Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Prośba o rzut okiem na logi FRST

markooff 23 Lip 2017 07:59 345 2
  • #1 23 Lip 2017 07:59
    markooff
    Poziom 12  

    Witam,

    chciałbym poprosić o rzut okiem na załączone logi z FRST . Czego szukam ?
    Kilka dni temu zauważyliśmy w mojej firmie włamy na niektóre mało istotne konta,
    głównie do gier, wypożyczalni, serwisów książkowych itp. u niektórych ludzi. Ale również kilka maili w ten sposób poleciało. Oczywiście bardzo prawdopodobne jest to, że przyczyną mogła być obserwowana fala ataków (włamań) do serwisów przez ataki słownikowe na formularze do logowania (opisana na łamach serwisów branżowych) oraz słabość niektórych haseł. Niemniej niektóre z haseł które nam "wyciekły" nie były bardzo słownikowe (długości od 10 w górę znaków różne kombinacje LEETu z H@X0RZ :) ) więc zastanawiam się nad możliwością czy ew. jakiś sprytnego keylogera ktoś nie złapał. Sprawdzałem już dość dużo, zwracałem uwagę na podejrzane biblioteki ładujące się przy starcie maszyn w biurze, sprawdzałem ich pochodzenie oraz podpisy cyfrowe, próbowałem uruchomić w sterylnym środowisku, patrzyłem na ew. duplikacje procesów takich jak csrss.exe (zwłaszcza z dziwnych lokalizacji), szukałem ostatnich "dziwnych modyfikacji czy zmian " sprawdzałem ADS dla niektórych aplikacji i plików itp itd .... i na razie nie znalazłem nic. Dlatego załączam skan z jednej z "podejrzanych" maszyn, skoro nie mam już wielu pomysłów chciałbym zasięgnąć rad i zdania bardziej doświadczonych ludzi (nie zajmuję się tak mocno Windowsem).

    Z góry będę wdzięczny za ew. wskazówki i/lub pomoc.

    Pozdrawiam
    serdecznie

    IPD: dysponuję też innymi logami (np. z Hijacka) gdyby coś to mogę podać, ale wiem ze preferujecie tu FRST.

    0 2
  • Pomocny post
    #2 23 Lip 2017 09:01
    Kolobos
    Spec od komputerów

    W logach nie widac nic ciekawego.

    0
  • #3 25 Lip 2017 03:00
    markooff
    Poziom 12  

    Cóż, odczekałem trochę - może ktoś jeszcze miałby coś do dodania, ale skoro nie :) to i tak dzięki za pomoc.

    Punkty dodane - temat można zamykać .

    Pozdrawiam

    0