Вирус. Полный доступ. Не обнаруживается

[setons]

1 час назад, andrew75 сказал:

я не знаю, что вы ставили. Я вижу что у вас сейчас необновленная система на которой установлены непонятные модификаторы интерфейса.

Причем система, судя по логам периодически падает.

Плюс вы используете различный трейдерский софт и расширения браузера про безопасность которых я ничего не знаю.

 

Все остальное это ваши впечатления, ничем конкретным не подтвержденные.

 

Специалисты из соседнего раздела считают что ничего вирусоподобного в системе нет и я им верю.

Аудитом безопасности здесь никто не занимается, так что боюсь ничего более конкретного мы вам сказать не сможем.

 

От системы не зависит. Проблема была до установки софта и расширений. Не знаю, как и зачем подтверждать впечатления. А кто занимается аудитом безопасности? Я не представляю, что делать и куда обращаться с этой проблемой.

 

1 час назад, kmscom сказал:

Ни-ка-ким. И скорее всего, нет, не так -  наверняка, никакого доступа и нет.

Только избавьте нас от гадания, почему вы наблюдали, то что описывали, но будет очень интересно, если вы при повторном наблюдении, заснимите на смартфон как одновременно мышка статична, а курсор в динамике.

Я тоже думали, ни-ка-ким. Поэтому не сомневался в безопасности своего компа. Вопрос: если возможно, то что с этим делать, теоретически хотя бы. Доступа нет, а я тролить пришел? А если засниму, Вы не скажите, что под столом вторая мышка, которую я двигаю ногой?

 

11 минут назад, ska79 сказал:

Сами ставили OldNewExplorer? Пользуетесь onedrive? компьютер в локальной сети находится?

понятия не имею, что такое OldNewExplorer. OneDrive - нет. Опять же, не думаю, что как то привязано к софту, т.к. видовс ставил разный; на предыдущем компе было то же. 

Локальной сети нет

 

 

Я даже знаю, КТО это делает. Конфликт с соседями был. Файлы отредактированы в специфических местах, связанных с ними. Не знаю, как закрыть доступ

Изменено 17 февраля, 2023 пользователем setons

[ska79]

"Пофиксите" в HijackThis следующие строки

O2 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\System32\OldNewExplorer64.dll
O2-32 - HKLM\..\BHO: (no name) - {27DD0F8B-3E0E-4ADC-A78A-66047E71ADC5} - C:\Windows\SysWow64\OldNewExplorer32.dll

 

[andrew75]

@ska79, подозреваю, что это компоненты одной из этих программ:

StartIsBack++
UltraUXThemePatcher

Первая возвращает меню "Пуск" в стиле Windows 7. Вторая тоже что-то делает с интерфейсом.

[ska79]

Тоже так думаю, но и отдельно идёт данная программа, пишут много остатков оставляет после удаления. 

Подозрительное расширение хрома pkedcjkdefgpdelpbcmbmeomcjbeemfm в логах указано

[setons]

30 минут назад, ska79 сказал:

Тоже так думаю, но и отдельно идёт данная программа, пишут много остатков оставляет после удаления. 

Подозрительное расширение хрома pkedcjkdefgpdelpbcmbmeomcjbeemfm в логах указано

пофиксил.

 

расширения с таким id в "управлении расширениями" не нашел. На просторах пишут, что безвредное - компонент хрома

Изменено 17 февраля, 2023 пользователем setons

[ska79]

 

18 минут назад, setons сказал:

На просторах пишут, что безвредное - компонент хрома

https://securelist.ru/razy-in-search-of-cryptocurrency/93090/

[setons]

40 минут назад, ska79 сказал:

 

https://securelist.ru/razy-in-search-of-cryptocurrency/93090/

В папке с расширениями его тоже нет. Хром обновляется время от времени

[mike 1]

2 часа назад, ska79 сказал:

Пофиксите" в HijackThis следующие строки

Это легитимные записи. Лучше использовать встроенные инструменты для удаления программ, а потом фиксить то что осталось.