Skocz do zawartości

Komputer po infekcji i ręcznym czyszczeniu [Logi FRST]


Rekomendowane odpowiedzi

Hej, nie dawno mój sprzęt został zainfekowany przez nierozważnego użytkownika który miał do niego dostęp.

Wstępnie sprzęt już został przeze mnie wyczyszczony na tyle ile byłem w stanie działać ręcznie wraz z dostępnymi narzędziami, mam jednak wątpliwości które wywołane są dość sporą ilością interwencji ze strony zapory sieciowej Comodo, która średnio przez dobę blokuje kilkaset adresów IP.

Wstępna analiza adresów nie wykazuje niczego konkretnego, wiem jednak że nie powinny one występować.

Zapewne znajdzie się dość sporo kosmetyki, system już dość sporo przeżył, włącznie z dużymi aktualizacjami, jak i nakładkami instalacji. Zastanawiam się nawet czy nie postawić całej konfiguracji od nowa, poczekam jednak na werdykt osób które przeanalizują logi z FRST, gdyż reinstalacja całego środowiska będzie mnie kosztować bardzo dużo czasu.

 

Dodaję jeszcze podstawową specyfikację komputera gdyby była potrzebna:

CPU: Core i7-8086k @ 5.0 GHz

MB: MSI MEG Z390 ACE LGA1151 BIOS v1.40

RAM: 32GB (4x8GB) DDR4 G.Skill 4000 MHz CL17

GPU: Nvidia GeForce GTX 1080 Ti 11GB

SSD1: Samsung 970 Evo 500GB NVMe

SSD2: Crucial MX200 250GB SATA

SSD3: ADATA XPG SX8200 1TB NVMe

HDD1: Toshiba X300 4TB SATA

HDD2: Toshiba P300 2TB SATA

HDD3: Seagate BC 2TB SATA

Display 2560x1440 155Hz + 2560x1440 60Hz

OS: Windows 10 x64 PL v1903 (Build: 18362.418)

 

- Wszystkie nośniki danych są monitorowane w czasie rzeczywistym, żaden nie zawiera żadnych błędów SMART.

 

Niżej zamieszczam logi z FRST: (konfiguracja programu standardowa).

 

Z góry dziękuje za pomoc.

Pozdrawiam.

 

FRST.txt Addition.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

S3 mracsvc; C:\Windows\System32\mracsvc.exe [16340752 2019-03-20] (Mail.Ru LLC -> LLC Mail.Ru)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [15553520 2019-03-20] (Mail.Ru LLC -> LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
C:\WINDOWS\System32\drivers\mracdrv.sys
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
GroupPolicy: Ograniczenia ? <==== UWAGA
Task: {761c980d-5826-412b-9b25-12b970334709} - Brak ścieżki do pliku
FirewallRules: [OpenSSH-Server-In-TCP] => (Allow) %SystemRoot%\system32\OpenSSH\sshd.exe Brak pliku
FirewallRules: [{473A8B0B-C61B-4F1E-98FA-892C0ED9C6F5}] => (Allow) F:\Gry\Steam Games\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe Brak pliku
FirewallRules: [{22250DBC-8010-4EC1-AF4C-DCD0423BF784}] => (Allow) F:\Gry\Steam Games\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe Brak pliku
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...