Перейти к содержанию

Удаленное управление машиной.


Рекомендуемые сообщения

Добрый день, я знаю, что сообщение будет не по форме, но у меня на то весомые причины, прошу прочитать.

Логов у меня нет, т.к. на момент ситуации не думал, что буду писать сюда, но жизненная ситуация вынудила.
 

Прилагаю ссылку, т.к нет логов из-за срока давности ситуации (опишу позже).

Ссылка на вредоносный сайт, где можно скачать софт  :

Спойлер

[ссылка]

Не вздумайте ставить себе на основной ПК

image.thumb.png.b7ccd3e755d02713ecb115ee36eb7fe9.png

 

Полная хронология событий:

1) 28 августа скачал вредоностный софт, который описан выше и запустил. осознав ошибку сразу скачал Dr.Web Cureit и просканировал систему. Было найдено 14 троянов, которые я попытался вылечить. После лечения Dr.Web Cureit попросил перезгрузить ПК, что я и сделал. Но винда не запустилась из-за какой-то критической ошибки. Я начал процесс восстановления по бекапу недельной давности, что мне и удалось. После восстановления я ещё раз проверил компьютер и вирусов уже не было. Подумав, что проблема решена я забыл про неё.

 

2) 29 августа мне приходит уведомление об удалении номера телефона и двухфакторной аутентификации в гугл аккаунте. Но как так? Ведь для захода необходимо получить коды подтверждения по телефону, чего естевственно не приходило. Я сразу сменил пароль и удалил все авторизации.  Также я заметил, что в истории авторизации не было сторонних устройств. Были только мои личные. (В тот моментя  почему-то не предал этому значение).

3) 1 сентября мне взломали инстаграмм, аналогично как и с гуглом. Авторизации только с моих устройств, пароли не меняли. Я сразу подумал, что полюбому дело в том, что червяк засел в системе даже после восставноления. Снес винду, переустановил и заменил все пароли по новой.  Вирусов в системе никаких нет.

 

На данный момент у меня более ничего не ломали, но страх повторения ситуации есть. Подскажите как быть и что делать, спасибо.
Ещё раз извиняюсь, что без логов, но ситуация такая.

Изменено пользователем Sandor
Убрал вредоносную ссылку.
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

3 часа назад, JiK сказал:

страх повторения ситуации есть

Так соберите логи, проверим и дадим рекомендации.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

Здравствуйте!

 

Так соберите логи, проверим и дадим рекомендации.

Извиняюсь ещё раз за нарушения правил подачи. Вот логи.
Я сделал 2 архива. Ибо при запуске программы у меня начался отчет до старта, но галочки на дисках были сняты по умолчанию.

1 архив. Галочки я тут поставил сам за 20 сек, но перед стартом с диска С она снялась все равно.
2 архив. Ничего не ставил, просто подождал 20 секунд по умолчанию.

 

 

(Ставил галочки) CollectionLog-2021.09.02-17.39.zip(Не ставил галочки нигде) CollectionLog-2021.09.02-17.43.zip

Ссылка на сообщение
Поделиться на другие сайты

Сегодня ночью, пока спал Гугл опять выдал оповещение безопасности. Хотя никаких вещей я туда не качал. 

Какое приложение имеется ввиду я понять к сожалению не смог. 


image.png.942c5cf3010690f8f2f108223324e5ce.png

Ссылка на сообщение
Поделиться на другие сайты

Также крайне странно выглядит история IP.
У меня судя по истории гугл вчера, 02.09.21 выполнено было 2 авторизации с моей сети. Имеют они такой вид.

XX.YY.6.11

XX.YY.26.108

 image.png.a3dbdbab7b7a65b32deb1e68df5894ca.png

 


Те, что внизу это во время взлома появились.
А вот верхние два, свежие.

Первый это мой текущий судя по сайту 2IP, а вот второй уже не совсем понимаю чей, хотя судя по сети опять же мой...

 

Изменено пользователем JiK
Ссылка на сообщение
Поделиться на другие сайты

По нашей части - ничего плохого не видно.

Сделайте ещё такую проверку:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 

Обратитесь в соседний раздел форума и дайте там ссылку на эту тему.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

По нашей части - ничего плохого не видно.

Сделайте ещё такую проверку:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Обратитесь в соседний раздел форума и дайте там ссылку на эту тему.

 

Вот файл. 

У меня ощущение, что сделан как-будто слепок системы и она раздвоена.

SecurityCheck.txt

Проверил ещё раз dr.web cureit и он выдал вот что
image.thumb.png.2abeffd7c4cd2d840afb06e063c8545e.png

Файл имеет содержимое указанное на скрине.

Изменено пользователем JiK
Ссылка на сообщение
Поделиться на другие сайты
1 час назад, JiK сказал:

Файл имеет содержимое указанное на скрине

Это итак было видно в логах. Если не вы вносили изменения в файл hosts, очистите их.

 

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5004237 Внимание! Скачать обновления
 

 

1 час назад, JiK сказал:

ощущение, что сделан как-будто слепок системы и она раздвоена

Поясните.

Ссылка на сообщение
Поделиться на другие сайты
33 минуты назад, Sandor сказал:


Автоматическое обновление отключено

 

Я знаю, сам отключал.

 

33 минуты назад, Sandor сказал:

Поясните.

Ну смотрите. Как я писал выше, вход и все изменения на моем аккаунте Гугл(удаление номера и отключение двухфакторки) и Инстаграм(вход) были сделаны без СМС подтверждения или запросов каких-либо кодов. Хотя по всей логике СМС подтверждение или ввод ключа необходимы для входа при включенной 2ФА с других устройств. Исходя из этого я делаю вывод, что был сделан "клон" моей системы, где уже имеются все подтверждения и авторизации.

 

Это подтверждает и вход в аккаунт Гугл по IP.

На скринах видно, что в компьютер был осуществлен вход с 2-х IP моего дома, но как? На рабочем ПК и телефоне там 1 адрес, но не 2. И у Вас, если Вы посмотрите скорее всего будет один IP. (Даже не смотря на то, что включался ВПН)
image.png.a3dbdbab7b7a65b32deb1e68df5894ca.png

 

Аналогично и с инстаграмом. Я когда заметил взлом (меня подписали на 300 индусов и сменили аватарку) сразу зашёл менять пароль и проверять откуда вошли. И опять же, вход только с моего IP, но как?
Я не знаю возможно такое или нет, но ощущение, повторюсь, как будто у злоумышленника слепок системы и он просто под моим ip владеет ПК.

 

p.s. Если есть вариант разобрать эту гадость по кусочкам, то есть ссылка. 

Изменено пользователем JiK
Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Sandor сказал:

Обратитесь в соседний раздел форума и дайте там ссылку на эту тему.

С системой сейчас порядок (кроме не установленного хотфикса).

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От JiK
      Добрый день. Проблема с удаленным доступом злоумышленников, который возможно остался после заражения ПК.
      Суть вопроса: Возможна ли ситуации, что даже после очистки ПК и переустановки системы у злоумышленника остался доступ к моему ПК? Подробнее я описал в теме соседнего раздела, но отписать сюда.
      Вот тема: 
       
    • От _bezuss_
      В защитнике Вигдовс в списке "разрешенные" трояны Trojan:script/Wacatac.B1ml, Trojan:win32/Wacatac.B1ml, Trojan:script/Casur.A!cl, никакие антивирусы их не видят!!!

    • От tuvumba
      Недавно обнаружил на рабочем компе вирус, попытки вручную удалить не увенчались успехом. При буте в нормальном режиме снова всё возвращается. Kaspersky Virus Removal Tool находит Winmon.sys, windefender, csrss и прочие файлы. Логи прилагаю.
      CollectionLog-2021.07.21-12.09.zip
    • От Slog_gkh
      Зашифровали все данные на двух серверах.
      vir.zip Addition.txt FRST.txt
    • От Химик
      Добрый день! Прошу помощи в борьбе с мелкой гадюкой. Использовал все известные мне утилиты, кроме KVRT, ничего его не видит. 
      Использовал: Dr.Web ceruit, AdwCleaner, RogueKillir. Ничего не помогает. Касперский удаляет данный троян, перезагрузка, опять он тут как тут. Постаянно создается папка PuzzleMedia по пути C:\ProgramData\PuzzleMedia. В этой папке через раз обнаруживается троян с HEUR:Trojan.Win64.Miner.gen. Прошу помощи!
      CollectionLog-2021.07.08-02.21.zip
      FRST.txt Addition.txt
×
×
  • Создать...