непонятные действия в системе

24 февраля, 2024

Здравствуйте.помогите пожалуйста понять,всё ли процессы в системе безопасные и нет ли среди них вирусных.в вк кто то добавляет непонятных людей в друзья и им прилашения не отправлял.захотел посмотреть в системе какие программы запускались поиск ничего не показывает.я в этом всём не разбираюсь совершенно.помогите пожалуйста понять всё ли нормально с файлами в системе и как понять если кто то следит за онлайн действиями?(возможно у меня параноя) ну в любом случае в вк кто то добавил людей без моего ведома.ещё я зашёл в журнал событий во владку безопасность,хотел понять есть там кроме моей учётной записи какие то другие,там много разных:какие то обозначены моей,а какие то системными-не поможете разобраться всё ли там нормально?

Изменено 24 февраля, 2024 пользователем Batistuta

24 февраля, 2024

Порядок оформления запроса о помощи

29 февраля, 2024

CollectionLog-2024.02.29-11.57.zip

во время запуска скрипта написано прервано пользователем,но я ничего не прерывал.так и должно быть?

29 февраля, 2024

Здравствуйте!

28 минут назад, Batistuta сказал:

написано прервано пользователем

Только не "прервано", а "отключено". Не страшно, это нормально.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Temp');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 ExecuteRepair(9);
RebootWindows(false);
end.

Компьютер перезагрузится.

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

29 февраля, 2024

скажите пожалуйста из всех логов,есть что то указывыающее на слежку или что то подобное? учётные записи пользователей или ещё какие то процессы ?

FRST.txt Addition.txt

29 февраля, 2024

Пока лечим.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {D30AD112-06D6-44D4-B4EA-5AE9D6059F2B} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem124.0.6315.0{39FA2A5E-E503-4304-A9EB-084B3F702AD3} => C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 GoogleUpdaterInternalService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
S2 GoogleUpdaterService124.0.6315.0; C:\Program Files (x86)\Google\GoogleUpdater\124.0.6315.0\updater.exe [4698400 2024-02-22] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\DetectionHistory\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\Service\Detections.log"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\quick\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\resource\*.*"
cmd: del /s /q "C:\ProgramData\Microsoft\Windows Defender\Scans\History\results\system\*.*"
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

29 февраля, 2024

Fixlog.txt

29 февраля, 2024

24.02.2024 в 17:03, Batistuta сказал:

я зашёл в журнал событий во владку безопасность,хотел понять есть там кроме моей учётной записи какие то другие,там много разных:какие то обозначены моей,а какие то системными

Покажите скриншот, пожалуйста, чтоб точнее понять о чём идёт речь.

29 февраля, 2024

а так по тому что вы мне скинули из лечения,было что то плохое?(взлом или слежка) кто то мог видеть что я делаю за пк?

Изменено 29 февраля, 2024 пользователем Batistuta

29 февраля, 2024

На скриншоте ничего предосудительного не видно. Все записи нормальны.

В системе был майнер, он удалён.

Для верности сделайте проверку с помощью Malwarebytes.

29 февраля, 2024

спасибо вам большое,а майнер данные с пк и в частности с экрана не мог передавать?

29 февраля, 2024

Исследование того, что было сделано в системе, что и как произошло, утекло или нет - это совсем другая область, чаще всего - платная. Таким мы не занимаемся.

Здесь лечение заражений и рекомендации по безопасной работе.

21 минуту назад, Sandor сказал:

сделайте проверку с помощью Malwarebytes.

Жду.

1 марта, 2024

Malwarebytes Отчет о проверке 2024-03-01 141250.txt

извиняюсь не так сделал,а как вернуть из карантина обратно,чтобы переделать

5 марта, 2024

Прошу прощения за задержку с ответом.

Вижу, вы всё уже поместили в карантин.

Подведём итог. Моё предположение о майнере оказалось ошибочным. Это было ложное срабатывание на модуль обновления браузера.

Не страшно, при очередном его (браузера Chrome) обновлении всё снова станет как нужно.

Никаких серьёзных типов заражения, а также слива данных не было обнаружено.

В завершение:

1. Деинсталлируйте Malwarebytes.

2.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

непонятные действия в системе

Рекомендуемые сообщения

Batistuta

Mark D. Pearlstone

Batistuta

Sandor

Batistuta

Sandor

Batistuta

Sandor

Batistuta

Sandor

Batistuta

Sandor

Batistuta

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Kaspersky Support Forum