Podejrzenie infekcji

Witam. Mogłem być narażony na działanie osób trzecich w swoi laptopie i chciałbym się upewnić, że wszystko jest okej. W tym czasie odnotowałem parokrotny brak kontroli nad myszą/bądź klawiaturą na parę sekund (np. podczas nadawania nazwy vpn). Proszę o sprawdzenie skanu z FRST.

Skan FRST ma 3 pliki - weź zedytuj post i dołącz pozostałe

Poza tym na pierwszy rzut oka masz strasznie dziwny plik hosts. Poczekaj na @iJuliusz z pomocą.

Mógł skanować z trybu awaryjnego, wtedy można tylko pomarzyć o addition i jednak opcjonalnym shortcut (można by go przejrzeć na koniec w ramach rozszerzenia kosmetyki).

Podsumowując: skan był z normalnego rozruchu i chytrus skleił frst z addition i jedynie nie zaznaczył shortcut.

Raczej sklejenie nie jest złe jak pierwszy skan leci przez „FiRST” a potem w trybie czytania od deski do deski za elementami groźnymi jakich algorytm apki jeszcze nie rozpoznaje.

Ale nie skanował więc po co ta pisanina.

Wątpię że @aesereht zajrzy kiedyś do wątku „fixitpc”, gdzie jest napisane że zrobi 1 plik.

Lub angielskiego wątku gdzie opisują jak kiepski jest wypluty siłowo addition z trybu awaryjnego.

Uruchom FRST, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” → https://pastebin.com/raw/BNex0zzF

Plik naprawczy przeznaczony jest tylko dla autora wątku!
Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt

Przeskanuj dodatkowo następującymi programami:

Przed rozpoczęciem skanowania adwcleanerem zaznacz wszystkie opcje naprawy podstawowej.
Usuń znalezione zagrożenie, w przypadku adwcleanera pomiń preinstalowane aplikacje.
Pokaż pliki wynikowe z działania skanerów. Czy MBAM coś wykrył wcześniej?

Zmień serwer DNS na Quad9 → YouTube (podstawowy 9.9.9.9, zapasowy 149.112.112.112)

Załącz nowe logi FRST i Addition do wglądu.

1 polubienie

Fixlog: fixlog - Pastebin.com

Skany po naprawie:
FRST - frst - po naprawie - Pastebin.com
Addition - addition - po naprawie - Pastebin.com

W windows mam włączoną ochrone przed ramsoware i podczas skanowania FRST wyskoczył komunikat o zablokowaniu svchost.exe w folderze chronionym \Device\HarddiskVolume1. Odblokować to?

RogueKiller nic nie znalazł, tak jak skan i podstawowa naprawa uruchomiona po skanowaniu.
Co do mbam, to jedynie wykryło malware heuristic (1008) w aplikacjach przeze mnie napisanych. Robiłem głęboki skan w poszukiwaniu rootkitów co leciał jakieś 7h. Jeszcze emisoftem wcześnie robiłem, ale on wykrywał mi malware w apkach MSI, stealseries i razera, jak i dodatkach do firefoxa.

DNS podmieniony. Dziwi mnie jedna rzecz, skąd adres DNS jako 192.168.0.8? Brama ma inny adres. Mam dwa urządzenia (router/antena na dachu i z niego pociągnięty kabel do hotspota by mieć wifi), więc DNS na tym hotspocie ma adres DNS z sieci komórkowej z której jest ten net (mimo innych ustawień na hotspocie).

Jeszcze zwróciłem uwagę na to, że polecenie arp- a w cmd, nie zwraca mi urządzeń w sieci, tylko 5 adresów statycznych. To normalne?

Omawiana funkcja „kontrolowany dostęp do folderu” w Windows Defender jest dość agresywna i uniemożliwia dostęp do odczytu wielu programom (np. RogueKiller) więc wcale mnie to nie dziwi. Zablokowany proces jest raczej bezpieczny. Na czas skanowania i naprawy opcję możesz tymczasowo wyłączyć.

Skoro AdwCleaner nic nie znalazł po skończonym skanie uruchom opcję naprawy podstawowej (zamiast zamknąć program lub pominąć naprawę), bo wciąż masz wiele wpisów IE restricted site: (lub usuń je ręcznie w taki sposób).

192.168.8.1 jest adresem domyślnym wielu routerów Huawei.

Pozostanie jeszcze wykonanie następującego skryptu → https://pastebin.com/raw/pUu0CH4J

Podrzuć nowe logi FRST. Być może @iJuliusz coś doradzi i je przejrzy, gdyż ma zdecydowanie większą wiedzę i dostęp do wielu narzędzi. :wink:

1 polubienie

Powinna ci zwrócić w pierwszej kolumnie adres, w drugiej MAC a w trzeciej opis stanu (statyczny czy dynamiczny

2021-12-29 21.08.18 www.webservertalk.com cd676ccfac94

Ale chyba lepiej mieć strony tego typu w tych z ograniczeniami. Podejrzewam, że jakichś z programów antyspyware mi dodał te wpisy. Czemu miałbym je usuwać?

Tylko ja nie mam routera huwei, a tp link i jego adres jest inny.

Co ten skrypt ma zrobić? Ograniczyć gpedit? I o co chodzi ustawieniem dhcp na google i cloudfire?

Tak, zwraca mi adres bramy i cztery statyczne. Po prostu wydawało mi się, że powinno pokazać wszystkie urządzenia w sieci (inne adresy dynamiczne wskazujące na innych użytkowników).

Wiesz co to MAC? To fizyczny adres urządzenia mającego dostęp do sieci a nie jego nazwa.
Masz tu link do najprostszego wyjaśnienia czym jest ARP i do czego służy. Jak nie zrozumiesz to ja juz prościej nie dam rady, moze kto inny.

P.S. Nie pytaj co to „enkapsulacja”,

Decyzja z reguły jest w tych ustawieniach.