Поймал вирус

[Пантелеймон]

Добрый день! 
Подхватил вирус удаленного доступа 
Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 
Переустановка Винды не помогла 
Компьютер рабочий, работаю через удаленку, когда подключен к рабочей удаленке, злоумышленник также имеет к ней доступ
Скорее всего подхватил эту болячку после того как, по глупости и жадности хотел скачать бесплатный Word, но это не точно 
Хотелось бы изгнать этого нарушителя, с вашей помощью

CollectionLog-2024.08.16-11.23.zip

Изменено 16 августа, 2024 пользователем Пантелеймон

[safety]

Может, это ваши админы что-то выполняют на рабочем ПК? поставили их в известность?

[Пантелеймон]

20.08.2024 в 05:42, safety сказал:

Может, это ваши админы что-то выполняют на рабочем ПК? поставили их в известность?

Да, конечно, Админы и СБ в курсе инцидента
Проблема наблюдается не только в удаленном доступе, но и на моей системе + злоумышленник нанес небольшой вред удаленному рабочему столу

[safety]

Если окропление святой водой не помогло изгнать злоумышленника, пробуйте поменять пароли доступа в локальной системе, и в удаленной системе.

+

Добавьте, пожалуйста, логи FRST собранные на зашифрованном устройстве.

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 22 августа, 2024 пользователем safety

[Пантелеймон]

22.08.2024 в 06:54, safety сказал:

Если окропление святой водой не помогло изгнать злоумышленника, пробуйте поменять пароли доступа в локальной системе, и в удаленной системе.

+

Добавьте, пожалуйста, логи FRST собранные на зашифрованном устройстве.

+

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

DESKTOP-HR0H04B_2024-08-23_10-23-26_v4.99.1v x64.7z FRST.txt Addition.txt

[safety]

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

[Пантелеймон]

2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Удалю конечно, думаете проблема в нем?

 

2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Скачивал с Оф.сайта его

2 часа назад, safety сказал:

Mediaget - потенциально нежелательно ПО. Лучше его деинсталлировать через установку/удаление программ.

MediaGet: Program.MediaGet.167; a variant of Win32/MediaGet.AK potentially unwanted

Готово, удалил, через Удаление программ

[safety]

23 минуты назад, Пантелеймон сказал:

Удалю конечно, думаете проблема в нем?

Кто-то управляет компьютером удаленно: набирает текст, открывает программы, в общем имеет как я понял полный доступ к файлам и управлению ПК 

это основная проблема?

систему переустановили, пароль к учетной записи сменили?

управление где происходит: на локальном или на удаленном ПК? Как происходит: только после того как вы к нему подключаетесь, или в любой момент, когда удаленный ПК включен?

+

добавьте, пожалуйста, новый образ автозапуска в uVS с отслеживанием процессов и задач.

 

как это сделать:

после загрузки uVS, заходим в "дополнительно", "твики", нажимаем на твик 39,

перегружаем систему,

и уже после этого делаем образ автозапуска.

 

Изменено 23 августа, 2024 пользователем safety

[Пантелеймон]

Проблема наблюдается удаленном и на локальном ПК, отсюда делаю вывод, что бяка находится именно на локальном ПК
Доступ имеет в любой момент когда мой ПК включен 
 

DESKTOP-HR0H04B_2024-08-24_01-44-18_v4.99.1v x64.7z

[safety]

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Изменено 24 августа, 2024 пользователем safety

[Пантелеймон]

24.08.2024 в 03:20, safety сказал:

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

При отключенном интернете не наблюдал активности 
Активность наблюдается в любой момент, когда включен ПК, не зависимо от запуска какого либо приложения
Регулярности нет
Во время активности не думаю, что получится, так как этот мамкин хакер не дает что либо делать, мешает работать
 

Изменено 25 августа, 2024 пользователем Пантелеймон

[Пантелеймон]

24.08.2024 в 03:20, safety сказал:

А управление в какой момент происходит?

Когда вы работаете с каким либо приложением, или может быть без вашего участия, лишь бы ПК был включен?

Есть ли управление при отключенной глобальной сети?

Доступ с управлением регулярный или от случая к случаю?

Хорошо бы снять образ в момент, когда есть эта активность с управлением.

 

По очистке в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

 

;uVS v4.99.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\PAVLO\MEDIAGET2\MEDIAGET.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\AMD\ANR\AMDNOISESUPPRESSION.EXE
delref %SystemDrive%\USERS\PAVLO\APPDATA\LOCAL\TEMP\.OPERA\INSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES\PORTRAIT DISPLAYS\HP DISPLAY CONTROL SERVICE\DEVICECHECK.EXE
delref %SystemRoot%\TEMP\CF746BDB-19F2-418A-A527-0C2BA91F0DEE\DISMHOST.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

2024-08-25_12-12-12_log.txt

[safety]

продукт Касперского у вас установлен с функцией фаерволла или просто чистый антивирус?

Подключение злоумышленника происходит сразу после загрузки рабочего стола на вашем ПК?

[Пантелеймон]

25.08.2024 в 12:18, Пантелеймон сказал:

 

2024-08-25_12-12-12_log.txt 45 kB · 1 загрузка

Скачал бесплатную версию, скорее всего просто антивирус 
Видимо сразу, при загрузке ПК на секунду появляется окно с командной строкой, автоматически проходят команды и окно закрывается, не знаю, относится ли это к делу, но ранее такого не наблюдалось 

 

[safety]

Цитата

Скачал бесплатную версию, скорее всего просто антивирус 

 

Установите версию антивируса с фаерволом, чтобы вы могли контролировать подключения к вашему устройству из сети.

Например Kaspersky Internet Security.

https://www.kaspersky.ru/internet-security

 

Пока мало что понятно из ваших ответов:

 

Управление злоумышленном на вашем рабочем столе в какой момент происходит:

1. сразу после загрузки рабочего стола.

2. в момент начала работы на ПК

3. в произвольный момент.

Изменено 26 августа, 2024 пользователем safety