CoUsT Opublikowano 29 Stycznia 2018 Zgłoś Udostępnij Opublikowano 29 Stycznia 2018 Witam, piszę do was z powodu zmian haseł i emailów w jednej z gier - jeszcze dziś rano o 6 w nią grałem, a o 17 nie byłem w stanie się zalogować. Konta miały sporą zawartość, jednakże jedno z nich było świeżo stworzone. Łącznie zmieniono hasła i emaile do 3 kont. Do zmiany emaila potrzeba potwierdzenia poprzez klik w mailu, a takich mailów nie dostałem - również podejrzenie znania hasła do emaila. Hasła do wszystkich kont były takie same, do emaila jedynie zmieniona wielkość liter, a na stronie https://haveibeenpwned.com/Passwords moje hasło widnieje w liście "wyciekniętych" - podejrzewam po prostu włam z tego względu, a nie zainfekowany komputer keyloggerem. Mimo wszystko chciałbym rozważyć wszystkie opcje, dlatego pobrałem Malwarebytes Anti-Malware, które nic nie znalazło, następnie Avasta, który przy instalacji wypluł BSODa, ale jakoś się zainstalował (?), podczas pełnego skanu stanął przy 48% i użycie dysku wskazywało 0%, więc zrestartowałem skanowanie i tym razem poszło w całości, ale znalazł tylko pliki, które wiem w 99%, że nie są wirusami i ich stopień zagrożenia był wskazywany na najniższy przez rzeczy typu virustotal i ich opis przez niektóre antywirusy jako "not-a-virus". Następnie próbowałem Spybot Search & Destroy, może on coś by znalazł, ale przy instalacji wyskakiwał błąd z 1 plikiem. Aplikacja działała do momentu, gdy wciskałem skanowanie - wtedy wyskakiwał błąd o brakującym pliku. Natomiast po próbie instalacji Bitdefendera nie działo się nic albo nie mogłem połączyć się z ich serwerami przy logowaniu, które Bitdefender wymuszał itp. Wszystkie aplikacje instalowałem po sobie, gdy poprzednia została odinstalowana, a nie wszystkie jednocześnie. Zamiast bawić się wszystkimi antywirusami i antimalwarami po kolei przypomniało mi się wasze forum i postanowiłem tu wrzucić logi z prośbą o ich interpretację i pomoc. Chciałbym się upewnić, że na moim komputerze nie znajduje się żadne dziadostwo, co kradnie dane. Dużo siedzę w task managerze i nie zauważyłem raczej nic podejrzanego. Tak samo raczej nigdy nie zauważyłem dziwnego zachowania komputera. Antywirusa nie posiadam żadnego, gdyż raczej nie widziałem potrzeby, jedynie używam NoScript w przeglądarce - w celu bezpieczeństwa i zoptymalizowania ładowania stron, żeby badziewia i nieznane skrypty nie uruchamiały się samoczynnie. Logi z FRST w załączniku. Pozdrawiam. Odnośnik do komentarza
Miszel03 Opublikowano 30 Stycznia 2018 Zgłoś Udostępnij Opublikowano 30 Stycznia 2018 Cytat (...) ale znalazł tylko pliki, które wiem w 99%, że nie są wirusami i ich stopień zagrożenia był wskazywany na najniższy przez rzeczy typu virustotal i ich opis przez niektóre antywirusy jako "not-a-virus". Takie detekcje najczęściej dotyczą oprogramowania ze zintegrowanym adware / PUP (możliwość spowolnienia systemu / wyświetlanie reklam). Cytat Następnie próbowałem Spybot Search & Destroy, może on coś by znalazł, ale przy instalacji wyskakiwał błąd z 1 plikiem. Aplikacja działała do momentu, gdy wciskałem skanowanie - wtedy wyskakiwał błąd o brakującym pliku. Spybot Search & Destroy to program mocno przestarzały i nieskuteczny względem nowych zagrożeń. Sugerowana deinstalacja. Błąd mógł dotyczyć jego Zmiennej środowiskowej, z której korzysta ale mogło to być po prostu również uszkodzenie instalacji. Cytat Antywirusa nie posiadam żadnego, gdyż raczej nie widziałem potrzeby, jedynie używam NoScript w przeglądarce - w celu bezpieczeństwa i zoptymalizowania ładowania stron, żeby badziewia i nieznane skrypty nie uruchamiały się samoczynnie. Sugeruję raz jeszcze rozważyć zainstalowanie oprogramowania zabezpieczającego. Raporty nie wykazują oznak infekcji (co potwierdzają wyniki skanerów antywirusowych, których używałeś), w spoilerze zadaję działania poboczne do wykonania - czyszczenie martwych wpisów / skrótów / resztek po wcześniej odinstalowanym oprogramowaniu / pliku Hosts ze względu na jego niedomyślną i zawaloną zawartość. Pokaż ukrytą zawartość Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia S2 Mobile Broadband HL Service; "C:\Program Files (x86)\MobileBrServ\mbbservice.exe" -service [X] U3 aswbdisk; Brak ImagePath S3 atillk64; \??\C:\Users\Maciej\Desktop\GPU Modding\atiflash_277\atillk64.sys [X] S3 VGAOCTool; \??\D:\Temp\VGAOCTool.sys [X] C:\Users\Maciej\Desktop\Programy\Launch APP Center.lnk C:\Users\Maciej\Desktop\Programy\Smart View.lnk C:\Users\Maciej\Desktop\Programy\The Wind's Disciple v0.9.5 (PC)\game\Decoration\Janna - Acceso directo.lnk C:\Users\Maciej\Desktop\Programy\old desktop 5\Pingendo 4.0.exe — skrót .lnk C:\Users\Maciej\Desktop\Programy\old desktop 4\lf2.exe — skrót .lnk C:\Users\Maciej\Desktop\Programy\old desktop 3\Hextech Repair Tool.lnk C:\Users\Maciej\Desktop\Programy\System Information Viewer.lnk CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Sprawdź usługę "winmgmt" lub napraw WMI. Dostarcz log z Farbar Service Scannner (FSS). Raporty nie wykazują oznak infekcji, w spoilerze zadaję działania poboczne do wykonania - czyszczenie martwych wpisów / skrótów / resztek po wcześniej odinstalowanym oprogramowaniu / pliku Hosts ze względu na jego niedomyślną i zawaloną zawartość. Odnośnik do komentarza
CoUsT Opublikowano 30 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2018 W dniu 30.01.2018 o 08:15, Miszel03 napisał(a): Spybot Search & Destroy to program mocno przestarzały i nieskuteczny względem nowych zagrożeń. Sugerowana deinstalacja. Błąd mógł dotyczyć jego Zmiennej środowiskowej, z której korzysta ale mogło to być po prostu również uszkodzenie instalacji. Programy po kolei instalowałem do przeskanowania systemu, po czym odinstalowałem je po zakończeniu skanowania. W dniu 30.01.2018 o 08:15, Miszel03 napisał(a): Sugeruję raz jeszcze rozważyć zainstalowanie oprogramowania zabezpieczającego. Większość programów zjada niepotrzebnie cenne zasoby lub jest oporna w użyciu, więc nie piszę się na takie rozwiązania - jestem świadomym użytkownikiem w internecie i raczej ciężko mi wejść i świadomie sobie zainstalować wirusa + używam NoScript w przeglądarce, żeby JS nie robiło mi psikusów. W dniu 30.01.2018 o 08:15, Miszel03 napisał(a): Raporty nie wykazują oznak infekcji, w spoilerze zadaję działania poboczne do wykonania - czyszczenie martwych wpisów / skrótów / resztek po wcześniej odinstalowanym oprogramowaniu / pliku Hosts ze względu na jego niedomyślną i zawaloną zawartość. Pokaż ukrytą zawartość Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia <==== UWAGA GroupPolicy\User: Ograniczenia <==== UWAGA S2 Mobile Broadband HL Service; "C:\Program Files (x86)\MobileBrServ\mbbservice.exe" -service [X] U3 aswbdisk; Brak ImagePath S3 atillk64; \??\C:\Users\Maciej\Desktop\GPU Modding\atiflash_277\atillk64.sys [X] S3 VGAOCTool; \??\D:\Temp\VGAOCTool.sys [X] C:\Users\Maciej\Desktop\Programy\Launch APP Center.lnk C:\Users\Maciej\Desktop\Programy\Smart View.lnk C:\Users\Maciej\Desktop\Programy\The Wind's Disciple v0.9.5 (PC)\game\Decoration\Janna - Acceso directo.lnk C:\Users\Maciej\Desktop\Programy\old desktop 5\Pingendo 4.0.exe — skrót .lnk C:\Users\Maciej\Desktop\Programy\old desktop 4\lf2.exe — skrót .lnk C:\Users\Maciej\Desktop\Programy\old desktop 3\Hextech Repair Tool.lnk C:\Users\Maciej\Desktop\Programy\System Information Viewer.lnk CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Chociaż tyle dobrze, że nie widać infekcji Trochę szkoda z wyczyszczeniem pliku Hosts - miałem tam poblokowane raczej sporo denerwujących/niepotrzebnych adresów jak telemetria itp. W dniu 30.01.2018 o 08:15, Miszel03 napisał(a): Sprawdź usługę "winmgmt" lub napraw WMI. Co masz na myśli? Z tego co widzę w googlach, to czasem może być corrupted i trzeba naprawiać. Przy odpalaniu kilku wirtualnych maszyn czasem wywala z jakimś unknown/uncorrectable error czy coś w tym stylu, może mieć to związek? W dniu 30.01.2018 o 08:15, Miszel03 napisał(a): Dostarcz log z Farbar Service Scannner (FSS). Raporty nie wykazują oznak infekcji, w spoilerze zadaję działania poboczne do wykonania - czyszczenie martwych wpisów / skrótów / resztek po wcześniej odinstalowanym oprogramowaniu / pliku Hosts ze względu na jego niedomyślną i zawaloną zawartość. W załączniku. Nie widzę niczego niepokojącego. FSS.txtPobieranie informacji ... Odnośnik do komentarza
Miszel03 Opublikowano 30 Stycznia 2018 Zgłoś Udostępnij Opublikowano 30 Stycznia 2018 Cytat Co masz na myśli? Z tego co widzę w googlach, to czasem może być corrupted i trzeba naprawiać. Przy odpalaniu kilku wirtualnych maszyn czasem wywala z jakimś unknown/uncorrectable error czy coś w tym stylu, może mieć to związek? To był wycinek alertu z logu.. FSS nie wykazuję uszczerbków na usłudze, więc uznaję ją za nieuszkodzoną. Na PW napisałeś, że wszystko jest OK, więc uznaję, że mogę przejść do finalizacji tematu. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Odnośnik do komentarza
CoUsT Opublikowano 30 Stycznia 2018 Autor Zgłoś Udostępnij Opublikowano 30 Stycznia 2018 DelFix zastosowany, a aktualizacji żadnych nie mam zamiaru robić i tak zostanie, aż zajdzie potrzeba. Myślę, że temat wyczerpany. Dzięki za pomoc! Odnośnik do komentarza
Miszel03 Opublikowano 31 Stycznia 2018 Zgłoś Udostępnij Opublikowano 31 Stycznia 2018 Cytat DelFix zastosowany, a aktualizacji żadnych nie mam zamiaru robić i tak zostanie, aż zajdzie potrzeba. Pisałeś, że jest "świadomym użytkownikiem" i wiesz jak zadbać o bezpieczeństwo, ale najwidoczniej mylisz pojęcia. Obyś tylko nie obudził się za późno z aktualizacjami, jak Twój system będzie w stanie agonalnym - a na prawdę wystarczy jedna infekcja, która pociągnie za sobą całą masę. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi