непонятные действия в системе

[Batistuta]

Здравствуйте.помогите пожалуйста понять,всё ли процессы в системе безопасные и нет ли среди них вирусных.в вк кто то добавляет непонятных людей в друзья и им прилашения не отправлял.захотел посмотреть в системе какие программы запускались поиск ничего не показывает.я в этом всём не разбираюсь совершенно.помогите пожалуйста понять всё ли нормально с файлами в системе и как понять если кто то следит за онлайн действиями?(возможно у меня параноя) ну в любом случае в вк кто то добавил людей без моего ведома.ещё я зашёл в журнал событий во владку безопасность,хотел понять есть там кроме моей учётной записи какие то другие,там много разных:какие то обозначены моей,а какие то системными-не поможете разобраться всё ли там нормально?

Изменено 24 февраля, 2024 пользователем Batistuta

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Batistuta]

CollectionLog-2024.02.29-11.57.zip

 

во время запуска скрипта написано прервано пользователем,но я ничего не прерывал.так и должно быть?

[Sandor]

Здравствуйте!

 

28 минут назад, Batistuta сказал:

написано прервано пользователем

Только не "прервано", а "отключено". Не страшно, это нормально.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Temp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.

 

Компьютер перезагрузится. 

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Batistuta]

скажите пожалуйста из всех логов,есть что то указывыающее на слежку или что то подобное? учётные записи пользователей или ещё какие то процессы ?

FRST.txt Addition.txt

[Sandor]

Пока лечим.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {D30AD112-06D6-44D4-B4EA-5AE9D6059F2B} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{39FA2A5E-E503-4304-A9EB-084B3F702AD3} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  S2 GoogleUpdaterInternalService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  S2 GoogleUpdaterService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
  cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Batistuta]

Fixlog.txt

[Sandor]

24.02.2024 в 17:03, Batistuta сказал:

я зашёл в журнал событий во владку безопасность,хотел понять есть там кроме моей учётной записи какие то другие,там много разных:какие то обозначены моей,а какие то системными

Покажите скриншот, пожалуйста, чтоб точнее понять о чём идёт речь.

[Batistuta]

а так по тому что вы мне скинули из лечения,было что то плохое?(взлом или слежка) кто то мог видеть что я делаю за пк?

Изменено 29 февраля, 2024 пользователем Batistuta

[Sandor]

На скриншоте ничего предосудительного не видно. Все записи нормальны.

 

В системе был майнер, он удалён.

 

Для верности сделайте проверку с помощью Malwarebytes.

[Batistuta]

спасибо вам большое,а майнер данные с пк и в частности с экрана не мог передавать?

[Sandor]

Исследование того, что было сделано в системе, что и как произошло, утекло или нет - это совсем другая область, чаще всего - платная. Таким мы не занимаемся.

Здесь лечение заражений и рекомендации по безопасной работе.

 

21 минуту назад, Sandor сказал:

сделайте проверку с помощью Malwarebytes.

Жду.

[Batistuta]

Malwarebytes Отчет о проверке 2024-03-01 141250.txt

 

извиняюсь не так сделал,а как вернуть из карантина обратно,чтобы переделать

[Sandor]

Прошу прощения за задержку с ответом.

Вижу, вы всё уже поместили в карантин.

 

Подведём итог. Моё предположение о майнере оказалось ошибочным. Это было ложное срабатывание на модуль обновления браузера.

Не страшно, при очередном его (браузера Chrome) обновлении всё снова станет как нужно.

 

Никаких серьёзных типов заражения, а также слива данных не было обнаружено.

 

В завершение:

1. Деинсталлируйте Malwarebytes.

 

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.