DisconnecT Opublikowano 2 Listopada 2019 Zgłoś Udostępnij Opublikowano 2 Listopada 2019 Hej, nie dawno mój sprzęt został zainfekowany przez nierozważnego użytkownika który miał do niego dostęp. Wstępnie sprzęt już został przeze mnie wyczyszczony na tyle ile byłem w stanie działać ręcznie wraz z dostępnymi narzędziami, mam jednak wątpliwości które wywołane są dość sporą ilością interwencji ze strony zapory sieciowej Comodo, która średnio przez dobę blokuje kilkaset adresów IP. Wstępna analiza adresów nie wykazuje niczego konkretnego, wiem jednak że nie powinny one występować. Zapewne znajdzie się dość sporo kosmetyki, system już dość sporo przeżył, włącznie z dużymi aktualizacjami, jak i nakładkami instalacji. Zastanawiam się nawet czy nie postawić całej konfiguracji od nowa, poczekam jednak na werdykt osób które przeanalizują logi z FRST, gdyż reinstalacja całego środowiska będzie mnie kosztować bardzo dużo czasu. Dodaję jeszcze podstawową specyfikację komputera gdyby była potrzebna: CPU: Core i7-8086k @ 5.0 GHz MB: MSI MEG Z390 ACE LGA1151 BIOS v1.40 RAM: 32GB (4x8GB) DDR4 G.Skill 4000 MHz CL17 GPU: Nvidia GeForce GTX 1080 Ti 11GB SSD1: Samsung 970 Evo 500GB NVMe SSD2: Crucial MX200 250GB SATA SSD3: ADATA XPG SX8200 1TB NVMe HDD1: Toshiba X300 4TB SATA HDD2: Toshiba P300 2TB SATA HDD3: Seagate BC 2TB SATA Display 2560x1440 155Hz + 2560x1440 60Hz OS: Windows 10 x64 PL v1903 (Build: 18362.418) - Wszystkie nośniki danych są monitorowane w czasie rzeczywistym, żaden nie zawiera żadnych błędów SMART. Niżej zamieszczam logi z FRST: (konfiguracja programu standardowa). Z góry dziękuje za pomoc. Pozdrawiam. FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 2 Listopada 2019 Zgłoś Udostępnij Opublikowano 2 Listopada 2019 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler S3 mracsvc; C:\Windows\System32\mracsvc.exe [16340752 2019-03-20] (Mail.Ru LLC -> LLC Mail.Ru) S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [15553520 2019-03-20] (Mail.Ru LLC -> LLC Mail.Ru) C:\Windows\System32\mracsvc.exe C:\WINDOWS\System32\drivers\mracdrv.sys Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} GroupPolicy: Ograniczenia ? <==== UWAGA Task: {761c980d-5826-412b-9b25-12b970334709} - Brak ścieżki do pliku FirewallRules: [OpenSSH-Server-In-TCP] => (Allow) %SystemRoot%\system32\OpenSSH\sshd.exe Brak pliku FirewallRules: [{473A8B0B-C61B-4F1E-98FA-892C0ED9C6F5}] => (Allow) F:\Gry\Steam Games\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe Brak pliku FirewallRules: [{22250DBC-8010-4EC1-AF4C-DCD0423BF784}] => (Allow) F:\Gry\Steam Games\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe Brak pliku EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
DisconnecT Opublikowano 3 Listopada 2019 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2019 Dziękuje za pomoc, skrypt został wykonany, w załączniku dorzucam fixlog. Czy to jednak wszystko co się znalazło w tym systemie? Jestem szczerze mówiąc lekko zdziwiony spodziewałem się znacznie większego bałaganu. Pozdrawiam. Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 3 Listopada 2019 Zgłoś Udostępnij Opublikowano 3 Listopada 2019 Cytat Jestem szczerze mówiąc lekko zdziwiony spodziewałem się znacznie większego bałaganu. Po Twoim wstępie też spodziewałam się większego "ambarasu", ale jest, jak jest. jessi Odnośnik do komentarza
DisconnecT Opublikowano 3 Listopada 2019 Autor Zgłoś Udostępnij Opublikowano 3 Listopada 2019 Rozumiem, wychodzi na to że że większość pozostałego syfu adware pozbyłem się ręcznie. Bardzo dziękuje za pomoc, temat można zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się