Skocz do zawartości
Mironeso

Email z żądaniem okupu, wysokie zużycie procesora

Rekomendowane odpowiedzi

Witam,

 

Wczoraj przyszedł do mnie email z żądaniem okupu, pod groźbą publikacji niektórych moich treści. Wygląda na wysyłany z automatu, ale... standardowo wywaliłbym to do kosza, jednak wysyłający podał tam moje hasło. Stare bo stare, prawdopodobnie już nigdzie go nie używam, ale jednak używałem kiedyś w przeszłości. W tej sytuacji dopuszczam, że szantażysta rzeczywiście (jak pisze)  podczepił mi trojana (acz musiałoby to być naprawdę dawno temu). Przyglądałem się pracy systemu, zasadniczo poza (może) większym niż normalnie użyciem procka nic nie widzę.

 

W załączeniu logi.

Addition.txt

FRST.txt

Shortcut.txt

Edytowane przez Miszel03
Drobne poprawki treści. //Miszel03

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

W raportach nie widzę żadnych obiektów pasujących do funkcjonalności trojana lub  innego monitoringu.

 

PS. Możesz uruchomić kosmetyczny skrypt usuwający szczątki po aktualizacji z Windows 7 do Windows 10, oraz odinstalowanych programach. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: 

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.yahoo.com/?fr=vmn&type=auslog_ya_hp
SearchScopes: HKU\S-1-5-21-2399471354-2781755390-4139130681-1000 -> DefaultScope {76DEFAE6-09B2-40B2-8F8A-5A6A5D5CE4EB} URL = hxxps://search.yahoo.com/search/?toggle=1&cop=mss&ei=UTF-8&fr=vmn&type=auslog_ya_ch&p={searchTerms}
SearchScopes: HKU\S-1-5-21-2399471354-2781755390-4139130681-1000 -> {76DEFAE6-09B2-40B2-8F8A-5A6A5D5CE4EB} URL = hxxps://search.yahoo.com/search/?toggle=1&cop=mss&ei=UTF-8&fr=vmn&type=auslog_ya_ch&p={searchTerms}
HKLM\...\StartupApproved\Run: => "vdcss"
HKLM\...\StartupApproved\Run: => "tvncontrol"
HKLM\...\StartupApproved\Run: => "UnlockerAssistant"
HKLM\...\StartupApproved\Run: => "HP Software Update"
HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\...\StartupApproved\Run: => "Uninstall C:\Users\Piotr\AppData\Local\Microsoft\OneDrive\17.3.5892.0626"
HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\...\StartupApproved\Run: => "uTorrent"
HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_555C9C84E87400ED348C4CD617569470"
U3 aswbdisk; Brak ImagePath
ShellIconOverlayIdentifiers: [  OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [  OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [  OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} =>  -> Brak pliku
Task: {1A1121A1-08F0-4942-BBA5-31DFDFB089C3} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe
Task: {1A98F843-9700-46D9-B47E-5A0B17653020} - System32\Tasks\IObitSelfCheckTask => C:\Program Files\IObit\Smart Defrag\IObitSelfCheck.exe
Task: {1ACB854E-E0CF-4341-8D2D-75BBB958BC20} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {2EC6C6BC-C517-4514-BC85-D35ADCC346F7} - System32\Tasks\Avast Software\Overseer => C:\Program Files\AVAST Software\Avast\setup\overseer.exe
Task: {39B1A940-F6AB-4957-878E-403DAEA2F90D} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {5AF24127-A8EF-4D41-8089-5909BFFAB13F} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe
Task: {65AC2595-1FD2-493D-8920-8B699ABE48E6} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {72001CCE-615B-4525-AD47-C65773853DAB} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {8D1E148B-48BA-4F95-BA99-D39D5895368D} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {8EE43131-902E-4597-B76D-8598710666F2} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {916BA7FD-A5E6-4F6C-9CD1-A7021817A082} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {977012BC-715A-4E89-87A4-44A7EA454052} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {98FFE0D5-FC49-46E7-9F91-B9DC9D19C5AC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {9AE90ADC-AC65-4A10-96DB-CAE8DF88CEF8} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {9BFB8F36-5F82-4B87-9462-45D30A8B346E} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {A901EADA-7274-4037-AE9D-8DFEFA5630AC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {AC5E7E33-4E1D-4EE5-AF3E-AF524C98C7C4} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {B3037A25-B8E8-4C3F-B5DF-F3E05B4E9E80} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {BCDD542D-7506-4C2B-91F7-BF4B57E6199E} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {BDA8EBF5-6289-4824-923E-BA8DEAFF743B} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe
Task: {C3A24FBB-73A9-48BB-AD49-A125AD889504} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe
Task: {C63FBABA-983F-44D4-8081-8ABB3C2BE749} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe
Task: {E0E57650-35B3-49CA-9053-A3F7C158CD08} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe
Task: {EC983AE2-8277-43E5-8615-D0D3D9047EC2} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
C:\Users\Piotr\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK
C:\Users\Piotr\Desktop\chapters — skrót .lnk
C:\WINDOWS\Reimage.ini
C:\WINDOWS\ehome
C:\Windows\System32\accesschk.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...