Odnośnie firewall to na początku po zainstalowaniu zablokowałem cały ruch i potem dodawałem wyjątki jeśli coś mi znanego potrzebowało dostępu do internetu. Czy możliwe jest aby wirus omijał firewall? Ewentualnie nie był osobnym programem tylko siedział w środku jakiegoś zaufanego programu któremu udzieliłem dostęp do internetu? Dodam że firewall w dzienniku zdarzeń miał informację że zablokował 3 ataki ale nie było tam więcej szczegółów na ten temat.

Killer coś znalazł. Szczegóły w raporcie.
as_6914.tmp_122117.txt (3,1 KB)

Sprawdziłem ścieżkę dostępu do tego pliku, w katalogu programs nie ma katalogu Messenger, mam zaznaczoną opcję pokaż ukryte pliki.
Jest katalog Messenger ale w katalogu Local, ale tam nie ma pliku Messengerhelper.exe
Puściłem wyszukiwanie tego pliku na całym komputerze i system nic nie znalazł o takiej nazwie.

Meta
└── [Suspicious.Path (Potencjalnie złośliwy)] \Meta\Messenger-SL-Helper-S-1-5-21-4271320283-416050040-2111702787-1001 – C:\Users\robsi\AppData\Local\Programs\Messenger\MessengerHelper.exe [–lassie] → Wykryto

Log FRST wskazał.

Task: {C2F2B2E1-A541-464C-8103-F4BE455B125D} - System32\Tasks\Meta\Messenger-SL-Helper-S-1-5-21-4271320283-416050040-2111702787-1001 => C:\Users\robsi\AppData\Local\Programs\Messenger\MessengerHelper.exe --lassie (Brak pliku)

Jest raczej trochę starawy. Nie aktualizowany od prawie trzech lat choć jeszcze zauwazył to co FRST

Roq818×422 30.7 KB

Napisz konkretnie na jakiej podstawie sadzisz ze masz zainfekowany system.

Wrazenie to za mało.

To nie jest informacja o systemie a bajka którą ktos ci opowiedział.

A jak pan wytłumaczy czarne ekrany i samoistną zmianę ustawień myszy w systemie w tym czasie?

Czasami to nie znaczy ze w tym samym czasie.

Moze to być problem sprzetowy lub systemowy.
W Addition widze np. to

Error: (11/22/2024 10:59:50 AM) (Source: Netwtw10) (EventID: 5002) (User: )
Description: Intel(R) Wireless-AC 9461: stwierdzono, że karta sieciowa nie działa właściwie.
5002 - uCode SW error (SysAssert, NMI)

Jak wiele jest tych zdarzeń i czy miały wplyw na twoje postrzeganie tego co sie działo? Nie wiem.

P.S.
Z logów wynika ze twoja przegladarka była (jest) przegladarką Avasta.
@iJuliusz zasugerował byś całosc avasta wywalił, nie bez przyczyny.

Masz pewnie jakies załozone konta np. pocztowe.
Może masz je zhakowane. Pomyslałes o tym?
Sprawdź

Urzekająca historia…
Ktoś pilnuje Cię 24h skoro tak szybka reakcja skoro chwile po Twojej prośbie dzwoni do tego ‘fachowca’.

Zdradź tajemnicę ktoś Ty, że atak jest bezpośrednio na Ciebie !?

Wystarczy, że ktoś ma urządzenie na którym jest zalogowany do tego samego konta OLX. Np. stary telefon, tablet, komputer, które zostały sprzedane, wyrzucone itp. bez wykasowania danych.

Ewentualnie, można takie dane było uzyskać wcześniej, gdy jakiś sprzęt był zawirusowany, lub nawet udostępniony, albo oddany do nieuczciwego serwisu. Kiedyś miałem klientkę, której wszystkie meble z lokalu były mąż wystawił na Allegro za 1zł. Wypisywał różne rzeczy na FB, rozsyłał maile itd. Naprawdę nie musiał w tym celu nigdzie się włamywać.

Po co mi to piszesz

Po prostu źle zaznaczyłem link i omyłkowo poszło jako odpowiedź do ciebie.

tez mam netie I maile podobne obiawy, to ze ktos czyta twoje maile to jest atak MITM, man in the middle, pozniej obiawy Lewy przycisk myszy zamieniony to jest dopiero poczatek, obaiwy beda jak kiedys na netbusie. I to jest nowa jego wersja najprawdopodbniej.

KTO: byly szef, uczelnia, zolnierze nizszych szczebli, wyzszych szebli robia to inaczej , ktos za granicy

DLACZEGO: Jedynie trafilem na odpiewiedz taką, ze to przez torrenty (maja „twoje” IP), nawet nie ty musialeś sciagać ale ktoś z netii co mial twoje obecne IP (zmienne jest tam). To malo satysfakcjonujaca odpowiedz, ale innej nie znalazlem. Przez lata MITM mialem od 2005 roku podejrzewałam moją ex, ale to chyba nie ona.

Nie.

Takie rzeczy to tylko Hackerman potrafi, ale to nie on, bo on jest po jasnej stronie mocy

Tak bardziej na poważnie. Ten czary ekran mnie zastanawia. Tzw Remote Access Trojan (RAT) to trojany, które mają możliwość wyłączenia ekranu na zaatakowanym komputerze. W tym czasie atakujący może zrobić co chce, a Ty nic nie widzisz.

Z tym że, skanowanie Twojego komputera jak na razie nic nie wykazało. Co to infekcji poprzez Torrenty, to że ktoś ściągał na tym samym IP zewnętrznym i teraz ty masz problem, to totalna bzdura, nie wierz w takie rzeczy.

Żeby złapać coś przez torrenty, musisz pobrać torrent z zainfekowanymi plikami a następnie te pliki uruchomić. Np zainfekowana gra. Film czy muzyka na 99% nie (1% pozostawaim na bardzo nietypowe przypadki)

Generalnie chwilowy czarny ekran najczęsciej powodowany jest przez aktualizację sterowników karty graficznej poprzez Windows Update.

Puszczę jeszcze kilka skanów innymi programami, jak nic nie znajdą to jeszcze raz zainstaluje firewall i usunę widoczność komputera w sieci. Jeśli nadal coś będzie się działo to zainstaluję system na nowo.
Na moim poprzednim laptopie miałem trojana, antywirus go wykrył, mógł wykraść dane logowania do kont pocztowych czy OLX ale od tego czasu hasła wszędzie pozmieniałem a na Gmailu mam weryfikację dwuetapową z SMS na telefon.
Co do Netii, czy to prawda że dostawca internetu ma dostęp do wszystkiego co robię na komputerze, włącznie z treścią maili, jeśli nie używam VPN?

Widzi co najwyżej tytuły wiadomości, ale to i tak mało prawdopodobne.

Dziś praktycznie wszystko idzie poprzez połączenie szyfrowane.

• jeżeli korzystasz z poczty, np poprzez stronę WWW, np gmail.com, czy podobną to dostawca widzi, że korzystasz ze strony gmail.com i nic więcej. Żadnych tytułów maili, żadnej treści nie widzi.

• jeżeli korzystasz z programu pocztowego, takiego jak Outlook, czy Thunderbird to praktycznie wszystkie skrzynki wymuszają dziś szyfrowane połączenie. W tym przypadku dostawca również widzi jedynie do którego serwera się łączysz

• jeżeli przeglądasz strony WWW, to dostawca może sprawdzić z jaką domeną się łączysz, ale nie może sprawdzić co dokładnie oglądasz. Tzn wie, że wchodzisz np na https://www.dobreprogramy.pl/ ale nie wie na jakie strony. Nie jest w stanie zobaczyć, że czytasz np artykuł https://www.dobreprogramy.pl/giganci-branzy-pc-o-ktorych-zapomnielismy-czesc-3,7088483994606336a

• jeżeli korzystasz z DNS’ów swojego dostawcy (w 99% przypadków tak) to dostawca widzi o jakie domeny pyta system. Tylko domeny, jak powyżej

Podsumowując, dziś dostawca w 99% przypadków widzi jedynie z jakimi IP i czasami z jakimi nazwami domen się łączysz

VPN zmienia tyle, że dostawca VPN’u widzi to co do tej pory widział Twój dostawca Internetu.

Jeżeli używasz DNS’u innego niż DNS dostawcy, to wtedy twój dostawca Internetu widzi z jakimi IP się łączysz i w przypadku stron WWW (HTTPS) - z jakimi domenami (nazwa domeny przesyłana jest w sposób jawny a dopiero potem zestawianie jest połączenie szyfrowane). Dodatkowo twój inny dostawca DNS’a widzi o jakie domeny pyta system.

No chyba że masz VPN, wtedy oni widzą tylko połączenie od dostawcy VPN’u a dostawca VPN’u widzi wszystko (tzn głównie adresy IP i nazwy domen). Podobnie z DNS-over-HTTPS

Mozna powiedzieć, że dziś w praktyce w żadnym przypadku żaden z dostawców nie widzi przesyłanej treści. Widzą ją natomiast firmy, które dostarczają usługi, np gdyby była taka potrzeba, to firmy udostępniające skrzynki pocztowe takie jak np Google, WP czy Onet mogą czytać treść maili przychodzących do tych skrzynek.

Podobno są jeszcze takie, gdzie widać tytuł w adresie.

Trudno mi to sobie wyobrazić w jaki sposób, ale może jakies zabytki, raczej nisza.