Удалённый доступ / adware?

[alandish 0]

Здравствуйте.

Довольно давно уже я обратил внимание, что система работает медленнее, но не придавал этому значения.
А на днях совершенно неожиданно в моих наушниках раздался голос постороннего человека. Из программ были открыты только telegram (в трее) и браузер с единственной вкладкой хорошо знакомого мне сайта. На пролезшую рекламу голос был не похож.

 

В установленных приложениях обнаружил программу Remote Desktop Connection, возможно прилетела с одним из обновлений Windows. Эту программу я удалил.

 

Из другого, заметил в Event Viewer-е что журнал приложений очищен до даты когда раздался голос, а системные процессы svchost.exe MpDefenderCoreService.exe MsMpEng.exe устанавливают соединение с ip-адресами, имеющими негативный рейтинг на virustotal и которые находятся в базе abuseipdb, такими как    224.0.0.252    239.255.255.250    52.113.194.132    204.79.197.203

 

Помогите пожалуйста разобраться, установлено ли вредоносное ПО на моём компьютере.

CollectionLog-2024.05.29-15.10.zip

[Sandor 1 285]

Здравствуйте!

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[alandish 0]

AdwCleaner[S00].txt

[Sandor 1 285]

Удалять ничего не нужно.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[alandish 0]

FRST.txt Addition.txt

[Sandor 1 285]

Явных признаков заражения не видно.

 

22 часа назад, alandish сказал:

браузер с единственной вкладкой хорошо знакомого мне сайта

Подразумевается браузер FireFox?

 

Сделаем небольшую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
  FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
  FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
  del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\09xcwf9t.default-esr\cache2\*.*"
  del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\09xcwf9t.default-esr-release\cache2\*.*"
  endbatch:
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[alandish 0]

Выполнил указанную вами последовательность (запускал FRST64 от администратора, код был в буфере обмена). Сразу после нажатия Fix, FRST64 закрылся, создав файл xiwramkdhcbbohhk.txt , содержащий код из сообщения выше. Перезагрузки не произошло, браузер не был очищен.

xiwramkdhcbbohhk.txt

 

3 часа назад, Sandor сказал:

Подразумевается браузер FireFox?

Да. Я его переустановил в день после того, как услышал упомянутый голос, дополнительно удалив папку по старым профилем перед установкой новой версии.

[Sandor 1 285]

Странно. Тогда пробуйте выполнить этот же скрипт в безопасном режиме с поддержкой сети.

[alandish 0]

Добрый день!

В безопасном режиме удалось выполнить скрипт.

Fixlog.txt

[alandish 0]

@Sandor Я вас не поблагодарил, большое спасибо за помощь!

[Sandor 1 285]

Если проблема решена, в завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.