Skocz do zawartości
nezpers

Podejrzenie logowania osób trzecich

Rekomendowane odpowiedzi

Witam,

mój znajomy ma obawy że ktoś może logować się do jego komputera,

osoby trzecie miały dostęp do tego laptopa jak i routera.

chciałem mu pomóc robiąc skany i umieszczając je tutaj.

system xp 32bit,

gmer skan niedokończony z racji pojawiającego się błędu, zrzut ekranu w załączeniu.

Addition.txt

FRST.txt

post-6130-0-99820000-1428751764_thumb.jpg

gmer.txt

gmer quick.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Logi z przestarzałego OTL nie są już od dawna obowiązkowe. Usuwam je. Był używany ComboFix. Brak oznak infekcji czy jawnych niepożądanych ingerencji, z tym że skan został wykonany podczas braku połączenia z siecią, więc nie wiadomo jakie DNS jest pobierane z routera:

 

DNS Servers: Media is not connected to internet.

 

Do przeprowadzenia tylko "kosmetyka":

 

1. Był uruchamiany GMER, toteż do sprawdzenia Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Przez Dodaj/Usuń programy odinstaluj stare wersje Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI oraz sponsoringową instalację nabytą podczas instalacji produktów Adobe McAfee Security Scan Plus.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S3 catchme; \??\C:\DOCUME~1\Mateusz\USTAWI~1\Temp\catchme.sys [X]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-2025429265-854245398-1801674531-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-2025429265-854245398-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx
Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
RemoveDirectory: C:\found.000
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRSt nie są mi potrzebne

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...