Skocz do zawartości

Wejście na podejrzany link, czy coś złapałem? - logi


Rekomendowane odpowiedzi

Witam, przez przypadek wszedłem na FB w podejrzany link, zmyliło mnie to że był tam niby stream meczu, wszedłem, niby coś tam było do oglądania, wcisnąłem play, pojawiło się że muszę się zalogować i wyszedłem... Nie wiem czy coś złapałem... dla uspokojenia sumienia wrzucam logi

 

Wrzucam też ten podejrzany link: www.4KSTREAMLIVEALL756.XYZ

 

Addition.txt FRST.txt Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nie zauważyłam Twego tematu.

 

Jest tylko ruska infekcja, ale ona jest od września, więc to nie o to Ci chyba chodzi.

 

Masz ogromną ilość otwartych nietypowych portów, ale być może to z powodu używanych przez Ciebie gier.

 

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [26030880 2022-09-27] (My.Com B.V. -> My.com B.V.)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv1.sys [25266488 2022-09-27] (My.Com B.V. -> My.com B.V.)
C:\WINDOWS\System32\mracsvc.exe
C:\WINDOWS\System32\drivers\mracdrv1.sys
FirewallRules: [{04D4F7AA-B85A-418D-8C93-2103F893A556}] => (Allow) C:\gry\Tom Clancy's Rainbow Six Siege\rainbowsix_be.exe => Brak pliku
FirewallRules: [{F0CEB31B-FDB5-4A86-BA2D-B2A9EC45DD8C}] => (Allow) C:\gry\Tom Clancy's Rainbow Six Siege\rainbowsix_be.exe => Brak pliku
FirewallRules: [{31318534-3C4F-4F30-A13C-0A1A39CC2638}] => (Allow) C:\gry\Tom Clancy's Rainbow Six Siege\RainbowSix.exe => Brak pliku
FirewallRules: [{6CBCBF26-2A24-408A-B85F-3939CA20D7CB}] => (Allow) C:\gry\Tom Clancy's Rainbow Six Siege\RainbowSix.exe => Brak pliku
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
HKU\S-1-5-21-3308613058-3076913746-2055097149-1003\...\Run: [Sidebar] => C:\Program Files\Windows Sidebar\sidebar.exe /autoRun (Brak pliku)
HKU\S-1-5-21-3308613058-3076913746-2055097149-1003\...\RunOnce: [Delete Cached Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Moooooniś\AppData\Local\Microsoft\OneDrive\Update\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-3308613058-3076913746-2055097149-1003\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\WINDOWS\system32\cmd.exe /q /c del /q "C:\Users\Moooooniś\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Brak pliku)
HKU\S-1-5-21-3308613058-3076913746-2055097149-1003\...\RunOnce: [Uninstall 22.176.0821.0003] => C:\WINDOWS\system32\cmd.exe /q /c rmdir /s /q "C:\Users\Moooooniś\AppData\Local\Microsoft\OneDrive\22.176.0821.0003" (Brak pliku)
GroupPolicy: Ograniczenia - Edge <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {6F21A14F-E74D-4CE5-91F6-C19EE4E4A1FB} - System32\Tasks\{9282AF07-BB5B-49D7-AA72-6AEC522CB43A} => C:\Windows\system32\pcalua.exe -a C:\Users\LukeMike\Downloads\XboxInstaller.exe -d C:\Users\LukeMike\Downloads
2021-12-23 14:43 - 2021-12-23 14:43 - 000005222 _____ () C:\Users\LukeMike\AppData\Local\2636042875
2022-07-20 00:47 - 2022-09-21 20:08 - 000005190 _____ () C:\Users\LukeMike\AppData\Local\4096968421
2022-11-08 01:37 - 2022-11-08 01:37 - 000004670 _____ () C:\Users\LukeMike\AppData\Local\93759642671
EmptyEventLogs: 
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

Cytat

MSCONFIG\Services: wuauserv => 3

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

jessi
 

Odnośnik do komentarza
Cytat

Zwolnieniem i szpiegowaniem... jak go usunąć

Tę infekcję od razu dałam do usuwania w pierwszej "fixlist":

Cytat

S3 mracsvc; C:\WINDOWS\System32\mracsvc.exe [26030880 2022-09-27] (My.Com B.V. -> My.com B.V.)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv1.sys [25266488 2022-09-27] (My.Com B.V. -> My.com B.V.)
C:\WINDOWS\System32\mracsvc.exe
C:\WINDOWS\System32\drivers\mracdrv1.sys

Tak więc już nie powinno jej być.

------


Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

Spoiler

START::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
Unlock: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
EndRegedit:

END::

W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Kurde wstyd się przyznać ale w pośpiechu robiłem ostatnio wszystko i przeoczyłem ten log do FRST i od razu zrobilem w tym FSS

 

To teraz zrobić ten pierwszy log i usunąć te frazy EmptyTemp, a później zrobić ten log który wkleiłaś w ostatnim poście ?

 

 

a co do tego My.Com to nie wiem czy to jest jakiś syf, grałem w grę i to był jakby launcher do tego i on był z Rosji...

Odnośnik do komentarza

To teraz zrobić ten pierwszy log i usunąć te frazy EmptyTemp, a później zrobić ten log który wkleiłaś w ostatnim poście ?

Tak, to musisz zrobić, bo ta ruska infekcja nadmiernie obciąża komputer.

Tylko zrób to w odwrotnej kolejności: najpierw "fixlist" z ostatniego postu (jest bez restartu), a potem ta poprzednia "fixlist"  (będzie restart)

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...