pomoc przy zainfekowanej maszynie
#2
(18.02.2019, 22:41)J4cko napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Netlimiter mi pokazuje ruch z aplikacji "system' na podejrzane ip.

Niedawno kupilem sobie lampke smart bulb i po zainstalowaniu wieczorem zresetowal sie router..

Są tu jakiś dziwne ustawienia dns pochodzenia USA - które z kolei usunę.
Ruch aplikacji system to może być cokolwiek i wcale nie musi być groźne, być może łączysz się z jakimś urządzeniem w swojej sieci lokalnej (szpiegowska lampka ?) Smile lub po prostu korzystasz z VPNa. Jeśli możesz wyślij pokaż to podejrzane ip z jakim łączy się system. 

Stos sieciowy TCP/IP Windows obsługuje wszystkie pakiety sieciowe w jądrze i jest etykietowany jako system operacyjny Windows.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

Kod:
CloseProcesses:
CreateRestorePoint:
Tcpip\..\Interfaces\{6120b2f5-3b0a-4336-99d8-b71a5e5f3fd7}: [DhcpNameServer] 198.18.14.133
Tcpip\..\Interfaces\{9cb50424-d3c7-4251-8b61-2dd9aa4f4b35}: [DhcpNameServer] 7.254.254.254
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-3002298425-3039723469-3489263620-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
FF Plugin: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelogx64.dll [Brak pliku]
FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll [Brak pliku]
FF Plugin-x32: @esn/npbattlelog,version=2.5.1 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.1\npbattlelog.dll [Brak pliku]
S4 LMIRfsClientNP; Brak ImagePath
S3 MBAMWebAccessControl; \??\C:\WINDOWS\system32\drivers\mwac.sys [X]
C:\temp
HKU\S-1-5-21-3002298425-3039723469-3489263620-1001\...\ChromeHTML: ->  <==== UWAGA
CustomCLSID: HKU\S-1-5-21-3002298425-3039723469-3489263620-1001_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\WINDOWS\system32\igfxEM.exe" => Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Brak pliku
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> Brak pliku
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> Brak pliku
ContextMenuHandlers4: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> Brak pliku
ContextMenuHandlers6: [PowerISO] -> {967B2D40-8B7D-4127-9049-61EA0C2C6DCE} =>  -> Brak pliku
Task: {2F31E2AF-5CFE-4BF2-BE60-F8625C9003DC} - System32\Tasks\{B05C37D6-564E-452A-81A8-2531E6AE1DD5} => C:\WINDOWS\system32\pcalua.exe -a "C:\Users\J4cko\AppData\Local\Discount Dragon\uninstall.exe"
Task: {3BFD734F-FC23-4958-A146-A3B4B1A28D13} - System32\Tasks\{4230C1EE-B156-4293-9FBD-115618A2846A} => C:\WINDOWS\system32\pcalua.exe -a D:\games\Robocraft\unins000.exe
Task: {3F25124F-1708-4154-8838-F05977E3E04C} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {43CF71EC-D901-497A-B2E1-C119D366B33F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {49360A81-E659-47CE-BE85-09A0FA2751E7} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {65B31F62-8F13-41A3-BB28-2FA4DD4455E9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {A1D4C42F-8610-4F64-A5EF-F2095B924CB8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {AD55F02E-9107-4481-AE5B-7BE52EF9BF08} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {B0BEC0AB-53D5-45C6-B3FC-BDB30397DA9D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA
Task: {B9FBFED3-0D2F-4BF3-AF0A-766F3FF586A9} - System32\Tasks\{EC3F750E-0C4B-40D1-989E-37B386EB2D69} => "c:\program files (x86)\google\chrome\application\chrome.exe" hxxp://ui.skype.com/ui/0/6.16.60.105/pl/abandoninstall?page=tsBing
Task: {C47BA3AE-F3E9-4A8F-8FD2-7D2647A0CF44} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe
Task: {D61E0AEF-2691-4E1A-995F-C190E8362D80} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {D8476E31-7A13-49C5-95FE-4A69BEDA644A} - System32\Tasks\e-pity2015a_kwiecien => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe (e-file sp. z o.o. -> e-file sp. z o.o.)
Task: {DEA6E00E-BCD0-42F0-B76F-52E987D03CFE} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku <==== UWAGA
Task: {DFC9E1CA-7E35-424A-A1E9-6ACC2A5FB768} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA
Task: {E16EB532-8994-48C0-BA51-E2913F51DA98} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems, Incorporated -> Adobe Systems Incorporated)
Task: {E219EA43-B1FD-487F-B569-B1E0F7BD3023} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku <==== UWAGA
Task: {E563C5C5-E51A-4FFC-9B0B-4211492B4D87} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
Task: {ECDBD83E-79CA-4153-99C8-86AA85ECFF05} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {EF8627F1-07A7-4EE3-A087-D9EBAFD9608B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {EFE0003F-9EF2-43A6-B107-2FDBE06B3675} - System32\Tasks\e-pity2015a_styczen => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe (e-file sp. z o.o. -> e-file sp. z o.o.)
Task: {EFED171F-E245-412A-AD73-DA4CD0F32C7E} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {F15B17B2-0797-450D-9ABC-1E3325F2E639} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe
Task: {FA4C8D67-0335-40AE-8DCA-BB10F349F4D8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
AlternateDataStreams: C:\Users\J4cko\Dane aplikacji:00e481b5e22dbe1f649fcddd505d3eb7 [362]
AlternateDataStreams: C:\Users\J4cko\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [362]
AlternateDataStreams: C:\Users\Public\AppData:CSM [478]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Hosts:
CMD: netsh advfirewall reset
CMD: ipconfig /flushdns
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
EmptyTemp:

Odinstaluj:
Mozilla Firefox 28.0 (x86 pl) (HKLM-x32\...\Mozilla Firefox 28.0 (x86 pl)) (Version: 28.0 - Mozilla)
Popcorn Time
Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.7.64.0 - Safer-Networking Ltd.)
Spybot Anti-Beacon (HKLM-x32\...\{419A7FCF-93E1-474D-BFE9-987CF3F90C88}_is1) (Version: 1.5 - Safer-Networking Ltd.)
SUPERAntiSpyware (HKLM\...\{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}) (Version: 5.7.1018 - SUPERAntiSpyware.com)

To skrót do czego w zasadzie ?
C:\Users\J4cko\Desktop\Avorion Server.lnk
Odpowiedz


Wiadomości w tym wątku
pomoc przy zainfekowanej maszynie - przez J4cko - 18.02.2019, 22:41
RE: pomoc przy zainfekowanej maszynie - przez tachion - 20.02.2019, 17:35

Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości