Skocz do zawartości
DisconnecT

Komputer po infekcji i ręcznym czyszczeniu [Logi FRST]

Rekomendowane odpowiedzi

Hej, nie dawno mój sprzęt został zainfekowany przez nierozważnego użytkownika który miał do niego dostęp.

Wstępnie sprzęt już został przeze mnie wyczyszczony na tyle ile byłem w stanie działać ręcznie wraz z dostępnymi narzędziami, mam jednak wątpliwości które wywołane są dość sporą ilością interwencji ze strony zapory sieciowej Comodo, która średnio przez dobę blokuje kilkaset adresów IP.

Wstępna analiza adresów nie wykazuje niczego konkretnego, wiem jednak że nie powinny one występować.

Zapewne znajdzie się dość sporo kosmetyki, system już dość sporo przeżył, włącznie z dużymi aktualizacjami, jak i nakładkami instalacji. Zastanawiam się nawet czy nie postawić całej konfiguracji od nowa, poczekam jednak na werdykt osób które przeanalizują logi z FRST, gdyż reinstalacja całego środowiska będzie mnie kosztować bardzo dużo czasu.

 

Dodaję jeszcze podstawową specyfikację komputera gdyby była potrzebna:

CPU: Core i7-8086k @ 5.0 GHz

MB: MSI MEG Z390 ACE LGA1151 BIOS v1.40

RAM: 32GB (4x8GB) DDR4 G.Skill 4000 MHz CL17

GPU: Nvidia GeForce GTX 1080 Ti 11GB

SSD1: Samsung 970 Evo 500GB NVMe

SSD2: Crucial MX200 250GB SATA

SSD3: ADATA XPG SX8200 1TB NVMe

HDD1: Toshiba X300 4TB SATA

HDD2: Toshiba P300 2TB SATA

HDD3: Seagate BC 2TB SATA

Display 2560x1440 155Hz + 2560x1440 60Hz

OS: Windows 10 x64 PL v1903 (Build: 18362.418)

 

- Wszystkie nośniki danych są monitorowane w czasie rzeczywistym, żaden nie zawiera żadnych błędów SMART.

 

Niżej zamieszczam logi z FRST: (konfiguracja programu standardowa).

 

Z góry dziękuje za pomoc.

Pozdrawiam.

 

FRST.txt Addition.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

S3 mracsvc; C:\Windows\System32\mracsvc.exe [16340752 2019-03-20] (Mail.Ru LLC -> LLC Mail.Ru)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [15553520 2019-03-20] (Mail.Ru LLC -> LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
C:\WINDOWS\System32\drivers\mracdrv.sys
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
GroupPolicy: Ograniczenia ? <==== UWAGA
Task: {761c980d-5826-412b-9b25-12b970334709} - Brak ścieżki do pliku
FirewallRules: [OpenSSH-Server-In-TCP] => (Allow) %SystemRoot%\system32\OpenSSH\sshd.exe Brak pliku
FirewallRules: [{473A8B0B-C61B-4F1E-98FA-892C0ED9C6F5}] => (Allow) F:\Gry\Steam Games\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe Brak pliku
FirewallRules: [{22250DBC-8010-4EC1-AF4C-DCD0423BF784}] => (Allow) F:\Gry\Steam Games\steamapps\common\killingfloor2\Binaries\Win64\KFGame.exe Brak pliku
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Dziękuje za pomoc, skrypt został wykonany, w załączniku dorzucam fixlog.

Czy to jednak wszystko co się znalazło w tym systemie? Jestem szczerze mówiąc lekko zdziwiony spodziewałem się znacznie większego bałaganu.

 

Pozdrawiam.

Fixlog.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Cytat

Jestem szczerze mówiąc lekko zdziwiony spodziewałem się znacznie większego bałaganu.

Po Twoim wstępie też spodziewałam się większego "ambarasu", ale jest, jak jest.

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Rozumiem, wychodzi na to że że większość pozostałego syfu adware pozbyłem się ręcznie.

 

Bardzo dziękuje za pomoc, temat można zamknąć.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...