Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Logi z FRST do sprawdzenia, podejrzenie keyloggera

Exen24 12 Kwi 2018 17:42 231 3
  • #1 12 Kwi 2018 17:42
    Exen24
    Poziom 6  

    Witam, ponownie piszę post, tym razem z problemem mojego znajomego.
    Podejrzewamy, że na jego komputerze na pewno coś się dzieje.
    Możliwe, że jakiś keylogger, bo co chwilę traci dostęp do kont i musi je odzyskiwać.
    Co trzeba zaznaczyć znajomy, przez bardzo długi czas nie korzystał z żadnego z antywirusów.
    Co robiliśmy:
    - Skan Malwarebytes + Antivirus + Adwcleaner,

    Dla pewności zrobiliśmy skan logów za pomocą frst, logi oczywiście w załączniku.

    Pozdrawiam

    0 3
  • #2 12 Kwi 2018 21:02
    safbot1st
    Poziom 43  

    Nie jest "czysto". Podaję fixlist.txt:

    Code:


    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2724729094-1045264471-904846200-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://pandasecurity.mystart.com/?pr=vmn&id=pandasecuritytb&v=4_3&utm_campaign=675&idate=2018-04-12&ent=hp_675&u=FAEDD0CB1BF94408C029355ACF7247E9
    SearchScopes: HKU\S-1-5-21-2724729094-1045264471-904846200-1000 -> DefaultScope {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = hxxp://pandasecurity.mystart.com/results.php?pr=vmn&gen=ms&id=pandasecuritytb&v=4_3&idate=2018-04-12&ent=ch_675&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2724729094-1045264471-904846200-1000 -> {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = hxxp://pandasecurity.mystart.com/results.php?pr=vmn&gen=ms&id=pandasecuritytb&v=4_3&idate=2018-04-12&ent=ch_675&q={searchTerms}
    FF Homepage: Mozilla\Firefox\Profiles\ezex8t9w.default -> hxxp://pandasecurity.mystart.com/?pr=vmn&id=pandasecuritytb&v=4_3&utm_campaign=675&idate=2018-04-12&ent=hp_675&u=FAEDD0CB1BF94408C029355ACF7247E9
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    CHR DefaultSearchURL: Default -> hxxps://pandasecurity.mystart.com/results.php?pr=vmn&id=pandasafeweb&v=1_0_chromeextension_unknown__&searchfeed=web&hsimp=yhs-panda1&ent=ch_ss&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> safeWeb
    CHR HKLM\...\Chrome\Extension: [fagakgcelolinfnkfgekcnedpaklfcok] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fagakgcelolinfnkfgekcnedpaklfcok] - hxxps://clients2.google.com/service/update2/crx
    S3 mracsvc; C:\Windows\System32\mracsvc.exe [7409368 2017-12-28] (LLC Mail.Ru)
    S3 X6va064; \??\C:\Windows\SysWOW64\Drivers\X6va064 [X]
    Task: {6B8E8347-962E-46B6-9185-177797A03C18} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe [2017-11-23] ()
    C:\Program Files (x86)\IObit\
    EmptyTemp:

    I coś mi nie pasuje z:
    Code Integrity is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\user32.dll because the set of per-page image hashes could not be found on the system.
    Plik user32.dll powinien być podpisany cyfrowo, a być nie może ze wzg. na powyższy błąd, dlatego zamieść na początek widok na SMART z Crystal Disk Info.

    0
  • #3 12 Kwi 2018 22:13
    Exen24
    Poziom 6  

    Niestety, dopiero teraz uzyskałem screena z CrystalDiskInfo, podaję.
    Logi z FRST do sprawdzenia, podejrzenie keyloggera

    0
  • #4 12 Kwi 2018 22:30
    Kolobos
    Spec od komputerów

    Dysk do wymiany.

    0