Перейти к содержанию

непонятные действия в системе


Рекомендуемые сообщения

Здравствуйте.помогите пожалуйста понять,всё ли процессы в системе безопасные и нет ли среди них вирусных.в вк кто то добавляет непонятных людей в друзья и им прилашения не отправлял.захотел посмотреть в системе какие программы запускались поиск ничего не показывает.я в этом всём не разбираюсь совершенно.помогите пожалуйста понять всё ли нормально с файлами в системе и как понять если кто то следит за онлайн действиями?(возможно у меня параноя) ну в любом случае в вк кто то добавил людей без моего ведома.ещё я зашёл в журнал событий во владку безопасность,хотел понять есть там кроме моей учётной записи какие то другие,там много разных:какие то обозначены моей,а какие то системными-не поможете разобраться всё ли там нормально?

Изменено пользователем Batistuta
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

28 минут назад, Batistuta сказал:

написано прервано пользователем

Только не "прервано", а "отключено". Не страшно, это нормально.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Temp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.

 

Компьютер перезагрузится

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

скажите пожалуйста из всех логов,есть что то указывыающее на слежку или что то подобное? учётные записи пользователей или ещё какие то процессы ?

FRST.txt Addition.txt

Ссылка на сообщение
Поделиться на другие сайты

Пока лечим.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {D30AD112-06D6-44D4-B4EA-5AE9D6059F2B} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{39FA2A5E-E503-4304-A9EB-084B3F702AD3} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
    S2 GoogleUpdaterInternalService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
    S2 GoogleUpdaterService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
    cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
24.02.2024 в 17:03, Batistuta сказал:

я зашёл в журнал событий во владку безопасность,хотел понять есть там кроме моей учётной записи какие то другие,там много разных:какие то обозначены моей,а какие то системными

Покажите скриншот, пожалуйста, чтоб точнее понять о чём идёт речь.

Ссылка на сообщение
Поделиться на другие сайты

а так по тому что вы мне скинули из лечения,было что то плохое?(взлом или слежка) кто то мог видеть что я делаю за пк?

1.jpg

Изменено пользователем Batistuta
Ссылка на сообщение
Поделиться на другие сайты

На скриншоте ничего предосудительного не видно. Все записи нормальны.

 

В системе был майнер, он удалён.

 

Для верности сделайте проверку с помощью Malwarebytes.

Ссылка на сообщение
Поделиться на другие сайты

Исследование того, что было сделано в системе, что и как произошло, утекло или нет - это совсем другая область, чаще всего - платная. Таким мы не занимаемся.

Здесь лечение заражений и рекомендации по безопасной работе.

 

21 минуту назад, Sandor сказал:

сделайте проверку с помощью Malwarebytes.

Жду.

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения за задержку с ответом.

Вижу, вы всё уже поместили в карантин.

 

Подведём итог. Моё предположение о майнере оказалось ошибочным. Это было ложное срабатывание на модуль обновления браузера.

Не страшно, при очередном его (браузера Chrome) обновлении всё снова станет как нужно.

 

Никаких серьёзных типов заражения, а также слива данных не было обнаружено.

 

В завершение:

1. Деинсталлируйте Malwarebytes.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Наймушин
      От Наймушин
      Здравствуйте!
      Последний месяц, с постоянной периодичностью кто-то создаёт новую закладку в Гугл хром с Яндекс поисковиком. Запросы в поисковике приличные, но НЕ мои! То кредит под залог квартиры, то страховка в тур за границу - я таких запросов не делал и информацию не искал. Что мне делать? Достала эта самодеятельность!!! Как такое может быть???
       
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правил раздела! Евгений Касперский не оказывает техническую поддержку и не помогает вылечиться от вирусов.
    • Stepan1992
      От Stepan1992
      Добрый день! Попался как то я на вирус шифровальщика в 2020 году, с тех пор ОС не переустановливал, но файлы остались хотелось расшифровать если это возможно и никак не мог найти решение и вот пишу сюда чтоб кто то помог если это возможно.
      Во вложении файлы логи с Farbar Recovery Scan Tool и примеры файдов расшифровки  файлы с требованием к сожалению были сразу удалены
      FRST64.zip Duplicate File Remover v3.5.1287 Build 34 Final Eng_Rus.rar
    • Neo05
      От Neo05
      Взломали офисную винду, стояла 1С, вообще не понимаю что делать, как восстановить, помогите пожалуйста.
       
      Я не смог запуститьна том компе ничего, вставленная флешка была моментально заражена.  И вот заражённые файлы я вложил сюда во вложении
       
       
       
       
      FRST64.exe.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar key.txt.id[B08CFBD2-3349].[johnhelper777@gmx.de].rar
    • misska
      От misska
      Добрый день!
       
      Меня беспокоит старая проблема: я чувствую, что кто-то просматривает мои действия на экране и читает переписку через Скайп. Такое уже было (беспокойство сталкером). В предыдущий раз проблема была, скорее всего, в настройках роутера. Да, к слову сказать, сейчас у меня другой маршрутизатор и сейчас я не меняла там никаких настроек, наверное нужно проверить и роутер, но сначала кидаю логи, надо провериться на вирусы (да, комп малёк тормозит, точнее, интернет отвратительно долго стал загружаться).
       
      Проверка на вирусы KVRT ничего не обнаружила.
       
       
      CollectionLog-2022.10.04-16.33.zip
    • КсенияДол
      От КсенияДол
      Здравствуйте, пользуясь возможностью задать вопрос создателю компании по информационной безопасности, очень хочу спросить вот что: скажите, как такое возможно, что после взлома iphone xr ( авторизованный сервисный центр подтвердил замену ios на тестовую, ввиду чего устройство перестало обновляться, принимать сообщения и многое другое), последующего восстановления ios через режим dfu, соц. сети и любые другие приложения, определяющие местоположение, по-прежнему выдают регион взломщиков ( так как были взломаны еще и ПК, были сторонние входы на почту, а так же наглые ответы адресатам от нашего имени, знаем точно, кто это и откуда).
      Номер телефона, аккаунт icloud были так же взяты новые. 
       
×
×
  • Создать...