Удаленное управление машиной.

[JiK]

Добрый день, я знаю, что сообщение будет не по форме, но у меня на то весомые причины, прошу прочитать.

Логов у меня нет, т.к. на момент ситуации не думал, что буду писать сюда, но жизненная ситуация вынудила.
 

Прилагаю ссылку, т.к нет логов из-за срока давности ситуации (опишу позже).

Ссылка на вредоносный сайт, где можно скачать софт  :

Спойлер

[ссылка]

Не вздумайте ставить себе на основной ПК

 

Полная хронология событий:

1) 28 августа скачал вредоностный софт, который описан выше и запустил. осознав ошибку сразу скачал Dr.Web Cureit и просканировал систему. Было найдено 14 троянов, которые я попытался вылечить. После лечения Dr.Web Cureit попросил перезгрузить ПК, что я и сделал. Но винда не запустилась из-за какой-то критической ошибки. Я начал процесс восстановления по бекапу недельной давности, что мне и удалось. После восстановления я ещё раз проверил компьютер и вирусов уже не было. Подумав, что проблема решена я забыл про неё.

 

2) 29 августа мне приходит уведомление об удалении номера телефона и двухфакторной аутентификации в гугл аккаунте. Но как так? Ведь для захода необходимо получить коды подтверждения по телефону, чего естевственно не приходило. Я сразу сменил пароль и удалил все авторизации.  Также я заметил, что в истории авторизации не было сторонних устройств. Были только мои личные. (В тот моментя  почему-то не предал этому значение).

3) 1 сентября мне взломали инстаграмм, аналогично как и с гуглом. Авторизации только с моих устройств, пароли не меняли. Я сразу подумал, что полюбому дело в том, что червяк засел в системе даже после восставноления. Снес винду, переустановил и заменил все пароли по новой.  Вирусов в системе никаких нет.

 

На данный момент у меня более ничего не ломали, но страх повторения ситуации есть. Подскажите как быть и что делать, спасибо.
Ещё раз извиняюсь, что без логов, но ситуация такая.

Изменено 2 сентября, 2021 пользователем Sandor
Убрал вредоносную ссылку.

[Sandor]

Здравствуйте!

 

3 часа назад, JiK сказал:

страх повторения ситуации есть

Так соберите логи, проверим и дадим рекомендации.

[JiK]

2 часа назад, Sandor сказал:

Здравствуйте!

 

Так соберите логи, проверим и дадим рекомендации.

Извиняюсь ещё раз за нарушения правил подачи. Вот логи.
Я сделал 2 архива. Ибо при запуске программы у меня начался отчет до старта, но галочки на дисках были сняты по умолчанию.

1 архив. Галочки я тут поставил сам за 20 сек, но перед стартом с диска С она снялась все равно.
2 архив. Ничего не ставил, просто подождал 20 секунд по умолчанию.

 

 

(Ставил галочки) CollectionLog-2021.09.02-17.39.zip(Не ставил галочки нигде) CollectionLog-2021.09.02-17.43.zip

[JiK]

Сегодня ночью, пока спал Гугл опять выдал оповещение безопасности. Хотя никаких вещей я туда не качал. 

Какое приложение имеется ввиду я понять к сожалению не смог. 

[JiK]

Также крайне странно выглядит история IP.
У меня судя по истории гугл вчера, 02.09.21 выполнено было 2 авторизации с моей сети. Имеют они такой вид.

XX.YY.6.11

XX.YY.26.108

 

 

Те, что внизу это во время взлома появились.
А вот верхние два, свежие.

Первый это мой текущий судя по сайту 2IP, а вот второй уже не совсем понимаю чей, хотя судя по сети опять же мой...

 

Изменено 3 сентября, 2021 пользователем JiK

[Sandor]

По нашей части - ничего плохого не видно.

Сделайте ещё такую проверку:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

Обратитесь в соседний раздел форума и дайте там ссылку на эту тему.

[JiK]

1 час назад, Sandor сказал:

По нашей части - ничего плохого не видно.

Сделайте ещё такую проверку:

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

Обратитесь в соседний раздел форума и дайте там ссылку на эту тему.

 

Вот файл. 

У меня ощущение, что сделан как-будто слепок системы и она раздвоена.

SecurityCheck.txt

Проверил ещё раз dr.web cureit и он выдал вот что

Файл имеет содержимое указанное на скрине.

Изменено 3 сентября, 2021 пользователем JiK

[Sandor]

1 час назад, JiK сказал:

Файл имеет содержимое указанное на скрине

Это итак было видно в логах. Если не вы вносили изменения в файл hosts, очистите их.

 

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5004237 Внимание! Скачать обновления
 

 

1 час назад, JiK сказал:

ощущение, что сделан как-будто слепок системы и она раздвоена

Поясните.

[JiK]

33 минуты назад, Sandor сказал:

Автоматическое обновление отключено

 

Я знаю, сам отключал.

 

33 минуты назад, Sandor сказал:

Поясните.

Ну смотрите. Как я писал выше, вход и все изменения на моем аккаунте Гугл(удаление номера и отключение двухфакторки) и Инстаграм(вход) были сделаны без СМС подтверждения или запросов каких-либо кодов. Хотя по всей логике СМС подтверждение или ввод ключа необходимы для входа при включенной 2ФА с других устройств. Исходя из этого я делаю вывод, что был сделан "клон" моей системы, где уже имеются все подтверждения и авторизации.

 

Это подтверждает и вход в аккаунт Гугл по IP.

На скринах видно, что в компьютер был осуществлен вход с 2-х IP моего дома, но как? На рабочем ПК и телефоне там 1 адрес, но не 2. И у Вас, если Вы посмотрите скорее всего будет один IP. (Даже не смотря на то, что включался ВПН)

 

Аналогично и с инстаграмом. Я когда заметил взлом (меня подписали на 300 индусов и сменили аватарку) сразу зашёл менять пароль и проверять откуда вошли. И опять же, вход только с моего IP, но как?
Я не знаю возможно такое или нет, но ощущение, повторюсь, как будто у злоумышленника слепок системы и он просто под моим ip владеет ПК.

 

p.s. Если есть вариант разобрать эту гадость по кусочкам, то есть ссылка. 

Изменено 3 сентября, 2021 пользователем JiK

[Sandor]

4 часа назад, Sandor сказал:

Обратитесь в соседний раздел форума и дайте там ссылку на эту тему.

С системой сейчас порядок (кроме не установленного хотфикса).