Перейти к содержанию

Удалённый доступ / adware?


Рекомендуемые сообщения

Здравствуйте.


Довольно давно уже я обратил внимание, что система работает медленнее, но не придавал этому значения.
А на днях совершенно неожиданно в моих наушниках раздался голос постороннего человека. Из программ были открыты только telegram (в трее) и браузер с единственной вкладкой хорошо знакомого мне сайта. На пролезшую рекламу голос был не похож.

 

В установленных приложениях обнаружил программу Remote Desktop Connection, возможно прилетела с одним из обновлений Windows. Эту программу я удалил.

 

Из другого, заметил в Event Viewer-е что журнал приложений очищен до даты когда раздался голос, а системные процессы svchost.exe MpDefenderCoreService.exe MsMpEng.exe устанавливают соединение с ip-адресами, имеющими негативный рейтинг на virustotal и которые находятся в базе abuseipdb, такими как    224.0.0.252    239.255.255.250    52.113.194.132    204.79.197.203

 

Помогите пожалуйста разобраться, установлено ли вредоносное ПО на моём компьютере.

CollectionLog-2024.05.29-15.10.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Удалять ничего не нужно.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Явных признаков заражения не видно.

 

22 часа назад, alandish сказал:

браузер с единственной вкладкой хорошо знакомого мне сайта

Подразумевается браузер FireFox?

 

Сделаем небольшую очистку.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Restriction <==== ATTENTION
    GroupPolicy: Restriction ? <==== ATTENTION
    Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
    AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
    FW: Kaspersky Total Security (Enabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
    FW: COMODO Firewall (Disabled) {3D87FB90-B561-70B4-3B0B-BCEFE7656ABC}
    startbatch:
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
    del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
    del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
    del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
    del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\09xcwf9t.default-esr\cache2\*.*"
    del /s /q "%userprofile%\AppData\Local\Mozilla\Firefox\Profiles\09xcwf9t.default-esr-release\cache2\*.*"
    endbatch:
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    cmd: winmgmt /salvagerepository
    cmd: winmgmt /verifyrepository
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
    cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Выполнил указанную вами последовательность (запускал FRST64 от администратора, код был в буфере обмена). Сразу после нажатия Fix, FRST64 закрылся, создав файл xiwramkdhcbbohhk.txt , содержащий код из сообщения выше. Перезагрузки не произошло, браузер не был очищен.

xiwramkdhcbbohhk.txt

 

3 часа назад, Sandor сказал:

Подразумевается браузер FireFox?

Да. Я его переустановил в день после того, как услышал упомянутый голос, дополнительно удалив папку по старым профилем перед установкой новой версии.

Ссылка на сообщение
Поделиться на другие сайты

Если проблема решена, в завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ArtemKu
      От ArtemKu
      Здравствуйте, скачал установщик  Kaspersky Premium с оф сайта, но он ни как не реагирует . 
      CollectionLog-2024.10.10-20.11.zip AV_block_remove_2024.10.10-20.06.log
    • m19ra
      От m19ra
      Здравствуйте! Произошёл взлом сервера, отключение антивируса и зашифровка всех файлов. Помогите пожалуйста
      старый сервер.rar зашифровка.rar
    • Sozdati
      От Sozdati
      Очень давно уже завелся пользователь John. По классике - стал гудеть, как на взлетной площадке, ноутбук. При включении диспетчера задач загрузка ЦП падает с 50% до 4 - не запущено ничего, но летит уже в космос. Тогда еще майнер поменял файл хост, чтобы не скачать ни один антивирус, а также блокировал все exe. файлы антивирусов.
      Тогда удалить не получилось, пришлось переустановить windows.
      И вот снова эта ерунда началась, единственное хост чистый, и ничего не блокирует. Cureit др. веба не находит ничего. Каждое включение ноута - запуск шатла в космос. Компьютерные игры жестко виснут из-за работы майнера. 
      Буду всем признателен за помощь в победе над этим злом.CollectionLog-2024.09.08-09.53.zipAddition.txt
      FRST.txt
    • NNN123
      От NNN123
      Здравствуйте. Собственно, решила установить пиратскую версию игры. В первый день, когда я это сделала, нашла в отчётах что Касперский обнаружил и (!)остановил(!) загрузку not-a-virus:HEUR:AdWare.Script.Generic. Продолжила эпопею с установкой, использовала Google Chrome с расширениями с блокировкой рекламы и VPN, отключала защиту Касперского. Установила что было нужно, включила защиту и потом заметила, что Касперский начал блокировать какие-то рекламные баннеры (преимущественно что-то связанное с Яндекс.Дзеном) и объекты веб-контента, когда я захожу и делаю какие-либо действия в браузере, (сейчас сижу только с одного — Microsoft Edge, никаких расширений на нём нет. Главная страница у меня теперь отображается Яндекс), при этом, не выявляя никаких угроз. Проверяла с помощью Kaspersky Virus Removal Tool и, на всякий случай, Dr.Web CureIt!, тоже ничего не обнаружили. Может быть, я зря беспокоюсь и у меня ничего нет, а так и должно быть? Я пыталась сама решить эту проблему и даже делала откат системы на день назад, когда только первые файлы игры установила, ни к каким результатам не пришла. Прошу помощи, совета, мнения со стороны, что это такое и нормально ли это. Благодарю за уделённое внимание.
       

      CollectionLog-2024.05.09-20.48.zip
    • FL1PYT
      От FL1PYT
      Dr.Web Cureit показывает то что у меня на пк 2 вируса NET:MALWERE.URL и CHROMIUM:PAGE.MALWARE.URL.
      Проверял и пытался удалять где-то 3-4 раза не помогает.
      Если кто мне поможет то кидайте мне запрос в друзья discord
      Если нужны скрины или что-то другое пишите в discord
       
×
×
  • Создать...