mindinsider Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Witam. Przy przypadkowym najechaniu na udziel dostępu do: pojawiła mi się nazwa użytkownika, której nie zakładałem. W postaci zbitków liter. Co możne być przyczyną powstania dodatkowych kont w systemie? Czy nie jest to infekcja? Odnośnik do komentarza
Miszel03 Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Witaj mindinsider! Proszę dostosować temat do zasad działu bym mógł Ci pomóc. Odnośnik do komentarza
mindinsider Opublikowano 10 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 (edytowane) Załączam. Edytowane 10 Grudnia 2017 przez Miszel03 Użytkownik skasował linki do raportów. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 10 Grudnia 2017 Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 Posty porządkowe skasowałem. Piszemy w tym samym czasie Na stronie hostingu widnieje komunikat, że plik stracił ważność lub został usunięty. Raporty mają być z miejsca, z którego został uruchomiony FRST (czyli bez dat w nazwie), a nie z archiwalnego C:\FRST. Odnośnik do komentarza
mindinsider Opublikowano 10 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 (edytowane) Skąd wiesz, że złe logi jak ponoć nie pobrałeś? Edytowane 22 Grudnia 2017 przez mindinsider Użytkownik skasował linki do raportów. //Miszel03 Odnośnik do komentarza
Miszel03 Opublikowano 10 Grudnia 2017 Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 p.s skad wiesz ze zle logi jak ponoc nie pobrales? Przez chwile były dostępne do pobrania i zauważyłem tą nieprawidłowość. Gdy chciałem pobrać logi ponownie zauważyłem, że je skasowałeś = to był dla mnie znak, że być może się pomyliłeś. Raporty nie wykazują oznak infekcji. Witam, gdy ostatnio przypadkiem kliknąłem na folder PPM to rzucił mi się w oczy napis "udziel dostępu do" zamiast klasycznego udostępnij. Nie wiem czy jest to zamiennik czy już mam włączone udostepnij. Po najechaniu wyswietlilo mi sie "Wylacz dostep" oraz nazwa konta windows ktorego nie zakladlem w postaci zbitki liter i cyfr, jak na screenie. Wydaję mi się, że to jest efekt działania modułu ESET Anti-Theft. Wg raportów ESET jest u Ciebie czynny (...ale do aktualizacji!). AV: ESET Smart Security (Enabled - Up to date) {EC1D6F37-E411-475A-DF50-12FF7FE4AC70} AS: ESET Smart Security (Enabled - Up to date) {577C8ED3-C22B-48D4-E5E0-298D0463E6CD} FW: Zapora osobista ESET (Enabled) {D426EE12-AE7E-4602-F40F-BBCA8137EB0B} Dodatkowo jak wpisuje teraz w cmd net user to wyswietla mi sie WDAGUtility account. To konto jest komponentem Windows Defender Application Guard. W spoilerze zadaję działania poboczne - sprzątanie resztek po wcześniej odinstalowanym oprogramowaniu, usuwanie martwych wpisów i bezplikowych skrótów. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2388998415-3308728605-2242502224-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Razor's Blade\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2388998415-3308728605-2242502224-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Razor's Blade\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2388998415-3308728605-2242502224-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Razor's Blade\AppData\Local\Microsoft\OneDrive\17.3.6943.0625\amd64\FileSyncShell64.dll => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Brak pliku ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => -> Brak pliku ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> Brak pliku ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> Brak pliku ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} => -> Brak pliku ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {5EE82E0E-6DC5-40F6-A28C-1CE2CDBE28D2} - System32\Tasks\avast! Windows 10 Start Menu helper => c:\program files\avast software\avast\asww10mon.exe Task: {2FAEDC72-0A52-4419-BA1B-E5F0154585CB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {3FF3E8A3-7B8D-455F-8E39-8451BFC7F2C3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {4DDFF0A7-BB19-43B9-83BE-4BC6C4549DA6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {72D6653F-5E6C-472C-BDEB-BD0E4EDD0CF0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {B1C64D6A-044D-4E2A-B00F-E67DFFFE2D57} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {B761488C-F21D-43D4-9D39-BEA52786F717} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C046088C-C53D-4FAF-9541-51A431ADFD8B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {C269C05C-7D3E-4B5A-9D07-AF5C93C3A66F} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {C9C24CF1-C63F-4707-AEFC-02DF1B2685A9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {CB781522-4CCA-41F6-8919-5DE12C7FC515} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {E45E3835-5687-4C5D-86A7-AA9020797A76} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {FB0BF581-2C76-4F0C-A251-B27DD71D6E10} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku C:\Users\Administrator\Links\OneDrive.lnk C:\Users\Razor's Blade\Links\OneDrive.lnk VirusTotal: C:\Windows\System32\.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go. Odnośnik do komentarza
mindinsider Opublikowano 10 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 Czyli nikt nie jest podłączony pod mój PC i na pewno korzystam sam, nie mam tez niczego szpiegujacego ani przechwytujacego dane? A ten D8B3 ze screena w pierwszym poscie ktorego usunalem przez net user to prawidlowo zrobiłem? W sensie to tez bylo od ESETA? Odnośnik do komentarza
Miszel03 Opublikowano 10 Grudnia 2017 Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 W spoilerze jest jeden plik zadany do skanowania w serwisie VirusTotal - to prawdopodobnie nic szkodliwego, ale jednak proszę o wykonanie zadania. Nic mi tutaj nie wskazuję na to, że jesteś szpiegowany, możesz przeprowadzić dodatkowo skanowanie antywirusowe całego systemu np. za pomocą Hitman Pro lub Malwarebytes AntiMalware, a nawet wykorzystując do tego swojego antywirusa. A ten D8B3 ze screena w pierwszym poscie ktorego usunalem przez net user to prawidlowo zrobiłem? W sensie to tez bylo od ESETA? To był właśnie chyba ten komponent ESET... Odnośnik do komentarza
mindinsider Opublikowano 10 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 10 Grudnia 2017 Link wygasł, ale chyba dlatego, że go pobrałeś. W każdym razie dziękuję za pomoc. Temat można skasować. Odnośnik do komentarza
Miszel03 Opublikowano 17 Grudnia 2017 Zgłoś Udostępnij Opublikowano 17 Grudnia 2017 Plik sprawdzany na VirusTotal wygląda na nieszkodliwy. Właściwie to możesz go skasować: C:\Windows\System32\.exe. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się