Skocz do zawartości


Uwaga, ta strona używa Cookies
Stosujemy je, aby ułatwić Tobie korzystanie z naszego serwisu. Pamiętaj, że w każdej chwili możesz zmienić ustawienia dotyczące Cookies w ustawieniach swojej przeglądarki internetowej.
Dowiedz się więcej    
Akceptuję
Zdjęcie

Postępowanie po przejęciu kontroli nad jednym z kont komputera

włamanie wirus

  • Zaloguj się, aby dodać odpowiedź
1 odpowiedź w tym temacie

#1 sognipl

sognipl
  • Nowicjusz

  • 6 postów

Napisano 07 lipiec 2016 - 10:52

Witam,

grałem w pokera na pokerstars, postanowiłem sobie zrobić przerwę i pójść do sklepu. Po ok. dwudziestu minutach wróciłem i zasiadłem przed monitorem.

Na ekranie pojawiały się różne nieznane mi dotychczas okna, przeskakiwały z miejsca na miejsce, kursor chodził samoczynnie, w pasku widzę informację o tym, że z komputera korzystają dwie osoby, szybka decyzja - odłączam internet.

Po wejściu do komputera offline zobaczyłem zmiany takie jak: modyfikacje w plikach systemowych, zmiany w folderze pokerstars, zainstalowana nowa aktualizacja do windowsa, podstawowe aplikacje jak mapy miały daty utworzenia z dnia ataku, podobnie jak gry ze steama i aplikacja pokerstars. Antywirus niczego nie znalazł, aplikacje nie dawały się odinstalować, usuwane pliki pojawiały się w innych miejscach, każde przeniesienie folderu skutkowało zmianą daty jego utworzenia na teraźniejszą.

 

Chciałem wrócić do ustawień seryjnych, nic nie działało tak jak w instrukcjach microsoftu, miałem zrobioną trzy dni przed atakiem kopię systemu - nie sposób było jej uruchomić, kombinowałem w biosie, w końcu udało mi się skorzystać z funkcji resetu do stanu pierwotnego, laptop jest stosunkowo świeży i nie miałem na nim żadnych istotnych danych. Proces trwał ok. trzech godzin, co wydaje mi się bardzo długim okresem, szczególnie, że system stoi na dysku SSD.

 

Teraz przy każdym włączeniu jako pierwsze pojawia się tego typu okno: https://www.google.p...389rYolPBjo62M:

z tym że na moim jest napisane:

 

This product is covered by one or more of the following patents:
US6.570.884 US6.115.776 and US6.327.625
Realtek PCIe. FE Family Controller Series c1.35 (06/04/14)
PXE-E61: Media test failure. check cable.

PXE-M0F: Exiting PXE ROM.

 

W ostatnim czasie (48h przed włamaniem) walczyłem z oprogramowaniem bazy danych do pokera, pobierałem wiele plików, myślę, że to stamtąd coś przytargałem.
Na szczęście z konta nie zniknęły pieniądze, hasła oczywiście pozmieniałem z innego komputera.

Tutaj pojawiają się moje pytania:
-czy tak zresetowany system jest w 100% pozbawiony narzędzi włamywacza?

-czy przywrócenie do ustawień fabrycznych nie powinno zmienić dat utworzenia plików na te jakie były przy pierwszym uruchomieniu, zamiast aktualnych?
-czy to normalne, że dyski są podzielone nie tak jak seryjnie?
-czy ochrona dysków nie powinna być włączona?

-w zaawansowanych ustawieniach dysku systemowego jako właściciel widnieje "Trusted", szczerze to wcześniej nie wchodziłem w tę opcje, ale czy to możliwe, żeby było tak oryginalnie?

 

Inne podejrzane (choć jestem laikiem) rzeczy:

-w właściwościach o poprzednich wersjach dysku systemowego jest informacja o kopii zrobionej na dzień przed moją kopią robioną manualnie, na 100% ja jej nie robiłem, chyba, że stworzona została automatycznie.
-na dysku D znajdują się dwa foldery: Pusty "Ja" (nazwa użytkownika) i WindowsApp, który po otwarciu żąda uprawnień administratora, po odhaczeniu tej opcji pojawia się okno "odmowa dostępu do tego folderu, aby uzyskać dostęp do tego folderu, musisz użyć karty zabezpieczeń".
-pliki na dysku systemowym wyglądają dziwnie, nie przypominam sobie żeby były takie foldery jak "$WINDOWS.~BT"

Chcę dodać zabezpieczenia takie jak:
-hasło administratora na biosie,

-firewall,

-hasło na routerze.

Jeśli coś jeszcze byście doradzili, to proszę o sugestie.

Aktualne raporty z OTL:
http://wklej.org/id/2701810/
http://wklej.org/id/2701813/


Użytkownik sognipl edytował ten post 07 lipiec 2016 - 11:09

  • 0

#2 jarrino

jarrino
  • Maniak

  • 10057 postów
  • Miejscowość:Warszawa

Napisano 07 lipiec 2016 - 12:19

Po prostu wgraj system od nowa ,"na czysto",bez żadnych "ulepszeń" i programików producenta. ...

 

https://www.google.p...JdCP8Qeo8ISICg# - poczytaj może jakieś lepsze rady znajdziesz.


Użytkownik jarrino edytował ten post 07 lipiec 2016 - 12:54

  • 0

i5 9600K; EVGA Z370 ;32Gb Hyperx 2666 ; MSI 1070 ;Thermaltake Smart SE 630W






Również z jednym lub większą ilością słów kluczowych: włamanie, wirus

Użytkownicy przeglądający ten temat: 1

0 użytkowników, 1 gości, 0 anonimowych