Кто то подключается к ноутбуку

[pippop]

Добрый день. Компьютер заражен вирусом через который кто-то подключается как я считаю. В последний раз пришлось отключить UEFI и полностью отформатировать диски со всеми системными разделами. Сейчас не знаю что происходит. Один человек сказал что уязвимость может быть в чипе интела и он может быть взломал или биос. Потому что как я этот ноутбук не чистил постоянно появляются вот такие вот ребята. Имена с каждым включением выключением системы у них меняются.

вирусы.txt

Изменено 18 января, 2023 пользователем pippop

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

 

И сообщите фрагмент какого файла вы прикрепили в первом сообщении?

12 минут назад, pippop сказал:

кто-то подключается как я считаю

Кроме этих записей в журнале что-то ещё вызывает подозрение?

[pippop]

В журнале событий всегда отображается что система закончила работу со сбоем, вроде входов с сетевых ресурсов я не видел. Так же когда перезагружал с помощью касперского он написал что система была перезагружена неправильно. Раньше компьютер постоянно очень сильно разгонялся. Сложно сказать. Если честно у меня все в моём ноутбуке вызывает подозрение. Я уже просто хочу сменить устройство. Я так понимаю что оно постоянно откуда-то заражается этим вирусом.

[Sandor]

1 час назад, Sandor сказал:

Прочтите и выполните Порядок оформления запроса о помощи

Если в следующем сообщении не будет требуемых логов, перенесем тему в "Беседку". Здесь только лечение.

[pippop]

Сделал

CollectionLog-2023.01.18-20.29.zip

[Sandor]

Программу

Цитата

AutoHotkey 1.1.34.04

устанавливали самостоятельно?

 

 

"Пофиксите" в HijackThis только следующие строки:

O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O17 - HKLM\System\CCS\Services\Tcpip\..\{72bb8677-8490-4f87-935a-ac1d0c56a844}: [NameServer] = 156.154.70.25
O17 - HKLM\System\CCS\Services\Tcpip\..\{72bb8677-8490-4f87-935a-ac1d0c56a844}: [NameServer] = 156.154.71.25

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[pippop]

Здравстсвуйте сделал. AutoHotkey 1.1.34.04 - сам устанавливал для быстрого переключения языка.

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  C:\Users\12345\AppData\Local\Google\Chrome\User Data\Default\Extensions\ldgpjdiadomhinpimgchmeembbgojnjk
  CHR HKU\S-1-5-21-3906144264-4129739696-3482953369-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  AV: COMODO Antivirus (Disabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
  FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[pippop]

Fixlog.txt

[pippop]

Кстати сейчас перестала запускаться консоль при запуске винды. Раньше могло 3 раза быстро запуститься и закрыться окно консоли не знаю связано это или нет

[Sandor]

Достаточно было один раз запустить скрипт.

 

Далее:

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[pippop]

Scan.txt

Сделал. Спасибо большое что помогаете

Изменено 20 января, 2023 пользователем pippop

[Sandor]

Удалять ничего не нужно. Это реакция на торрент клиент и ложные срабатывания.

Сделайте ещё две проверки по первому пункту правил раздела. Результат сообщите.

[pippop]

Здравствуйте. провел проверку с помощью данных программ уязвимостей не выявлено

[Sandor]

18.01.2023 в 14:21, pippop сказал:

Компьютер заражен вирусом через который кто-то подключается как я считаю

Это было бы видно по логам.

 

Подведём итог - проблема решена?