Mironeso Opublikowano 2 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2018 (edytowane) Witam, Wczoraj przyszedł do mnie email z żądaniem okupu, pod groźbą publikacji niektórych moich treści. Wygląda na wysyłany z automatu, ale... standardowo wywaliłbym to do kosza, jednak wysyłający podał tam moje hasło. Stare bo stare, prawdopodobnie już nigdzie go nie używam, ale jednak używałem kiedyś w przeszłości. W tej sytuacji dopuszczam, że szantażysta rzeczywiście (jak pisze) podczepił mi trojana (acz musiałoby to być naprawdę dawno temu). Przyglądałem się pracy systemu, zasadniczo poza (może) większym niż normalnie użyciem procka nic nie widzę. W załączeniu logi. Addition.txt FRST.txt Shortcut.txt Edytowane 2 Sierpnia 2018 przez Miszel03 Drobne poprawki treści. //Miszel03 Odnośnik do komentarza
Mironeso Opublikowano 10 Sierpnia 2018 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2018 chciałbym się nieśmiało przypomnieć Odnośnik do komentarza
picasso Opublikowano 15 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 15 Sierpnia 2018 W raportach nie widzę żadnych obiektów pasujących do funkcjonalności trojana lub innego monitoringu. PS. Możesz uruchomić kosmetyczny skrypt usuwający szczątki po aktualizacji z Windows 7 do Windows 10, oraz odinstalowanych programach. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.yahoo.com/?fr=vmn&type=auslog_ya_hp SearchScopes: HKU\S-1-5-21-2399471354-2781755390-4139130681-1000 -> DefaultScope {76DEFAE6-09B2-40B2-8F8A-5A6A5D5CE4EB} URL = hxxps://search.yahoo.com/search/?toggle=1&cop=mss&ei=UTF-8&fr=vmn&type=auslog_ya_ch&p={searchTerms} SearchScopes: HKU\S-1-5-21-2399471354-2781755390-4139130681-1000 -> {76DEFAE6-09B2-40B2-8F8A-5A6A5D5CE4EB} URL = hxxps://search.yahoo.com/search/?toggle=1&cop=mss&ei=UTF-8&fr=vmn&type=auslog_ya_ch&p={searchTerms} HKLM\...\StartupApproved\Run: => "vdcss" HKLM\...\StartupApproved\Run: => "tvncontrol" HKLM\...\StartupApproved\Run: => "UnlockerAssistant" HKLM\...\StartupApproved\Run: => "HP Software Update" HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\...\StartupApproved\Run: => "Uninstall C:\Users\Piotr\AppData\Local\Microsoft\OneDrive\17.3.5892.0626" HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\...\StartupApproved\Run: => "uTorrent" HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_555C9C84E87400ED348C4CD617569470" U3 aswbdisk; Brak ImagePath ShellIconOverlayIdentifiers: [ OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => -> Brak pliku ShellIconOverlayIdentifiers: [ OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => -> Brak pliku ShellIconOverlayIdentifiers: [ OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => -> Brak pliku Task: {1A1121A1-08F0-4942-BBA5-31DFDFB089C3} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {1A98F843-9700-46D9-B47E-5A0B17653020} - System32\Tasks\IObitSelfCheckTask => C:\Program Files\IObit\Smart Defrag\IObitSelfCheck.exe Task: {1ACB854E-E0CF-4341-8D2D-75BBB958BC20} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {2EC6C6BC-C517-4514-BC85-D35ADCC346F7} - System32\Tasks\Avast Software\Overseer => C:\Program Files\AVAST Software\Avast\setup\overseer.exe Task: {39B1A940-F6AB-4957-878E-403DAEA2F90D} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5AF24127-A8EF-4D41-8089-5909BFFAB13F} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe Task: {65AC2595-1FD2-493D-8920-8B699ABE48E6} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {72001CCE-615B-4525-AD47-C65773853DAB} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {8D1E148B-48BA-4F95-BA99-D39D5895368D} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {8EE43131-902E-4597-B76D-8598710666F2} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {916BA7FD-A5E6-4F6C-9CD1-A7021817A082} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {977012BC-715A-4E89-87A4-44A7EA454052} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {98FFE0D5-FC49-46E7-9F91-B9DC9D19C5AC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9AE90ADC-AC65-4A10-96DB-CAE8DF88CEF8} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9BFB8F36-5F82-4B87-9462-45D30A8B346E} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {A901EADA-7274-4037-AE9D-8DFEFA5630AC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {AC5E7E33-4E1D-4EE5-AF3E-AF524C98C7C4} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {B3037A25-B8E8-4C3F-B5DF-F3E05B4E9E80} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {BCDD542D-7506-4C2B-91F7-BF4B57E6199E} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {BDA8EBF5-6289-4824-923E-BA8DEAFF743B} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {C3A24FBB-73A9-48BB-AD49-A125AD889504} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe Task: {C63FBABA-983F-44D4-8081-8ABB3C2BE749} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe Task: {E0E57650-35B3-49CA-9053-A3F7C158CD08} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {EC983AE2-8277-43E5-8615-D0D3D9047EC2} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Users\Piotr\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Piotr\Desktop\chapters — skrót .lnk C:\WINDOWS\Reimage.ini C:\WINDOWS\ehome C:\Windows\System32\accesschk.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Odnośnik do komentarza
Mironeso Opublikowano 18 Sierpnia 2018 Autor Zgłoś Udostępnij Opublikowano 18 Sierpnia 2018 Dzięki :) Log w załączeniu Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się