\User\AppData\Local\Temp\TeamViewer\TeamViewer_Service.exe

Uruchomiony był w tym momencie TeamViewer - po co ?

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 Tosrfcom; Brak ImagePath
FF HKLM-x32\...\Firefox\Extensions: [{27182e60-b5f3-411c-b545-b44205977502}] - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension\SearchHelperExtension
FF Extension: Search Helper Extension - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\firefoxextension\SearchHelperExtension [2016-05-16] [Brak podpisu cyfrowego]
FF HKLM-x32\...\Firefox\Extensions: [msntoolbar@msn.com] - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\Firefox
FF Extension: Bing Bar - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\Firefox [2016-05-16] [Brak podpisu cyfrowego]
FF Plugin-x32: @Microsoft.com/NpWinExt,version=5.0 -> C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll [2010-04-27] (Microsoft Corporation)
Toolbar: HKLM-x32 - @C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll [2010-04-27] (Microsoft Corporation)
BHO-x32: Bing Bar BHO -> {d2ce3e00-f94a-4740-988e-03dc2f38c34f} -> C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\npwinext.dll [2010-04-27] (Microsoft Corporation)
BHO-x32: Search Helper -> {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} -> C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll [2010-01-14] (Microsoft Corporation)
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Bing Bar] => C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1449.0\mswinext.exe [243544 2010-04-27] (Microsoft Corp.)
HKLM-x32\...\Run: [Microsoft Default Manager] => C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe [288088 2009-11-11] (Microsoft Corporation)
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Post23 maja 2016, 18:33

Zrobiłem tak jak mówisz o to log:
Fixlog:
Dostępne tylko dla zarejestrowanych użytkowników

Nowe Logi:
FRST:
Dostępne tylko dla zarejestrowanych użytkowników
OTL:
Dostępne tylko dla zarejestrowanych użytkowników

Post25 maja 2016, 13:32

Czysto.