Skocz do zawartości

Postępowanie po przejęciu kontroli nad jednym z kont komputera


Recommended Posts

Witam,

grałem w pokera na pokerstars, postanowiłem sobie zrobić przerwę i pójść do sklepu. Po ok. dwudziestu minutach wróciłem i zasiadłem przed monitorem.

Na ekranie pojawiały się różne nieznane mi dotychczas okna, przeskakiwały z miejsca na miejsce, kursor chodził samoczynnie, w pasku widzę informację o tym, że z komputera korzystają dwie osoby, szybka decyzja - odłączam internet.

Po wejściu do komputera offline zobaczyłem zmiany takie jak: modyfikacje w plikach systemowych, zmiany w folderze pokerstars, zainstalowana nowa aktualizacja do windowsa, podstawowe aplikacje jak mapy miały daty utworzenia z dnia ataku, podobnie jak gry ze steama i aplikacja pokerstars. Antywirus niczego nie znalazł, aplikacje nie dawały się odinstalować, usuwane pliki pojawiały się w innych miejscach, każde przeniesienie folderu skutkowało zmianą daty jego utworzenia na teraźniejszą.

 

Chciałem wrócić do ustawień seryjnych, nic nie działało tak jak w instrukcjach microsoftu, miałem zrobioną trzy dni przed atakiem kopię systemu - nie sposób było jej uruchomić, kombinowałem w biosie, w końcu udało mi się skorzystać z funkcji resetu do stanu pierwotnego, laptop jest stosunkowo świeży i nie miałem na nim żadnych istotnych danych. Proces trwał ok. trzech godzin, co wydaje mi się bardzo długim okresem, szczególnie, że system stoi na dysku SSD.

 

Teraz przy każdym włączeniu jako pierwsze pojawia się tego typu okno: https://www.google.pl/search?q=this+product+is+covered+by+one+or+more&client=firefox-b-ab&source=lnms&tbm=isch&sa=X&ved=0ahUKEwjK1IGn_uDNAhXLWCwKHdH9D5sQ_AUICSgC&biw=1366&bih=657#imgrc=389rYolPBjo62M%3A

z tym że na moim jest napisane:

 

This product is covered by one or more of the following patents:
US6.570.884 US6.115.776 and US6.327.625
Realtek PCIe. FE Family Controller Series c1.35 (06/04/14)
PXE-E61: Media test failure. check cable.

PXE-M0F: Exiting PXE ROM.

 

W ostatnim czasie (48h przed włamaniem) walczyłem z oprogramowaniem bazy danych do pokera, pobierałem wiele plików, myślę, że to stamtąd coś przytargałem.
Na szczęście z konta nie zniknęły pieniądze, hasła oczywiście pozmieniałem z innego komputera.

Tutaj pojawiają się moje pytania:
-czy tak zresetowany system jest w 100% pozbawiony narzędzi włamywacza?

-czy przywrócenie do ustawień fabrycznych nie powinno zmienić dat utworzenia plików na te jakie były przy pierwszym uruchomieniu, zamiast aktualnych?
-czy to normalne, że dyski są podzielone nie tak jak seryjnie?
-czy ochrona dysków nie powinna być włączona?

-w zaawansowanych ustawieniach dysku systemowego jako właściciel widnieje "Trusted", szczerze to wcześniej nie wchodziłem w tę opcje, ale czy to możliwe, żeby było tak oryginalnie?

 

Inne podejrzane (choć jestem laikiem) rzeczy:

-w właściwościach o poprzednich wersjach dysku systemowego jest informacja o kopii zrobionej na dzień przed moją kopią robioną manualnie, na 100% ja jej nie robiłem, chyba, że stworzona została automatycznie.
-na dysku D znajdują się dwa foldery: Pusty "Ja" (nazwa użytkownika) i WindowsApp, który po otwarciu żąda uprawnień administratora, po odhaczeniu tej opcji pojawia się okno "odmowa dostępu do tego folderu, aby uzyskać dostęp do tego folderu, musisz użyć karty zabezpieczeń".
-pliki na dysku systemowym wyglądają dziwnie, nie przypominam sobie żeby były takie foldery jak "$WINDOWS.~BT"

Chcę dodać zabezpieczenia takie jak:
-hasło administratora na biosie,

-firewall,

-hasło na routerze.

Jeśli coś jeszcze byście doradzili, to proszę o sugestie.

Aktualne raporty z OTL:
http://wklej.org/id/2701810/
http://wklej.org/id/2701813/

Edytowane przez sognipl
Link to post
Share on other sites

Po prostu wgraj system od nowa ,"na czysto",bez żadnych "ulepszeń" i programików producenta. ...

 

https://www.google.pl/search?q=post%C4%99powanie+w+przypadku+w%C5%82amania+na+konto+systemu+windows&ie=utf-8&oe=utf-8&client=firefox-b&gfe_rd=cr&ei=aUJ-V6bXJdCP8Qeo8ISICg# - poczytaj może jakieś lepsze rady znajdziesz.

Edytowane przez jarrino
Link to post
Share on other sites

Dołącz do dyskusji

Możesz dodać zawartość już teraz a zarejestrować się później. Jeśli posiadasz już konto, zaloguj się aby dodać zawartość za jego pomocą.

Gość
Odpowiedz w tym wątku...

×   Wklejono zawartość z formatowaniem.   Usuń formatowanie

  Dozwolonych jest tylko 75 emoji.

×   Odnośnik został automatycznie osadzony.   Przywróć wyświetlanie jako odnośnik

×   Przywrócono poprzednią zawartość.   Wyczyść edytor

×   Nie możesz bezpośrednio wkleić grafiki. Dodaj lub załącz grafiki z adresu URL.

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...