Na początek proszę nie bagatelizujcie sprawy, bo to co mnie spotkało to raczej jest poziom hard który mnie wykańcza od ponad tygodnia i rwe włosy z głowy, a jak na amatora jestem raczej zaawansowany w komputerach i czegoś takiego jeszcze nie widziałem, ale musicie posłuchać wszystkiego od początku.

Akcja zaczęła się jakoś półtora tygodnia temu, chociaż zapewne miałem to w systemie już dłużej, tylko włam nie dawał objawów. Zorientowałem się przypadkiem, raz gdy oglądałem materiał z youtuba okienko z samym filmem zaczynało czasem robić się czarne kompletnie i za chwile obraz wracał, mrygało po prostu. Potem zmieniłem platforme i puscilem filmik z czego innego i działo się to samo. To wzbudziło mój niepokój. Zacząłem sprawdzać procesy, potem usługi i w usługach zobaczyłem mnóstwo dziwacznych usług, pracowała wtedy jakaś usługa z zewnętrznym dostępem sieciowym która jak sprawdziłem miała dostęp do wyświetlania mojego pulpitu, to samo z usługami do odczytywania klawiatury i innych rzeczy. Gdy sprawdziłem zaawansowane właściwości tych usług, w miejscu gdzie można zobaczyć kto ma do nich uprawnienia, okazało się, że widnieje tam konto nieznane z prawami administratora. Potem to już była masakra. Bo uświadomiłem sobie, że musiałem być podglądany, a moje dane wykradane przynajmniej od 2 miesiecy.

Wtedy jak pamiętam, była pierwsza dziwna rzecz i zaczęła się od Sklepu Windows. Dostałem komunikat, że moj whatsup jest nieaktualny i nie mogłem go uruchomić, więc w sklepie zainstalowałem whatsupa kolejny raz (to było dziwne, że mogłem go zainstalować równorzędnie, a drugi ciągle współistniał razem z tym nowym). Zalogowałem się tam oddając prawdopodobnie przestępcy dane, bo w jakiś sposób podmienił cały sklep i podstawił lewe aplikacje, które przekazywały mu dane.

W moim koncie zostały odebrane prawa administratora, a drugi użytkownik stworzył sobie nowe i teraz ono miało prawa admina. Walczyłem z tym do 5 rano tak byłem wk*** potem godzine tylko spałem i dzieci musiałem zawieźć do przedszkola.

Przez polecenia w CMD w końcu dokopałem się, że można z poziomu usera dać wrocić sobie prawa admina (albo to jemu odebrac) nie pamietam, w każdym razie dostałem się do jego profilu który stworzył i to też było dziwne. Bo wyglądało jak jakaś miniaturowa okrojona wersja windowsa w której nawet pasek zadań windows nie funkcjonował, język był po angielsku mimo, że windowsa miałem PL od początku, była tylko ikonka do CMD i dane ustawienia można było wywoływać jedynie skrótami na klawiaturze. W zaporze windows poznajdywałem mase wyjątków do nieznanych mi programów, adresów IP i stron.

Nawet usunięcie tych wyjątków, wszystkie te standardowe skany jak SFC /scannow , DISM do spójności, to wszystko nic nie dawało. Programy takie jak Bitdefender, malwarebytes, ADW nic nie dawały i praktycznie nic poważnego nie znajdywały, znalazł jakiś sposób na ukrywanie tego wszystkiego.

A TERAZ NAJWAŻNIEJSZE: utworzyłem bootowalny windows, zabootowałem, usunąłem każdą partycję jaka była połączyłem w jeden dysk, utworzyłem jedną partycję , sformatowałem ją i postawiłem nowego windowsa i najgorsze jest to, że nawet to nie pomogło.

Znowu poinstalowały się po załadowaniu jakieś stertowniki w menadżerze urządzeń, do urządzeń których nie mam. Niby mają legitne nazwy, niby jak sie je wyszukuje to pokazuje, że to poprawne sterowniki, ale ich wcześniej nie było.

Nie wiem jak to zrobił, ale jestem pewien, że albo podmienił bios, albo klucz systemu, albo wbudował się w jakąś ukrytą partycje (nie wiem aż tak sie nie znam, ale to takie moje strzały na tyle na ile się znam) a z tego co wiem, moja wersja systemu z wirtualnym kluczem (bo nie dostałem go fizycznie) pobiera sobie klucz na podstawie odczytu z bios (?) , że po instalacji systemu po podlaczeniu do neta gdy system instaluje aktualizacje to instaluje z aktualizacjami trojana, blokuje defendera i pobiera mu lewe bazy danych.

Aha, mam drugi komputer w pracy podłączony do tego samego konta microsoft (bo oba komputery są moje i tylko ja ich używam) i tam też to było. Wszedłem na konto microsoft i zdębiałem jak zobaczyłem logi w których praktycznie każdego dnia co 30min jest jedna nieudana próba logowania z różnych lokazlizacji (pekin, rosja, srilanka itd) i ta lista prób była na wiele stron. Musiał się dostać przez konto microsoft, skoro rozlazł się na dwa komputery.

Nie wiem już co robić jak format z usuwaniem partycji nie pomaga.

wklejam logi FARBAR zaznaczam, że system jest praktycznie po formacie świeży, jakies 5 dni temu formatowany:

FRST.txt (88,8 KB)
Addition.txt (42,5 KB)

A gdzie raport Shortcut.txt?

Sorry. Tutaj daje
Shortcut.txt (30,7 KB)

On jest opcjonalny i były moderator wywaliłby twój komentarz do działu kosz.

Zanim pojawi się fachowiec:
Podejrzewam, że tego Windowsa nie da się uratować i trzeba będzie czyścić wszystko do zera.

1. Sprawdź wersję BIOSu - np. HWiNFO64, czy jest nowsza wersja - ściągnij i w przygotuj do wgrania. Dobrze by było to zrobić na innym, pewnym komputerze. Nie wgrywaj nowego BIOSu z poziomu starego bo znowu będziesz miał to samo.

• utwórz za pomocą Rufusa bootowalnego pendrive z systemem FreeDOS (opcja wybór bootowania) a następnie skopiuj tam obraz BIOSu i program flashujący.
• zabootuj komputer z tego pendrive i wgraj BIOS, potem restart.

2. Sprawdzenie czy są jakieś ukryte partycje:

• windowsowy program partycjonujący nie pokazuje partycji „specjalnych”, te najlepiej zobaczyć z poziomu jakiegoś Linuksa Live albo samego programu Gparted (iso - jest na DB)
• wyczyść wszystko co znajdziesz na dysku, nie twórz żadnych partycji bo Windows sam je zrobi.

3. Wgraj nowego Windowsa - obraz musi być z pewnego źródła a pendrive przygotowany na innym komputerze. Nie loguj się na konto M$ tylko utwórz konto lokalne i na razie nie aktywuj Windowsa (masz na to sporo czasu). Popracuj z nim trochę i sprawdź czy coś dziwnego z nim się dzieje.

4. Rachunek sumienia czyli skąd przyszła infekcja:

• zasadniczo są trzy drogi infekcji - zarażony jakiś program/gierka, zainfekowana strona internetowa albo otworzony załącznik w poczcie nie wiadomo skąd. Inne sposoby naprawdę są rzadko spotykane. Jeśli masz jakieś „niepewne” programy wyrzuć je w cholerę.
• „…bo oba komputery są moje i tylko ja ich używam…” - czy na pewno? Może tylko na chwilę był ktoś obcy: kumpel, znajomy, sąsiad itp?

5. Zmień hasła do kont chmurowych (Microsoft, Google, etc) ustaw dwuskładnikowe logowanie. Zrób to z czystego innego urządzenia.

No dobra, tylko na początek chce wiedzieć co mówią logi. Bo istnieje opcja, że może po tym zajściu jestem przewrażliwiony i zdaje mi się.

KTOŚ KTOKOLWIEK ???

obraz1227×258 40.5 KB

Tyle partycji widzi partition master. Dziwi mnie ta „INNA” bo generalnie jak sprowadziłem dysk do 0 partycji i zainstalowałem windowsa, to powinny być 3. Dobrze myśle ? Rozruchowa, backupowa i główna.

Witaj @Damian

Dość skomplikowaną sytuację opisałeś.

Istnieje możliwość pojawienia się niechcianego programu na drugim komputerze, gdy masz włączoną synchronizację ustawień i aplikacji na koncie Microsoft
Ale jego inicjalizacja bądź instalacja musi być wykonana ‘ręcznie’

Nie wiemy, czy włamywacz miał dostęp zdalny do drugiego komputera

Jeśli podejrzewasz inicjalizację infekcji z ‘internetu’ to trudno będzie znaleźć winnego, możliwe, że pierwsze skany jakie wykonałeś przed formatem wykryły jakiś konkretny program lub wpisy do rejestru co mogłoby naprowadzić na rodzaj infekcji
Do tego dochodzą te próby logowania z różnych lokalizacji.

Przejrzałem logi.
Ogólnie to zdążyłeś wiele zainstalować w ciągu tych ostatnich dni
Są widoczne ustawienia zabezpieczające z ESET i BitDefender
Masz mało miejsca na dysku C i zapewne dlatego wyłączona jest możliwość robienia Punktu przywracania
W logach nie widać infekcji, choć kilka rzeczy bym oczyścił i usunął
Dlatego zrobię plik naprawczy. (Dziś już nie zdążę)
Czy dasz radę zrobić trochę więcej miejsca na C?
Mogę za pomocą FRST włączyć Tworzenie Punktów przywracania
Na pewno zrobię EmptyTemp, który usuwa wiele tymczasowych plików
Dodam oczyszczanie połączeń sieciowych

Spróbuję użyć kilku różnych narzędzi skanujących, do czasu zakończenia kontroli systemu, najlepiej nie loguj się do banków, sklepów, instytucji, itp.

Twój komputer w pracy też warto by było przeskanować MBAM i zrobić logi FRST (jeśli nie będziesz chciał ich wrzucać na Forum, możesz napisać do mnie na PW)

Pozdrawiam serdecznie
Juliusz

Komputer w pracy też czyściłem do zera i instalowałem ponownie. Nie wiem w sumie czemu tak mi zajęło ten dysk, nic takiego nie pobierałem i też mnie to dziwi. Głównie te programy antywirusowe, ale to nie tłumaczy pozostałej reszty, a podkreślam sformatowałem dysk do 0 i stawiałem od nowa wszystko.

Czy tyle wystarczy ?

W twoim przypadku sa dwie różne „sytuacje”.
Jedna przed tym co wczesniej opisałes a druiga po tej

To ta druga.

Masz tam cos w logach co nie powinno być i fixlist ci to naprawi

Ale jednoczesnie masz w systemie działajace 4 programy antywirusowe i dwa firewale, gdzie te trzy zewnętrzne, wraz z Defenderem ingeruja drastycznie w jądro systemu

Zaden Windows nie wytrzyma tylu „zabezpieczeń” co widać w Podgladzie zdarzeń

P.S.
W logach widac ze masz lub miałes zainatalowane cos z MEGA
C:\Users\damia\AppData\Local\MEGAsync
Mozna mieć , czemu nie ale. wyglada na to ze ta „chmura” taka bezpieczna nie jest.
O ile ja instalowałes

Gdybym miał ten problem co ty, to wykonałbym Fixlist.
A potem deinstalacja tych wszystkich zewnętrznych AV i firewali poprzez ich zewnetrzne deinstalatory, plus ten MEGA i zobaczył jak to działa.

Po co używasz jednocześnie i ESET-a, i BitDefender-a? Do tego masz jeszcze Malwarebytes, Surfshark-a i Bitdefender VPN?

Ludzie, myślcie przez chwilę perspektywą inną niż schematyczną i odnoszącą się do siebie.

Ja standardowo nigdy nie mam tylku programów, ale do jasnej ciasnej, kumacie co się u mnie wydarzyło ? Więc po tym jak postawiłem nowy system to zainstalowałem pierwsze jeden, skanowalem nic nie wykrył, potem drugi i tak dalej. Wcześniej używałem tylko defendera. Dla mnie ten system jest niepewny i licze się z tym, że go koleejny raz sformatuje, wiec nie bawie się w odinstalowywanie AV.

To MEGA to bez znaczenia, potrzebowałem użyć tego przed wczoraj i sam zainstalowałem, ale pierwszy wlasciwie raz.

Czyli co, mam założyć, że logi mam czyste, nic mi nie siedzi i gra gitara ? Bo podkreślam, że wtedy antywirusy też niczego nie wykrywały, ale była porobiona masa wyjątków w regułach. Jeszcze jedno wam pokaże co mnie niepokoi w obecnym systemie.

Czy to możliwe, żeby komponent w menadżerze urządzeń został zainstalowany przez komputer o innej nazwie jak nazwa mojego komputera ??

obraz1521×1010 61.8 KB

Ok, wiesz lepiej. To ja wysiadam

No taka prawda. Oczywiście, że mam dużo av, to jest stan przejściowy, system jest w trakcie obserwacji, a nie gotowy do działania.

W sensie, co, masz na myśli, że jak odinstaluje AV i zostawie jeden, to logi z FARBAR staną się bardziej wiarygodne ? Coś się w nich zmieni ?

Poczytaj ze zrozumieniem…

Nie, powinno być 4 i widać je wszystkie prawidłowo:

1. EFI
2. M$ Zarezerwowana (niewidoczna w windowsowym Zarządzaniu Dyskami)
3. Systemowa
4. WinRE (może być ich więcej)

Tak ma być.

a ty ze zrozumieniem zbyniu poczytaj post nad twoim…i dla pewności powooooli.

Od czegos trzeba zaczać.
Dostałes odpowiedź od @iJuliusz że zrobi ci skrypt naprawczy (fixlist).
Fixlist coś w tym systemie poustawia, wyczyści ale tylko to co „widzi”
Pamiętaj ze FRST nie jest cudotwórcą.
Nikt nie wie co sie dzieje w twoim systemie jeśli jest zainfekowany, zas logi pokazuja „drobiazgi” oraz ze jest między innym zapełniony i obładowany zainstalowanymi, działajacymi antywirusami co moze zaciemniać skanowanie.

Dlatego proponowałem sie ich pozbyć, zostawić Defendera, zrobić fixlist i zobaczyć czy jest jakas poprawa.
Jeśli nie, to dopiero wtedy próbowałbym wykonywać dalsze kroki.

Skanowanie systemu bootowalnymi skanerami AV
Np.

A takze uzyłbym FRST w środowisku WinRE. Wprawdzie wtedy trochę mniej rzeczy „widzi” ale nic mu wtedy nie „przeszkadza”

A jak to nic nie da, to pozostaje pełny format dysku, zresetowanie CMOS-u, przeinstalowanie UEFI i przeinstalowanie firware płyty głównej zanim zainstaluje sie system

P.S.

Driver jest identyczny jak u mnie, ten sam class guid.
Kwestja dotyczy tego co było pierwsze, instalacja czy zmiana pierwotnej nazwy komputera na te z konta bo w trakcie instalacji system przydziela własna tymczasowa nazwę z reguły zaczynajaca sie od DESKTOP- . Tu zaczyna sie od WIN ale to o niczym nie swiadczy.