Witam, proszę o sprawdzenie logów pod kątem keylogerow oraz tego typu urządzeń.
FRST - Dostępne tylko dla zarejestrowanych użytkowników
Addition - Dostępne tylko dla zarejestrowanych użytkowników
Shortcut - Dostępne tylko dla zarejestrowanych użytkowników
Prośba o sprawdzenie logów
-
electrolux
- Posty: 319
- Rejestracja: 06 lut 2017, 00:26
Prośba o sprawdzenie logów
Masz do czynienia z Tibią, więc prawdopodobnie masz kilka tysięcy Keyloggerów na kompie, ale one są niewykrywalne (Tibia specjalizuje się w ich ukrywaniu).
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
Zrób nowy log FRST - już bez Addition, i bez Shortcut.
.
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
HKLM\System\...\Parameters\PersistentRoutes: [66.117.29.228,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [192.88.99.1,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.200,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [13.107.21.200,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.201,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.203,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.206,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.204,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.208,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.209,255.255.255.255,127.0.0.0,1]
CHR HKLM\...\Chrome\Extension: [nlnpeeaafijaebcdgkdeojkpnkfkjdnh] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2641795252-1688151887-1789240365-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
Zrób nowy log FRST - już bez Addition, i bez Shortcut.
.
-
Creed
- Posty: 9
- Rejestracja: 17 lip 2019, 23:01
-
electrolux
- Posty: 319
- Rejestracja: 06 lut 2017, 00:26
Prośba o sprawdzenie logów
Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
Zrób nowy log FRST.
Linijki podobne do tych w ostatnim "fixlist" (tzn kończące się na 127.0.0.0,1) wklej do nowej "fixlist" i postępuj tak samo, jak ostatnio.
HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.210,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [204.79.197.211,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [152.199.19.161,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [198.78.212.126,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [206.33.58.254,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [4.27.28.126,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [192.221.106.126,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [69.171.239.12,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [34.250.48.64,255.255.255.255,127.0.0.0,1]
HKLM\System\...\Parameters\PersistentRoutes: [34.243.136.23,255.255.255.255,127.0.0.0,1]
Reboot:
Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).
Zrób nowy log FRST.
Linijki podobne do tych w ostatnim "fixlist" (tzn kończące się na 127.0.0.0,1) wklej do nowej "fixlist" i postępuj tak samo, jak ostatnio.
-
Creed
- Posty: 9
- Rejestracja: 17 lip 2019, 23:01
Prośba o sprawdzenie logów
Czyli mam po prostu cały czas to usuwać.... tego zostało 386 co to w ogóle jest? bo to raczej infekcja nie jest tylko jakieś DNSY z chin,usa czy tego typu krajow?
-
electrolux
- Posty: 319
- Rejestracja: 06 lut 2017, 00:26
Prośba o sprawdzenie logów
Tak, to DNS'y.
Nie podoba mi się zwłaszcza to "127...."
podaję szybszy sposób usunięcia tego ...
>>START >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
>rozwiń ten klucz,klikając na (+):
>(+)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
>w okienku po prawej zaznacz: domyślna>>prawoklik>>Modyfikuj>>w okienku, które wyskoczy zaznacz: wszystko >>prawoklik>>usuń
>zwiń ten klucz, klikając na (-).
Nie podoba mi się zwłaszcza to "127...."
podaję szybszy sposób usunięcia tego ...
>>START >>> Uruchom >>> wybierz (lub wpisz) REGEDIT>>OK>
>rozwiń ten klucz,klikając na (+):
>(+)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
>w okienku po prawej zaznacz: domyślna>>prawoklik>>Modyfikuj>>w okienku, które wyskoczy zaznacz: wszystko >>prawoklik>>usuń
>zwiń ten klucz, klikając na (-).
-
Creed
- Posty: 9
- Rejestracja: 17 lip 2019, 23:01
-
electrolux
- Posty: 319
- Rejestracja: 06 lut 2017, 00:26
Prośba o sprawdzenie logów
OK.
Możesz jeszcze użyć MBAM (kiedyś już używałeś)
Możesz jeszcze użyć MBAM (kiedyś już używałeś)
-
Creed
- Posty: 9
- Rejestracja: 17 lip 2019, 23:01
Prośba o sprawdzenie logów
Przed daniem logów przeskanowałem kompa tym poniżej:
nic nigdzie nie było.
Kod: Zaznacz cały
Adwcleaner
Malwarebytes
Dr Web Crueit
TDSSkiller
Kaspersky Virus Total Scanner Online
ESET Online Scanner
Hitman Pro
RougeKillernic nigdzie nie było.
-
electrolux
- Posty: 319
- Rejestracja: 06 lut 2017, 00:26
Prośba o sprawdzenie logów
Dalej nie ma co szukać.
-
Creed
- Posty: 9
- Rejestracja: 17 lip 2019, 23:01
Prośba o sprawdzenie logów
Dzięki za pomoc w każdym bądź razie, będę zaglądał tutaj w razie w na przyszłość, pozdro. 
-
- Reklama
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 8 gości
