Witam. Mam na laptopie jakiś program szpiegujący i mam wrażenie że czasami ktoś przejmuje zdalnie dostęp do laptopa. Używałem kilku antywirusów ale żaden nic nie wykrył. Program FRST generujący raport miał domyślnie zaznaczoną opcję 1 miesiąc a Laptopa nie używałem od kilku miesięcy, nie wiem czy to istotne.
Addition_124313.txt (28,2 KB)
FRST_124319.txt (35,0 KB)
Shortcut_124319.txt (22,5 KB)

Jak załączyć tu raporty z FRST, nie widzę takiej opcji.

21499×894 39.1 KB

Lub przeciągnij logi i upuść w okienku tekstowym.

Zalacz logi o może @iJuliusz zetknie. To on się tymi rzeczami tu zajmuje.

Raporty dodałem.

Witaj @Bartek70

Przejrzałem logi.
Proponuję usunąć Avasta, a następnie zrobić skanowanie MBAM

• Pobierz MalwareBytes MBAM 5
• Zamknij wszystkie aktywne programy i przeglądarki.
• Uruchom plik instalacyjny
• Wybierz Zastosowania domowe
• Pomiń instalację Browser Guard, na tym etapie nie jest potrzebny
• Po zakończonej instalacji Otwórz MBAM
• Pomiń Pierwsze kroki
• Wybierz Ustawienia z lewej strony
• Ogólne - wyłącz opcję Uruchom program Malwarebytes w tle …
• Przejdź do Skanowanie i wykrycia
• Włącz Skanuj w poszukiwaniu Rootkitów
• Wróć do Głównego Menu
• Rozpocznij skanowanie, po przeskanowaniu oczyść to co znajdzie, wklej plik wynikowy.

Będziemy robić jeszcze inne skany, ale po kolei

Pozdrawiam serdecznie
Juliusz

Na jakiej podstawie tak sądzisz?

Wyłączona Pomoc Zdalna (domyślnie włączona)? I Dostęp zdalny (domyślnie wyłączony)?
[okienko ochrona systemu]

Firewall ustawiony na blokowanie wszystkich połączeń przychodzących?
(przychodzące = ktoś się łączy z Tobą
wychodzące = Ty wchodzisz na stronę internetową = łączysz się z serwerem)
To są podstawowe rzeczy które robię po instalacji systemu.

Program nic nie wykrył.

To są dobre rady ale przed zainfekowaniem komputera. Aktualnie laptop mam odłączony od internetu całkowicie i mam nadzieję że uda się go wyleczyć bez konieczności formatowania dysku, co podobno też nie daje 100 procent pewności.

Dostałes pytanie dotyczace infekcji.

Skoro uzywałes kilku AV a MBAM, Avast i Defender nic nie wykrywają.

Na podstawie objawów. Dużo pisania by było. Jeśli Juliusz będzie potrzebował takiej informacji to napiszę. Na pewno coś siedzi, mogło zostać coś zainstalowane nie koniecznie przez internet ale fizycznie przez bezpośredni dostęp do laptopa, jest to prawdopodobne w tym przypadku.

MBAM nic nie znalazł
Sprawdzamy dalej

RKill
W zależności od zachowania się systemu po pobraniu jednej z wersji programu, tj. zablokowania zapisu lub uruchomienia, pobierz kolejny plik z czterech dostępnych
Gdy już się uda pobrać i uruchomić, przeskanuj system, może pojawić się czarny ekran przed zakończeniem skanowania. Zapisz plik wynikowy i wstaw do wglądu.

Jakich objawów?

To pisz. Nie masz na to czasu?

Tu „Kaszpirowskich” nie ma a @iJuliusz nie jest cudotwórcą

No chyba ze piszesz „prywatne” posty do @iJuliusz i tam Duzo pisania jest oraz logi ale wtedy przejdź całkowicie na prywatne posty by innym głowy nie zawracać i uprzedź o tym.

Rkill nic nie znalazł.
Co do objawów to przede wszystkim ktoś śledził on-line moją korespondencję na OLX, programie pocztowym Gmail i tlen. Albo jakiś program robił print screeny i gdzieś to wysyłał albo jakiś bezpośredni pogląd. Dodatkowo czasami nagle robił się czarny ekran i laptop jakby się zawieszał, po czym po np. 2 minutach wszystko wracało do normy ale po jednym z takich wyłączeń nie działała mi myszka, okazało się w ustawieniach myszki zmienił się klawisz z lewego na prawy, dziwne żeby takie ustawienie samo się zmieniło.
Dam przykład z OLX, pisałem do fachowca z prośbą o przesłanie ofert na maila. Nic nie dostałem. Na drugi dzień zadzwoniłem do niego i on mi powiedział, że zaraz po tym jak mu wysłałem wiadomość ktoś do niego zadzwonił i poprosił żeby jednak tą ofertę wysłać mu na telefon, on wysłał a ta osoba stwierdziła że odpuszcza temat. Gdyby to był pojedynczy przypadek można by to uznać za zabieg okoliczności czy coś w tym stylu ale takich podobnych przypadków było więcej.
Podobno szpieg może być też zainstalowany na routerze? Przywracalem router do ustawień fabrycznych, czy to daje pewność że jeśli coś tam było to się usunęło?

FR nic nie da. Trzeba wgrać ROM na nowo.

Jaki router?

Netia

Wykaz miejsc gdzie może schować się wirus:

• Firmware urządzeń (UEFI, BIOS).
• Dyski twarde i SSD (obszar MBR/GPT).
• Urządzenia USB (pendrive, klawiatury, myszki).
• Pamięć RAM.
• Pliki systemowe (np. rejestr Windows).
• Oprogramowanie (np. aplikacje, sterowniki).
• Routery i urządzenia sieciowe.
• Kamery internetowe i inne urządzenia IoT.
• Pamięci EEPROM w urządzeniach.
• Systemy wirtualne (VM).

Skanujemy dalej
Rogue Killer

Pobierz, uruchom i przeskanuj
Wstaw plik wynikowy

To nie jest jakakolwiek informacja a jedynie to co sobie wyobrażasz.

Na jakiej podstawie tak twierdzisz?

To jest jedyna, w miarę konkretna informacja o tym co u Ciebie sie działo.

Log z Addition wskazuje tylko ze w tamtym roku Defender blokował Avastowi dostep do konkretnego folderu.
@iJuliusz napisał

Dodatkowo wskazuje na problemy z DTS i na cos z System Windows który nie może załadować biblioteki DLL rozszerzalnego licznika w C:\WINDOWS\system32\sysmain.dll
Ale to tylko jednorazowe zdarzenie w/g tego co wskazał FRST, chyba ze w Podgladzie zdarzeń jest więcej takich logów to wtedy masz problem z usługą SysMain (Superfetch)

Np. na podstawie jaki opisałem z OLX.