Skocz do zawartości

Podejrzenie logowania osób trzecich


Rekomendowane odpowiedzi

Witam,

mój znajomy ma obawy że ktoś może logować się do jego komputera,

osoby trzecie miały dostęp do tego laptopa jak i routera.

chciałem mu pomóc robiąc skany i umieszczając je tutaj.

system xp 32bit,

gmer skan niedokończony z racji pojawiającego się błędu, zrzut ekranu w załączeniu.

Addition.txt

FRST.txt

post-6130-0-99820000-1428751764_thumb.jpg

gmer.txt

gmer quick.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Logi z przestarzałego OTL nie są już od dawna obowiązkowe. Usuwam je. Był używany ComboFix. Brak oznak infekcji czy jawnych niepożądanych ingerencji, z tym że skan został wykonany podczas braku połączenia z siecią, więc nie wiadomo jakie DNS jest pobierane z routera:

 

DNS Servers: Media is not connected to internet.

 

Do przeprowadzenia tylko "kosmetyka":

 

1. Był uruchamiany GMER, toteż do sprawdzenia Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Przez Dodaj/Usuń programy odinstaluj stare wersje Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI oraz sponsoringową instalację nabytą podczas instalacji produktów Adobe McAfee Security Scan Plus.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 catchme; \??\C:\DOCUME~1\Mateusz\USTAWI~1\Temp\catchme.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-2025429265-854245398-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-2025429265-854245398-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
RemoveDirectory: C:\found.000
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRSt nie są mi potrzebne

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...