Analiza ataku na mój komputer


(yasnor) #1

Witam,

 

kilka dni temu ujawnił się haker który włamał się na mój komputer, chciał bym wiedzieć jak to się stało (by zabezpieczyć się na przyszłość) i co konkretnie napastnik osiągnął.

 

Załączam logi w rarze ponieważ FRST.txt ma więcej niż 0,5 mb. Dodam że logi robiłem po wyłączeniu isatap i "terego" (przyznam że nie pamiętam jak to się nazywało). No i oczywiście po wyłączeniu tylu usług windows ile się dąło.

EDIT:

powyłączałem również różne opcje w BIOS'ie - nie wszystkie dokładnie wiem co robią ale wyłączylem też wirtualizację bo mój komputer chyba się łączył z jakimiś wirtualnymi maszynami których nie widziałem wcześniej.

 

wrzucam na wklej:

http://wklej.org/id/1835457/

http://wklej.org/id/1835458/

 

Dziękuję z góry.

Desktop.rar


(Piesek64) #2

No cóż… wsparcie wirtualizacji jeszcze nikomu źle nie służyło, a jeśli chcesz by nie łączył się z takowymi to musiałbyś odłączyć kabel od Ethernetu, wyjąć kartę Wi-Fi, itp.

Jeśli masz zewnętrzne, publiczne IP to dobra, wygrałeś - ktoś mógł się włamać. Jeśli nie, no to sam sobie ściągnąłeś wirusa.

BIOSu raczej tykać nie powinieneś, bo widać, że nie wiesz co tamtejsze opcje robią. Od logów jest Atis i Acorus - więc czekaj.


(Atis) #3

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

GroupPolicyScripts: Restriction ======= ATTENTION
GroupPolicyScripts\User: Restriction ======= ATTENTION
URLSearchHook: [S-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133] ATTENTION = Default URLSearchHook is missing
URLSearchHook: [S-1-5-82-1634760204-2030663537-3042087576-1698961595-280283016] ATTENTION = Default URLSearchHook is missing
URLSearchHook: [S-1-5-82-2940870084-1057714000-1742457874-4010774090-1813697275] ATTENTION = Default URLSearchHook is missing
S3 cpuz134; \??\C:\Users\ENDOC_~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
R4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X]
U3 aswMBR; \??\C:\Users\ADMINI~1\AppData\Local\Temp\aswMBR.sys [X]
U3 aswVmm; \??\C:\Users\ADMINI~1\AppData\Local\Temp\aswVmm.sys [X]
U3 kwdyipow; \??\C:\Users\ADMINI~1\AppData\Local\Temp\kwdyipow.sys [X]
2015-11-05 02:06 - 2015-11-05 02:06 - 00000000 ____ D C:\AdwCleaner
2015-11-05 00:58 - 2015-11-05 00:58 - 00000000 ____ D C:\TDSSKiller_Quarantine
Task: {363ADCCA-8639-4C0F-AC28-F3144FEB2F0B} - System32\Tasks\{BA39D558-D7C2-4463-BE49-C53AF5CBE343} = pcalua.exe -a "C:\Program Files\Microsoft Office 15\ClientX64\OfficeClickToRun.exe" -c scenario=install scenariosubtype=uninstall baseurl="C:\Program Files\Microsoft Office 15" platform=x86 version=15.0.4763.1003 culture=pl-pl productstoremove=LyncAcademicRetail_pl-pl_x-none
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.


(yasnor) #4

http://wklej.org/id/1836827/ - fixlog

 

po restarcie nastąpił bsod i po ponownym uruchomieniu kompa utworzył się nowy profil użytkownika …

 

 

ps. Dzięki wilekie za reakcję i odpowiedz na mojego posta. Odpisuję dopiero teraz ponieważ w weekend byłem “w trasie”.


(Atis) #5

Nie widać infekcji.


(yasnor) #6

dziękuję Atis za Twoją bezinteresowną pomoc - cieszę się że zdecydowałem się napisać akurat na tym forum!