Skocz do zawartości

wolno działający komputer i zhakowany mail


Rekomendowane odpowiedzi

Cześć,

 

Od jakiegoś czasu zauważyłam znaczące spowolnienie działania komputera, ale byłam przekonana, że to kwestia jego wieku (10 lat). Do tej pory korzystałam tylko z Microsoft Defender, nie miałam zainstalowanych dodatkowych antywirusów. Przedwczoraj dostałam komunikat z facebooka, że ktoś próbował się zalogować z nieznanej mi przeglądarki. Zdziwiło mnie to, ale tylko zaznaczyłam, że to nie byłam ja i ustawiłam nowe hasło. Wczoraj jednak nie mogłam zalogować się do fb, przy próbie odzyskania hasła za pomocą maila okazało się, że do niego hasło też nie zadziałało. Udało mi się odzyskać maila, a tam zastałam komunikaty z onetu sprzed kilku dni (nie jest to moja główna skrzynka, dlatego nie zaglądam tam regularnie) o nowych logowaniach z dziwnych lokalizacji i alert bezpieczeństwa "Otrzymujesz od nas tę wiadomość ponieważ istnieje uzasadniona obawa, że Twój komputer jest zainfekowany przez wirusa/trojana. Przypuszczamy że wirus/trojan przejął kontrolę nad Twoją skrzynką mailową i wysyła SPAM w Twoim imieniu.".

Do tego doszły też 3 wiadomości "ALERT - I'm hacked your computer and stolen your personal data and photo!" oczywiście z podanym moim hasłem, informacją, że mają nagrania z mojej kamerki i pulpitu oraz żądaniem okupu, żeby nie zostały opublikowane. Wiem, że to fake i próba wyłudzenia. Pozmieniałam hasła, na fb ustawiłam inny mail, ściągnęłam 3 programy antywirusowe (w załączeniu raport malwarebytes i zrzuty z kwarantanny comodo). 

Mam prośbę o przejrzenie raportów z FRST i pomoc w definitywnym pozbyciu się tego dziadostwa. Przy skanowaniu w filtrowaniu nie zaznaczyłam opcji "Jeden miesiąc", bo nie było jej w screenach w instrukcji. Jeśli powinna być włączona, proszę o informację, to uruchomię to jeszcze raz.

Comodo 1.JPG Comodo 2.JPG

malwarebytes raport 2022 06 24.txt Addition.txt FRST.txt Shortcut.txt

malwarebytes raport 2022 06 25.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W zasadzie to tylko kosmetyka + resztki po infekcji.

Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) (FRST sam wyszuka w schowku Systemowym)

Spoiler

START::
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Users\makrusze\my_downloader_installer.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.delta-homes.com/?utm_source=b&utm_medium=wpm0226&utm_campaign=installer&utm_content=hp&from=wpm0226&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&ts=1393444484
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms}
HKU\S-1-5-21-285633661-3854684881-818343512-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms}
HKU\S-1-5-21-285633661-3854684881-818343512-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1386967862&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FC618109&q={searchTerms}
SearchScopes: HKU\S-1-5-21-285633661-3854684881-818343512-1005 -> DefaultScope {D271A1C1-F747-4190-806D-B9BA84CB1995} URL =
BHO-x32: Brak nazwy -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> Brak pliku
Toolbar: HKLM - Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Program Files (x86)\Epson Software\Easy Photo Print\EPTBL.dll Brak pliku
HKLM\software\microsoft\Windows\CurrentVersion\Telephony\Providers => ProviderFileName2 -> ndptsp.tsp (Brak pliku)
HKU\S-1-5-21-285633661-3854684881-818343512-1002\...\StartupApproved\Run: => "Akamai NetSession Interface"
FirewallRules: [{45D4ACB4-32FF-4E8B-81F2-24AF09491205}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
FirewallRules: [{511A9124-6FC5-4545-BEBC-2DAD944D3FD1}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
FirewallRules: [{50361BE8-4E14-4FD6-9499-CC8CB7E3DCBF}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
FirewallRules: [{203257F6-A999-4D6A-99DE-9B9ECA5028EA}] => (Allow) C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.100.0_x86__kzf8qxf38zg5c\Skype\Skype.exe => Brak pliku
FirewallRules: [{8AFC1FDD-D719-43A9-9691-9DC4C43B0693}] => (Allow) C:\Program Files\Condusiv Technologies\IntelliMemory\IntelliMem.exe => Brak pliku
FirewallRules: [{A54B7D91-723E-4651-9412-C0AA509D77BF}] => (Allow) C:\Program Files\Condusiv Technologies\IntelliMemory\IntelliMem.exe => Brak pliku
FirewallRules: [{D462C059-263D-4EA3-BDC2-CEAB04E0B089}] => (Allow) C:\Program Files (x86)\HP\hp software update\hpwucli.exe => Brak pliku
FirewallRules: [{9416316A-CFA1-4B8B-82D5-F0224E8337EB}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqusgh.exe => Brak pliku
FirewallRules: [{6315EC5F-E688-4B44-ADA6-844D2267120C}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqusgm.exe => Brak pliku
FirewallRules: [{03B957D1-5DEB-48CB-B384-F92D1B2A5ADE}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgpc01.exe => Brak pliku
FirewallRules: [{D97E584F-EAFD-45C3-AE4D-0EC0E00078FD}] => (Allow) C:\Program Files (x86)\HP\Digital Imaging\bin\hpqgplgtupl.exe => Brak pliku
FirewallRules: [TCP Query User{BB4F4AB2-5FC0-474F-8C20-7E44CC17474F}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku
FirewallRules: [UDP Query User{CB0E0F14-FA83-452C-A845-A0C830DAD262}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku
FirewallRules: [TCP Query User{212C1749-99A9-4D73-A573-0C532D3E9220}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku
FirewallRules: [UDP Query User{0311AA14-49CC-42A3-A5A5-8598AD269D83}C:\users\makrusze\appdata\local\akamai\netsession_win.exe] => (Block) C:\users\makrusze\appdata\local\akamai\netsession_win.exe => Brak pliku
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
GroupPolicyUsers\S-1-5-21-285633661-3854684881-818343512-1005\User: Ograniczenia <==== UWAGA
GroupPolicyUsers\S-1-5-21-285633661-3854684881-818343512-1002\User: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {06616497-F432-4EC2-A1FD-6946B88E05BF} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe (Brak pliku)
Task: {21D6BC69-B9DA-422C-A35A-F8E5606C3415} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {23D53C9B-3E3A-4BE2-88B1-C717D292D1F6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {248B5EFF-3EDC-4EDE-BC2B-C6972F3195C0} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\WINDOWS\System32\AutoWorkplace.exe join (Brak pliku)
Task: {3B8C1C8F-B2EB-4B5A-AC14-CD8BF552AB80} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {3C9C5D0A-6958-48BA-8A87-E8B2DE4E4692} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {61076A7E-2738-4B2E-A4F8-F788E533F30B} - System32\Tasks\{BD2C3226-AEBA-4336-87B6-5920CEABA76D} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Bullfrog\Theme Park World\tp.exe" -d "C:\Program Files (x86)\Bullfrog\Theme Park World"
Task: {8120559B-D7A9-412C-9A1C-6DF75385811A} - \WPD\SqmUpload_S-1-5-21-285633661-3854684881-818343512-1002 -> Brak pliku <==== UWAGA
Task: {81C9C350-59DC-495E-B9AD-AF705862323A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {886D846D-81C8-4407-A059-46B473F3809D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {9B2127EC-8F8D-4334-B043-177EA5FB069C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {9CFDCA58-0A88-499E-A7D7-5313713ED3C9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {A54401F8-1801-40A5-B232-9BBE8AF1294D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {AA9ACB85-D82D-43DE-A73E-AA04DBFC3DAC} - System32\Tasks\{281F78A8-5C5F-4902-88E9-8D2C95FB21B1} => C:\windows\system32\pcalua.exe -a D:\livebox.exe -d D:\
Task: {EBF9207E-D7A2-4D31-88F8-AE674493D4CF} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Task: {F26CC89C-4D9E-4009-ACC9-156EC1A87F87} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {F5CDA03A-0F4C-431F-9EC7-D63BFDD7B3D3} - \WPD\SqmUpload_S-1-5-21-285633661-3854684881-818343512-1006 -> Brak pliku <==== UWAGA
FF HKLM-x32\...\Firefox\Extensions: [wrc@avast.com] - C:\Program Files\AVAST Software\Avast\WebRep\FF => nie znaleziono
EmptyEventLogs:
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...