Pomocy
#1
Witam. Zacznę od tego, że około 2 lat temu skradziono mi 2 konta e-mail i 2 inne konta (nie wiem czy ma to coś do tego). Jestem przekonany, że ktoś mnie szpieguje lub w jakiś sposób wykrada dane. Żaden format dysku i windowsa nic nie daje. Wydaje mi się, że mam zainfekowany UEFI bo jak format nic nie daje a dalej ktoś wykrada dane to tak myśle(nie wiem czy to jest wogóle możliwe). Żaden antywirus nic nie wykrywa (malwarebytes,eset,avast,comodo). Pare dni temu skanowałem programem Microsoft Windows Malicious Software Removal Tool i w czasie skanowania wykryło 4 zagrożenia a pod koniec skanowania pokazało że komputer jest czysty i nie ma zagrożen. Pisze zupełnie poważnie, Proszę o pomoc

Skan FRST:

[Aby zobaczyć linki, zarejestruj się tutaj]

Skan FRST Addition: 

[Aby zobaczyć linki, zarejestruj się tutaj]

Skan FRST Shortcut: 

[Aby zobaczyć linki, zarejestruj się tutaj]

#2
A zmieniłeś hasło do poczty...
1)Jeśli miałeś powiązane 2 poczty to kradnąc hasło z 1 głównej mógł wykorzystać proces odzyskiwania do otrzymania 2 konta mail..
2)może podawałeś lub przypisałeś konto poczty do jakieś dziwnej strony lub śmieciowych ficzerów typu FB

Jeśli nie zablokowałeś mu dostępu przez te 2 lata do twoich danych skutki mogą być opłakane...
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
#3
Miałem 2 e-maile na dwóch różnych pocztach (interia,gmail) i nie były one powiązne metodą odzywskiwania. Jeden e-mail był przypisany do FB, możliwe ze coś jeszcze (nie pamiętam). Nawet jeśli to jest taka możliwość, że przez e-mail wykrada mi dane z komputera? Jakim sposobem miałem zablokować dostęp jak nie da się odzyskać hasła.
#4
Przedstaw co pokazał wymieniony program - Microsoft Windows Malicious Software Removal Tool

Mało prawdopodobne że masz UEFI zainfekowany, były takie przypadki nie powiem, ale sporadyczne. Wątpię też że i nawet MBR jest zainfekowany.

Nie przedstawiłeś pełnego raportu ze skanowania, brak podstawowego FRST.txt 

Skoro dwa lata temu nastąpił problem z tymi kontami, to co sprawiło teraz (sądząc) że jesteś szpiegowany ?

Wykonaj dodatkowy skan posługując się GMER

[Aby zobaczyć linki, zarejestruj się tutaj]


Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

uruchom i kliknij w Change paramters, zaznacz wszystko, klik ok i następnie Start Scan
Po wszystkim przedstaw raport po skanowaniu, ale nie przenoś niczego do kwarantanny i nie usuwaj.
#5
Skan FRST poprawiony u góry. Microsoft Windows Malicious Software Removal Tool pokazał podczas skanowania 4 pliki zarażone wiem, że jeden z nich był w faceitclient.exe bo akurat patrzyłem na skanowanie, a na koniec skanowania pokazał, że brak szkodliwego oprogramowania i wszędzie "Niezarażony" (screen:

[Aby zobaczyć linki, zarejestruj się tutaj]

). Sądzę, że jestem szpiegowany bo zauważyłem, że wyciekają mi dane z komputera (wiem słaby argument, ale wiem swoje).
Skan GMER:

[Aby zobaczyć linki, zarejestruj się tutaj]

Sciągnałem TDSSKiller, zaznaczyłem wszystkie opcje i przy jednej opcji wyskoczyło okienko żebym zrobił reset komputera (reboot now) kliknąłem to reboot now i komputer zatrzymał się na zamykaniu komputera przez ok. 10 minut i nagle wywaliło blue screena ale nie zdążyłem zauważyć jaki plik był tego przyczyną.
Raport TDSSKiller:

[Aby zobaczyć linki, zarejestruj się tutaj]

#6
Rozczaruje cię ale nie ma tu żadnej infekcji, więc twoje podejrzenia są błędne.
Jedynie kto cię może szpiegować to sam Microsoft (telemetria), Google i dwie apki -  EasyAntiCheat, FACEIT Client. EasyAntiCheat teoretycznie mógłby wykonywać zrzuty ekranu jakby wykrył jakieś nieprawidłowości (modyfikowane pliki) podczas grania, ale nie popadajmy też w panikę.

Drobne poprawki:

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
GroupPolicyScripts: Ograniczenia <======= UWAGA
Toolbar: HKU\S-1-5-21-2497104145-3049355706-2374916462-1000 -> Brak nazwy - {093F479D-712E-46CD-9E06-62E734A05F68} -  Brak pliku
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
S3 RTL85n64; system32\DRIVERS\RTL85n64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\ProgramData\AVAST Software
C:\Program Files (x86)\Temp
C:\Program Files\Common Files\AV
C:\ProgramData\Kaspersky Lab Setup Files
Task: {F0A76D36-B2EE-459D-8EF9-6A3CA2964863} - System32\Tasks\{8E58FD33-82EA-4D87-9737-CD061D67904B} => pcalua.exe -a "C:\Users\terefere\Downloads\Nowy folder\SMCWPCI-G_Vista_v1.0.0.0\setup.exe" -d "C:\Users\terefere\Downloads\Nowy folder\SMCWPCI-G_Vista_v1.0.0.0"
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

Posiadasz też wadliwe urządzenia w Menedżerze urządzeń, sprawdź je.

Firewall w CIS przy aktywnej i dobrze skonfigurowanej ochronie powinien dać odpowiednie komunikaty przy niepodpisanych i nieznanych dla nich apkach. Tak więc można wszystko w jakiś sposób to sobie kontrolować.
#7
O tym, że windows jest czysty to ja wiedziałem od początku, dlatego moje podejrzenie pada na UEFI lub jak pisałeś partycje MBR. Wadliwe urządzenie to od karty sieciowej ethernet nic poważnego.
Raport:

[Aby zobaczyć linki, zarejestruj się tutaj]

Jeszcze znalazłem jeden log z TDSSKiller:

[Aby zobaczyć linki, zarejestruj się tutaj]

#8
Tak więc to już by było na tyle, log z tdsskiller nic nie znaczący. Jeśli nadal masz obawy o bezpieczeństwo, to powinieneś pozmieniać wszędzie hasła.
#9
Na wszelki wypadek zmienię hasła, ale powiedz mi co mi da, że zmienię wszędzie hasła jak te dane wyciekają z komputera a nie z internetu?
#10
Ale napisz po czym to stwierdzasz ? Bezpodstawne gdybanie nie ma sensu. Chcesz mieć większą pewność to wyzeruj dysk i zmień bios.
#11
Dysk zerowałem i dalej sądze, że dane są wyłudzane chyba że źle to robiłem. Mogłbyś chociaż napisać wskazówki jak kompletnie wyzerować dysk lub zmienić, odnowić UEFI? Z góry dziękuje
#12
Napisz w innym dziale Jak wyzerować dysk i zaktualizować bios.

Temat ten zamykam, bo nie widzę sensu ciągnięcia tego dalej.


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości