Перейти к содержанию
Правила раздела

Поймал вирус

Пантелеймон

Автор Пантелеймон
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Пантелеймон

Пантелеймон

Опубликовано
Опубликовано (изменено)

Добрый день! 
Подхватил вирус удаленного доступа 
Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 
Переустановка Винды не помогла 
Компьютер рабочий, работаю через удаленку, когда подключен к рабочей удаленке, злоумышленник также имеет к ней доступ
Скорее всего подхватил эту болячку после того как, по глупости и жадности хотел скачать бесплатный Word, но это не точно 
Хотелось бы изгнать этого нарушителя, с вашей помощью

CollectionLog-2024.08.16-11.23.zip

Изменено пользователем Пантелеймон
safety

safety

Опубликовано
Опубликовано

Может, это ваши админы что-то выполняют на рабочем ПК? поставили их в известность?

Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
20.08.2024 в 05:42, safety сказал:

Может, это ваши админы что-то выполняют на рабочем ПК? поставили их в известность?

Да, конечно, Админы и СБ в курсе инцидента
Проблема наблюдается не только в удаленном доступе, но и на моей системе + злоумышленник нанес небольшой вред удаленному рабочему столу

safety

safety

Опубликовано
Опубликовано (изменено)

Если окропление святой водой не помогло изгнать злоумышленника, пробуйте поменять пароли доступа в локальной системе, и в удаленной системе.

+

Добавьте, пожалуйста, логи FRST собранные на зашифрованном устройстве.

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
22.08.2024 в 06:54, safety сказал:

Если окропление святой водой не помогло изгнать злоумышленника, пробуйте поменять пароли доступа в локальной системе, и в удаленной системе.

+

Добавьте, пожалуйста, логи FRST собранные на зашифрованном устройстве.

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

DESKTOP-HR0H04B_2024-08-23_10-23-26_v4.99.1v x64.7z FRST.txt Addition.txt

safety

safety

Опубликовано
Опубликовано

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Удалю конечно, думаете проблема в нем?

 

2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Скачивал с Оф.сайта его

2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Готово, удалил, через Удаление программ

safety

safety

Опубликовано
Опубликовано (изменено)
23 минуты назад, Пантелеймон сказал:

Удалю конечно, думаете проблема в нем?

Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 

это основная проблема?

систему переустановили, пароль к учетной записи сменили?

управление где происходит: на локальном или на удаленном ПК? Как происходит: только после того как вы к нему подключаетесь, или в любой момент, когда удаленный ПК включен?

+

добавьте, пожалуйста, новый образ автозапуска в uVS с отслеживанием процессов и задач.

 

как это сделать:

после загрузки uVS, заходим в "дополнительно", "твики", нажимаем на твик 39,

перегружаем систему,

и уже после этого делаем образ автозапуска.

 

Изменено пользователем safety
Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано

Проблема наблюдается удаленном и на локальном ПК, отсюда делаю вывод, что бяка находится именно на локальном ПК
Доступ имеет в любой момент когда мой ПК включен 
 

DESKTOP-HR0H04B_2024-08-24_01-44-18_v4.99.1v x64.7z

safety

safety

Опубликовано
Опубликовано (изменено)

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

  

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено пользователем safety
Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано (изменено)
24.08.2024 в 03:20, safety сказал:

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

  



;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

При отключенном интернете не наблюдал активности 
Активность наблюдается в любой момент, когда включен ПК, не зависимо от запуска какого либо приложения
Регулярности нет
Во время активности не думаю, что получится, так как этот мамкин хакер не дает что либо делать, мешает работать
 

Изменено пользователем Пантелеймон
Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
24.08.2024 в 03:20, safety сказал:

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

  


;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

2024-08-25_12-12-12_log.txt

safety

safety

Опубликовано
Опубликовано

продукт Касперского у вас установлен с функцией фаерволла или просто чистый антивирус?

Подключение злоумышленника происходит сразу после загрузки рабочего стола на вашем ПК?

Пантелеймон

Пантелеймон

Опубликовано
  • Автор
Опубликовано
25.08.2024 в 12:18, Пантелеймон сказал:

 

2024-08-25_12-12-12_log.txt 45 kB · 1 загрузка

Скачал бесплатную версию, скорее всего просто антивирус 
Видимо сразу, при загрузке ПК на секунду появляется окно с командной строкой, автоматически проходят команды и окно закрывается, не знаю, относится ли это к делу, но ранее такого не наблюдалось 

 

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

Скачал бесплатную версию, скорее всего просто антивирус 

 

Установите версию антивируса с фаерволом, чтобы вы могли контролировать подключения к вашему устройству из сети.

Например Kaspersky Internet Security.

https://www.kaspersky.ru/internet-security

 

Пока мало что понятно из ваших ответов:

 

Управление злоумышленном на вашем рабочем столе в какой момент происходит:

1. сразу после загрузки рабочего стола.

2. в момент начала работы на ПК

3. в произвольный момент.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • raven34
      Вирус PDM:Trojan.Win32.Generic
      Автор raven34
      Здравствуйте. Качал CCleaner с официального сайта. Касперский обнаружил PDM:Trojan.Win32.Generic, и я применил лечение с перезагрузкой. 
      После перезагрузки установщик был удалён и комп работал как обычно, но мне всё равно немного тревожно.

      UPD: Случайно создал тему два раза. Извините 
       
      CollectionLog-2025.09.15-02.46.zip
    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • cQreen
      Warning:this country is not supported
      Автор cQreen
      хотел поиграть в контру с скинченджером(nexora)видимо скачал не с офиц сайте,увидел,что каждые 5-10 минут появляется надпись Warning:this country is not supported с антивирусом узнал,что это LummaStealer поудалял(были еще трояны).Есть способ решить(желательно без сноса винды.
       
      Сообщение от модератора thyrex Перемещено из раздела Е.К.
    • 321Максим123
      [РЕШЕНО] Майнер на компьютере
      Автор 321Максим123
      Здравствуйте. 

      Где-то подцепил майнер. Без диспетчера задач 100% работа ЦП, компьютер шумит. Скачал AV block remover. Установить удалось в безопасном режиме. Запустил скрип и получил отчет, который прикрепил к сообщению. После работы программы компьютер все равно требуется диспетчер. 
      AV_block_remove_2025.09.08-20.57.log
    • Maksim666
      Поймал троян
      Автор Maksim666
      Скачал файл для работы дискорда. На следующий день в играх почувствовал спад фпс. Проверил в антивирусе и увидел трояны. Снизу прикрепил логи.
      Check_Browsers_LNK.log HiJackThis.log info.txt log.txt report1.log report2.log
×
×
  • Создать...