Prośba o pomoc przy sprawdzaniu logów.
#1
Od pewnego czasu podejrzewałem że laptop został zawirusowany. Zaczęło się od tego że z laptopa zniknął Chrome. Uznałem wtedy jeszcze że to efekt usterki w pamięci (laptop ma swoje lata a usterki się zdarzają). Ale niedługo potem chrome ponownie zniknął a ponadto doszły jeszcze inne problemy. Myszka zaczęła odmawiać współpracy a zrobienie czegokolwiek przez przeglądarki (edge i inne) było niemożliwe bo próbowały się otworzyć różne dziwne strony.
Po włączeniu i wyłączeniu problem częściowo zniknął ale nie zmienia to faktu że dzieje się coś dziwnego.


Załączone pliki
.txt   Addition.txt (Rozmiar: 18,56 KB / Pobrań: 137)
.txt   FRST.txt (Rozmiar: 18,37 KB / Pobrań: 146)
.txt   Shortcut.txt (Rozmiar: 32,16 KB / Pobrań: 136)
Odpowiedz
#2
Nie ma takiej usterki w pamięci, która usuwa Chrome. Trafienie na uszkodzony obszar pamięci kończy się w przypadku Windows niebieskim ekranem.
EDIT: osobiście nie widzę nic super podejrzanego w tych plikach, ale nie jestem też ekspertem. Sprawdził bym ustawienia TeamViewera czy np: można logować się na stację bez żadnego nadzoru i jeżeli tak to bym to zablokował.
Odpowiedz
#3
W Google Chrome > powiadomieniach jest złowroga witryna która wyświetla fałszywe komunikaty i nakłania do kliknięcia przycisku zezwól, wtedy spam zalewać będzie przeglądarkę.

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

Kod:
CloseProcesses:
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
CHR Notifications: Default -> hxxps://a.uniqdatacaptcha.top; hxxps://medsy.events
EmptyTemp:


Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix).

Pokaż następnie raport z tego działania.
Odpowiedz
#4
Zrobione. Zrobić jeszcze jakiś dodatkowy skan?


Załączone pliki
.txt   Fixlog.txt (Rozmiar: 2,95 KB / Pobrań: 94)
Odpowiedz
#5
Działania wykonały się prawidłowo. Możesz przeskanować dodatkowo

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
Wgraj sobie Bitdefender Total trial lub Norton i zrób pełny skan systemu dla pewności.
Odpowiedz
#7
(27.12.2021, 23:04)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Wgraj sobie Bitdefender Total trial lub Norton i zrób pełny skan systemu dla pewności.

To już lepiej użyć z Pendrive Kaspersky Rescuse Disc

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie zostawi po sobie pozostałości w systemie.
Instrukcja:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#8
Nie zrozumiałeś i głupotę poleciłeś Wink Norton i Bitek potrafią wykrywać po instalacji podejrzane połączenia/wysyłanie danych.
Jak odpali rescue disc to może znaleźć tylko to co już jest, a nie np. podmienioną usługę systemu.
Odpowiedz
#9
(28.12.2021, 23:04)rogacz napisał(a):

[Aby zobaczyć linki, zarejestruj się tutaj]

Nie zrozumiałeś i głupotę poleciłeś Wink Norton i Bitek potrafią wykrywać po instalacji podejrzane połączenia/wysyłanie danych.
Jak odpali rescue disc to może znaleźć tylko to co już jest, a nie np. podmienioną usługę systemu.

W takim razie na przyszłość opisz konkretnie czynność i jej cel.
Pozdrawiam Smile
Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości