Перейти к содержанию
Правила раздела
Важная информация для бета-тестеров

Поймал вирус

Пантелеймон

От Пантелеймон
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Пантелеймон Новичок

Пантелеймон

Опубликовано
Опубликовано (изменено)

Добрый день! 
Подхватил вирус удаленного доступа 
Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 
Переустановка Винды не помогла 
Компьютер рабочий, работаю через удаленку, когда подключен к рабочей удаленке, злоумышленник также имеет к ней доступ
Скорее всего подхватил эту болячку после того как, по глупости и жадности хотел скачать бесплатный Word, но это не точно 
Хотелось бы изгнать этого нарушителя, с вашей помощью

CollectionLog-2024.08.16-11.23.zip

Изменено пользователем Пантелеймон
Ссылка на комментарий
Поделиться на другие сайты
Пантелеймон Новичок

Пантелеймон

Опубликовано
  • Автор
Опубликовано
20.08.2024 в 05:42, safety сказал:

Может, это ваши админы что-то выполняют на рабочем ПК? поставили их в известность?

Да, конечно, Админы и СБ в курсе инцидента
Проблема наблюдается не только в удаленном доступе, но и на моей системе + злоумышленник нанес небольшой вред удаленному рабочему столу

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Если окропление святой водой не помогло изгнать злоумышленника, пробуйте поменять пароли доступа в локальной системе, и в удаленной системе.

+

Добавьте, пожалуйста, логи FRST собранные на зашифрованном устройстве.

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Пантелеймон Новичок

Пантелеймон

Опубликовано
  • Автор
Опубликовано
22.08.2024 в 06:54, safety сказал:

Если окропление святой водой не помогло изгнать злоумышленника, пробуйте поменять пароли доступа в локальной системе, и в удаленной системе.

+

Добавьте, пожалуйста, логи FRST собранные на зашифрованном устройстве.

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

DESKTOP-HR0H04B_2024-08-23_10-23-26_v4.99.1v x64.7z FRST.txt Addition.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Ссылка на комментарий
Поделиться на другие сайты
Пантелеймон Новичок

Пантелеймон

Опубликовано
  • Автор
Опубликовано
2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Удалю конечно, думаете проблема в нем?

 

2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Скачивал с Оф.сайта его

2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Готово, удалил, через Удаление программ

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
23 минуты назад, Пантелеймон сказал:

Удалю конечно, думаете проблема в нем?

Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 

это основная проблема?

систему переустановили, пароль к учетной записи сменили?

управление где происходит: на локальном или на удаленном ПК? Как происходит: только после того как вы к нему подключаетесь, или в любой момент, когда удаленный ПК включен?

+

добавьте, пожалуйста, новый образ автозапуска в uVS с отслеживанием процессов и задач.

 

как это сделать:

после загрузки uVS, заходим в "дополнительно", "твики", нажимаем на твик 39,

перегружаем систему,

и уже после этого делаем образ автозапуска.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Пантелеймон Новичок

Пантелеймон

Опубликовано
  • Автор
Опубликовано

Проблема наблюдается удаленном и на локальном ПК, отсюда делаю вывод, что бяка находится именно на локальном ПК
Доступ имеет в любой момент когда мой ПК включен 
 

DESKTOP-HR0H04B_2024-08-24_01-44-18_v4.99.1v x64.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

  

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Пантелеймон Новичок

Пантелеймон

Опубликовано
  • Автор
Опубликовано (изменено)
24.08.2024 в 03:20, safety сказал:

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

  



;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

При отключенном интернете не наблюдал активности 
Активность наблюдается в любой момент, когда включен ПК, не зависимо от запуска какого либо приложения
Регулярности нет
Во время активности не думаю, что получится, так как этот мамкин хакер не дает что либо делать, мешает работать
 

Изменено пользователем Пантелеймон
Ссылка на комментарий
Поделиться на другие сайты
Пантелеймон Новичок

Пантелеймон

Опубликовано
  • Автор
Опубликовано
24.08.2024 в 03:20, safety сказал:

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

  


;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

2024-08-25_12-12-12_log.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

продукт Касперского у вас установлен с функцией фаерволла или просто чистый антивирус?

Подключение злоумышленника происходит сразу после загрузки рабочего стола на вашем ПК?

Ссылка на комментарий
Поделиться на другие сайты
Пантелеймон Новичок

Пантелеймон

Опубликовано
  • Автор
Опубликовано
25.08.2024 в 12:18, Пантелеймон сказал:

 

2024-08-25_12-12-12_log.txt 45 kB · 1 загрузка

Скачал бесплатную версию, скорее всего просто антивирус 
Видимо сразу, при загрузке ПК на секунду появляется окно с командной строкой, автоматически проходят команды и окно закрывается, не знаю, относится ли это к делу, но ранее такого не наблюдалось 

 

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
Цитата

Скачал бесплатную версию, скорее всего просто антивирус 

 

Установите версию антивируса с фаерволом, чтобы вы могли контролировать подключения к вашему устройству из сети.

Например Kaspersky Internet Security.

https://www.kaspersky.ru/internet-security

 

Пока мало что понятно из ваших ответов:

 

Управление злоумышленном на вашем рабочем столе в какой момент происходит:

1. сразу после загрузки рабочего стола.

2. в момент начала работы на ПК

3. в произвольный момент.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Temikst
      Поймал какой-то вирус
      От Temikst
      Приветствую. Сын скачивал какую-то программу для игры, как итог словили какой-то вирус. Dr.web ничего не нашел. но обратил внимание что комп стал тупить, до этого не было так
      CollectionLog-2025.02.09-23.46.zip

       
      Даже браузер сильно тормозит. после открывание диспетчер задач сразу же лучше работает\
    • Dmitriy_23
      [РЕШЕНО] Поймали вирусы, переименовались службы
      От Dmitriy_23
      Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:
      wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp
      Файлы логов AutoLogger, FRST в вложении.
       
      FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z
    • Evgen001
      Поймал вирусы, переименовались службы
      От Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • dampe
      поймал шифровальщик ooo4ps
      От dampe
      Добрый день! прошу помощи, может кто то уже смог решить эту проблему. На облачный сервер проник вирус и зашифровал файлы, БД и заблокировал битлокером диск. Прикладываю лог Elcomsoft Encrypted Disk Hunter и пример зашифрованного файла
      EEDH - 02.03.2025 13-20-38.log ВМТ.pdf.rar
    • alexlex
      Поймали шифравальщик
      От alexlex
      Добрый день
      На сервере утром зашифровались все данные
       

      Addition.txt FRST.txt 1c Cash.bat.[ID-774BEC7E].[Telegram ID @Hitler_77777].zip
×
×
  • Создать...