Управляют компьютером удаленно

[gdadswad]

После тотального заражения ноутбука(был удаленный  доступ,полностью слитые пароли) подхватил видимо вирусов на настольный пк.Чувство,что им управляют удаленно.Появляются неизвестные файлы,падает скорость интернета,зависает и все это в один момент,будто кто-то нажал на кнопку.Сканирование несколькими антивирусами ничего не обнаружило.Помогите отличить параноидальную шизофрению от вирусов.Спасибо

CollectionLog-2018.10.13-13.43.zip

Изменено 13 октября, 2018 пользователем gdadswad

[regist]

@gdadswad, у вас установлены два антивируса.

360 Total Security [2018/10/05 21:49:58]-->C:\Program Files (x86)\360\Total Security\Uninstall.exe
Kaspersky Internet Security [2018/10/05 20:22:33]-->MsiExec.exe /I{718613F4-492D-4272-ACC3-D04A8EF0F883} REMOVE=ALL
Kaspersky Internet Security [20181005]-->MsiExec.exe /I{718613F4-492D-4272-ACC3-D04A8EF0F883}
Kaspersky Secure Connection [2018/10/05 20:25:12]-->MsiExec.exe /I{F10AA188-7166-430E-8810-FEAB2AD73DE3} REMOVE=ALL
Kaspersky Secure Connection [20181005]-->MsiExec.exe /I{F10AA188-7166-430E-8810-FEAB2AD73DE3}

так что то что есть странности в работе компьютера и подвисания не удивительно.

Оставьте только один антивирус либо Kaspersky Internet Security, либо 360 Total Security а второй удалите.

 

+ проверьте такой файл есть (именно по этому пути)

C:\Windows\system32\explorer.exe

+

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

[gdadswad]

https://virusinfo.info/virusdetector/report.php?md5=69D262FDDE6558224864EFBCBADA3DFE

[regist]

 

 

+ проверьте такой файл есть (именно по этому пути)

не ответили.

 

+ после удаления второго антивируса, что с проблемой?

[gdadswad]

Прошу прощения. Нет,такого файла нету. Удалил антивирус,вроде бы сильных зависаний не видно.Но не покидает чувство,что компьютер все равно под удаленным доступом и человек,следящий,просто прекратил активность что бы не быть обнаруженным.

 

+ проверьте такой файл есть (именно по этому пути)

не ответили.

 

+ после удаления второго антивируса, что с проблемой?

 

[regist]

Есть поле быстрого ответа внизу, не надо заниматься оверквотингом.
И сделайте свежие логи по правилам.

[gdadswad]

Вот.Если речь о этих логах.

@regist, Еще как только пк включается,на секунду вылезает консоль и тут же падает.

CollectionLog-2018.10.14-11.07.zip

[regist]

просьба ещё

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[gdadswad]

Вот.

@regist, 

ПРО-ПК_2018-10-14_19-16-42_v4.1.7z

[regist]

1) Python 3.7.0 (32-bit), Python Launcher - сами ставили?
 
2) UNLIMITED FREE VPN - HOLA - рекомендую удалить это рассширение. Позже ещё были скандалы связанные с этим сервисом.
 
3) Немного почистим мусор, для этого

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

  ;uVS v4.1 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  ;---------command-block---------
  delref %SystemDrive%\USERS\7E0E~1\APPDATA\LOCAL\TEMP\{8B186481-EB16-44CB-814C-E47B6BB67DC1}-GOOGLEUPDATESETUP.EXE
  delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 16.0.0\X64\MCOUAS.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\37.0.2062.94\INSTALLER\CHRMSTP.EXE
  delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
  delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
  delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
  delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
  delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
  apply
  
  restart
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.

4) Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

[gdadswad]

@regist, Спасибо вам огромное за помощь.

1)да,мое

 

sfcdoc.log

[regist]

Виндоус у вас случаем не сборка?

2018-10-16 00:36:07, Info                  CSI    00000028 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"OobeFldr.dll" from store
2018-10-16 00:36:28, Info                  CSI    00000043 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:40{20}]"accessibilitycpl.dll" from store
2018-10-16 00:36:35, Info                  CSI    0000004a [sR] Repairing corrupted file [ml:520{260},l:64{32}]"\??\C:\Windows\Branding\Shellbrd"\[l:24{12}]"shellbrd.dll" from store
2018-10-16 00:36:36, Info                  CSI    0000004e [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:20{10}]"authui.dll" from store
2018-10-16 00:36:36, Info                  CSI    00000050 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"autoplay.dll" from store
2018-10-16 00:36:40, Info                  CSI    00000056 [sR] Repairing corrupted file [ml:520{260},l:62{31}]"\??\C:\Windows\Branding\Basebrd"\[l:22{11}]"basebrd.dll" from store
2018-10-16 00:36:40, Info                  CSI    00000059 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:18{9}]"sdcpl.dll" from store
2018-10-16 00:37:03, Info                  CSI    0000008f [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:14{7}]"joy.cpl" from store

и т.д., почти полсотни файлов поврежденых было восстановлено. Для того чтобы убедиться, что все восстановило ещё раз повторите эту проверку.