Malwina Opublikowano 25 Czerwca 2022 Zgłoś Udostępnij Opublikowano 25 Czerwca 2022 Cześć, Od jakiegoś czasu zauważyłam znaczące spowolnienie działania komputera, ale byłam przekonana, że to kwestia jego wieku (10 lat). Do tej pory korzystałam tylko z Microsoft Defender, nie miałam zainstalowanych dodatkowych antywirusów. Przedwczoraj dostałam komunikat z facebooka, że ktoś próbował się zalogować z nieznanej mi przeglądarki. Zdziwiło mnie to, ale tylko zaznaczyłam, że to nie byłam ja i ustawiłam nowe hasło. Wczoraj jednak nie mogłam zalogować się do fb, przy próbie odzyskania hasła za pomocą maila okazało się, że do niego hasło też nie zadziałało. Udało mi się odzyskać maila, a tam zastałam komunikaty z onetu sprzed kilku dni (nie jest to moja główna skrzynka, dlatego nie zaglądam tam regularnie) o nowych logowaniach z dziwnych lokalizacji i alert bezpieczeństwa "Otrzymujesz od nas tę wiadomość ponieważ istnieje uzasadniona obawa, że Twój komputer jest zainfekowany przez wirusa/trojana. Przypuszczamy że wirus/trojan przejął kontrolę nad Twoją skrzynką mailową i wysyła SPAM w Twoim imieniu.". Do tego doszły też 3 wiadomości "ALERT - I'm hacked your computer and stolen your personal data and photo!" oczywiście z podanym moim hasłem, informacją, że mają nagrania z mojej kamerki i pulpitu oraz żądaniem okupu, żeby nie zostały opublikowane. Wiem, że to fake i próba wyłudzenia. Pozmieniałam hasła, na fb ustawiłam inny mail, ściągnęłam 3 programy antywirusowe (w załączeniu raport malwarebytes i zrzuty z kwarantanny comodo). Mam prośbę o przejrzenie raportów z FRST i pomoc w definitywnym pozbyciu się tego dziadostwa. Przy skanowaniu w filtrowaniu nie zaznaczyłam opcji "Jeden miesiąc", bo nie było jej w screenach w instrukcji. Jeśli powinna być włączona, proszę o informację, to uruchomię to jeszcze raz. malwarebytes raport 2022 06 24.txt Addition.txt FRST.txt Shortcut.txt malwarebytes raport 2022 06 25.txt Odnośnik do komentarza
jessica Opublikowano 25 Czerwca 2022 Zgłoś Udostępnij Opublikowano 25 Czerwca 2022 W zasadzie to tylko kosmetyka + resztki po infekcji. Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) (FRST sam wyszuka w schowku Systemowym) Spoiler START:: C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\makrusze\my_downloader_installer.exe HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&ts=1393444484 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms} HKU\S-1-5-21-285633661-3854684881-818343512-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms} HKU\S-1-5-21-285633661-3854684881-818343512-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms} SearchScopes: HKU\S-1-5-21-285633661-3854684881-818343512-1005 -> DefaultScope {D271A1C1-F747-4190-806D-B9BA84CB1995} URL = BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku Toolbar: HKLM - Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files (x86)\Epson Software\Easy Photo Print\EPTBL.dll Brak pliku HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Brak pliku) HKU\S-1-5-21-285633661-3854684881-818343512-1002\...\StartupApproved\Run: => "Akamai NetSession Interface" FirewallRules: [{45D4ACB4-32FF-4E8B-81F2-24AF09491205}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku FirewallRules: [{511A9124-6FC5-4545-BEBC-2DAD944D3FD1}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku FirewallRules: [{50361BE8-4E14-4FD6-9499-CC8CB7E3DCBF}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku FirewallRules: [{203257F6-A999-4D6A-99DE-9B9ECA5028EA}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku FirewallRules: [{8AFC1FDD-D719-43A9-9691-9DC4C43B0693}] => (Allow) C:\Program Files\Condusiv Technologies\IntelliMemory\IntelliMem.exe => Brak pliku FirewallRules: [{A54B7D91-723E-4651-9412-C0AA509D77BF}] => (Allow) C:\Program Files\Condusiv Technologies\IntelliMemory\IntelliMem.exe => Brak pliku FirewallRules: [{D462C059-263D-4EA3-BDC2-CEAB04E0B089}] => (Allow) C:\Program Files (x86)\HP\hp software update\hpwucli.exe => Brak pliku FirewallRules: [{9416316A-CFA1-4B8B-82D5-F0224E8337EB}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqusgh.exe => Brak pliku FirewallRules: [{6315EC5F-E688-4B44-ADA6-844D2267120C}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqusgm.exe => Brak pliku FirewallRules: [{03B957D1-5DEB-48CB-B384-F92D1B2A5ADE}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe => Brak pliku FirewallRules: [{D97E584F-EAFD-45C3-AE4D-0EC0E00078FD}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgplgtupl.exe => Brak pliku FirewallRules: [TCP Query User{BB4F4AB2-5FC0-474F-8C20-7E44CC17474F}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku FirewallRules: [UDP Query User{CB0E0F14-FA83-452C-A845-A0C830DAD262}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku FirewallRules: [TCP Query User{212C1749-99A9-4D73-A573-0C532D3E9220}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku FirewallRules: [UDP Query User{0311AA14-49CC-42A3-A5A5-8598AD269D83}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA GroupPolicyUsers\S-1-5-21-285633661-3854684881-818343512-1005\User: Ograniczenia <==== UWAGA GroupPolicyUsers\S-1-5-21-285633661-3854684881-818343512-1002\User: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {06616497-F432-4EC2-A1FD-6946B88E05BF} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe (Brak pliku) Task: {21D6BC69-B9DA-422C-A35A-F8E5606C3415} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {23D53C9B-3E3A-4BE2-88B1-C717D292D1F6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {248B5EFF-3EDC-4EDE-BC2B-C6972F3195C0} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe join (Brak pliku) Task: {3B8C1C8F-B2EB-4B5A-AC14-CD8BF552AB80} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {3C9C5D0A-6958-48BA-8A87-E8B2DE4E4692} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {61076A7E-2738-4B2E-A4F8-F788E533F30B} - System32\Tasks\{BD2C3226-AEBA-4336-87B6-5920CEABA76D} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Bullfrog\Theme Park World\tp.exe" -d "C:\Program Files (x86)\Bullfrog\Theme Park World" Task: {8120559B-D7A9-412C-9A1C-6DF75385811A} - \WPD\SqmUpload_S-1-5-21-285633661-3854684881-818343512-1002 -> Brak pliku <==== UWAGA Task: {81C9C350-59DC-495E-B9AD-AF705862323A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {886D846D-81C8-4407-A059-46B473F3809D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {9B2127EC-8F8D-4334-B043-177EA5FB069C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {9CFDCA58-0A88-499E-A7D7-5313713ED3C9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {A54401F8-1801-40A5-B232-9BBE8AF1294D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {AA9ACB85-D82D-43DE-A73E-AA04DBFC3DAC} - System32\Tasks\{281F78A8-5C5F-4902-88E9-8D2C95FB21B1} => C:\windows\system32\pcalua.exe -a D:\livebox.exe -d D:\ Task: {EBF9207E-D7A2-4D31-88F8-AE674493D4CF} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA Task: {F26CC89C-4D9E-4009-ACC9-156EC1A87F87} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {F5CDA03A-0F4C-431F-9EC7-D63BFDD7B3D3} - \WPD\SqmUpload_S-1-5-21-285633661-3854684881-818343512-1006 -> Brak pliku <==== UWAGA FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF => nie znaleziono EmptyEventLogs: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
Malwina Opublikowano 25 Czerwca 2022 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2022 Bardzo dziękuję za pomoc! Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się