Перейти к содержанию

Удаленное управление машиной.


Рекомендуемые сообщения

Добрый день, я знаю, что сообщение будет не по форме, но у меня на то весомые причины, прошу прочитать.

Логов у меня нет, т.к. на момент ситуации не думал, что буду писать сюда, но жизненная ситуация вынудила.
 

Прилагаю ссылку, т.к нет логов из-за срока давности ситуации (опишу позже).

Ссылка на вредоносный сайт, где можно скачать софт  :

Спойлер

[ссылка]

Не вздумайте ставить себе на основной ПК

image.thumb.png.b7ccd3e755d02713ecb115ee36eb7fe9.png

 

Полная хронология событий:

1) 28 августа скачал вредоностный софт, который описан выше и запустил. осознав ошибку сразу скачал Dr.Web Cureit и просканировал систему. Было найдено 14 троянов, которые я попытался вылечить. После лечения Dr.Web Cureit попросил перезгрузить ПК, что я и сделал. Но винда не запустилась из-за какой-то критической ошибки. Я начал процесс восстановления по бекапу недельной давности, что мне и удалось. После восстановления я ещё раз проверил компьютер и вирусов уже не было. Подумав, что проблема решена я забыл про неё.

 

2) 29 августа мне приходит уведомление об удалении номера телефона и двухфакторной аутентификации в гугл аккаунте. Но как так? Ведь для захода необходимо получить коды подтверждения по телефону, чего естевственно не приходило. Я сразу сменил пароль и удалил все авторизации.  Также я заметил, что в истории авторизации не было сторонних устройств. Были только мои личные. (В тот моментя  почему-то не предал этому значение).

3) 1 сентября мне взломали инстаграмм, аналогично как и с гуглом. Авторизации только с моих устройств, пароли не меняли. Я сразу подумал, что полюбому дело в том, что червяк засел в системе даже после восставноления. Снес винду, переустановил и заменил все пароли по новой.  Вирусов в системе никаких нет.

 

На данный момент у меня более ничего не ломали, но страх повторения ситуации есть. Подскажите как быть и что делать, спасибо.
Ещё раз извиняюсь, что без логов, но ситуация такая.

Изменено пользователем Sandor
Убрал вредоносную ссылку.
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

3 часа назад, JiK сказал:

страх повторения ситуации есть

Так соберите логи, проверим и дадим рекомендации.

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, Sandor сказал:

Здравствуйте!

 

Так соберите логи, проверим и дадим рекомендации.

Извиняюсь ещё раз за нарушения правил подачи. Вот логи.
Я сделал 2 архива. Ибо при запуске программы у меня начался отчет до старта, но галочки на дисках были сняты по умолчанию.

1 архив. Галочки я тут поставил сам за 20 сек, но перед стартом с диска С она снялась все равно.
2 архив. Ничего не ставил, просто подождал 20 секунд по умолчанию.

 

 

(Ставил галочки) CollectionLog-2021.09.02-17.39.zip(Не ставил галочки нигде) CollectionLog-2021.09.02-17.43.zip

Ссылка на сообщение
Поделиться на другие сайты

Сегодня ночью, пока спал Гугл опять выдал оповещение безопасности. Хотя никаких вещей я туда не качал. 

Какое приложение имеется ввиду я понять к сожалению не смог. 


image.png.942c5cf3010690f8f2f108223324e5ce.png

Ссылка на сообщение
Поделиться на другие сайты

Также крайне странно выглядит история IP.
У меня судя по истории гугл вчера, 02.09.21 выполнено было 2 авторизации с моей сети. Имеют они такой вид.

XX.YY.6.11

XX.YY.26.108

 image.png.a3dbdbab7b7a65b32deb1e68df5894ca.png

 


Те, что внизу это во время взлома появились.
А вот верхние два, свежие.

Первый это мой текущий судя по сайту 2IP, а вот второй уже не совсем понимаю чей, хотя судя по сети опять же мой...

 

Изменено пользователем JiK
Ссылка на сообщение
Поделиться на другие сайты

По нашей части - ничего плохого не видно.

Сделайте ещё такую проверку:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 

Обратитесь в соседний раздел форума и дайте там ссылку на эту тему.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sandor сказал:

По нашей части - ничего плохого не видно.

Сделайте ещё такую проверку:

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

Обратитесь в соседний раздел форума и дайте там ссылку на эту тему.

 

Вот файл. 

У меня ощущение, что сделан как-будто слепок системы и она раздвоена.

SecurityCheck.txt

Проверил ещё раз dr.web cureit и он выдал вот что
image.thumb.png.2abeffd7c4cd2d840afb06e063c8545e.png

Файл имеет содержимое указанное на скрине.

Изменено пользователем JiK
Ссылка на сообщение
Поделиться на другие сайты
1 час назад, JiK сказал:

Файл имеет содержимое указанное на скрине

Это итак было видно в логах. Если не вы вносили изменения в файл hosts, очистите их.

 

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB5004237 Внимание! Скачать обновления
 

 

1 час назад, JiK сказал:

ощущение, что сделан как-будто слепок системы и она раздвоена

Поясните.

Ссылка на сообщение
Поделиться на другие сайты
33 минуты назад, Sandor сказал:


Автоматическое обновление отключено

 

Я знаю, сам отключал.

 

33 минуты назад, Sandor сказал:

Поясните.

Ну смотрите. Как я писал выше, вход и все изменения на моем аккаунте Гугл(удаление номера и отключение двухфакторки) и Инстаграм(вход) были сделаны без СМС подтверждения или запросов каких-либо кодов. Хотя по всей логике СМС подтверждение или ввод ключа необходимы для входа при включенной 2ФА с других устройств. Исходя из этого я делаю вывод, что был сделан "клон" моей системы, где уже имеются все подтверждения и авторизации.

 

Это подтверждает и вход в аккаунт Гугл по IP.

На скринах видно, что в компьютер был осуществлен вход с 2-х IP моего дома, но как? На рабочем ПК и телефоне там 1 адрес, но не 2. И у Вас, если Вы посмотрите скорее всего будет один IP. (Даже не смотря на то, что включался ВПН)
image.png.a3dbdbab7b7a65b32deb1e68df5894ca.png

 

Аналогично и с инстаграмом. Я когда заметил взлом (меня подписали на 300 индусов и сменили аватарку) сразу зашёл менять пароль и проверять откуда вошли. И опять же, вход только с моего IP, но как?
Я не знаю возможно такое или нет, но ощущение, повторюсь, как будто у злоумышленника слепок системы и он просто под моим ip владеет ПК.

 

p.s. Если есть вариант разобрать эту гадость по кусочкам, то есть ссылка. 

Изменено пользователем JiK
Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, Sandor сказал:

Обратитесь в соседний раздел форума и дайте там ссылку на эту тему.

С системой сейчас порядок (кроме не установленного хотфикса).

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • kptsv
      От kptsv
      Добрый день.
      Kaspersky Security для Windows Server 10.1.2.996 выдает сообщение, что обнаружены троянские программы HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen. Проверка kvrt ничего не нашла. Dr.Web CureIt тоже ничего не нашел.
      Сообщение заносится в журнал каждый час. Как избавиться от напасти?
      CollectionLog-2024.02.29-08.17.zip kaspersky_log.csv.zip
    • bon1kk
      От bon1kk
      Здравствуйте! Столкнулся с проблемой..на компьютер попал троян...несколько дней назад он появился, я сразу же с помощью антивируса Касперского вроде как удалил его вместе с перезагрузкой компьютера. Через 2 дня вирус снова был обнаружен на компьютере. Как он попадает? И как избавиться от него навсегда? Касперский помогает лишь на несколько дней...работаю с ADS browser, в подобной теме видел что у ребят это вылезает из-за перехода по ссылке которую касперский метит, и не значит что файл в системе, верно!? В последний раз заходил на этот сайт, и сейчас снова показывает как подозрительный, может быть ли это из-за него?


    • Shkine
      От Shkine
      Доброго времени суток на днях заметил что защитник обнаружил троян. Но при попытке удалить его - ничего не происходит он снова появляется. Находил похожие от части темы, где использовали Farbar Recovery Scan Tool. Так что ко всем файлам прикладываю и его результаты. Буду благодарен за помощь.


      Addition.txt FRST.txt
    • Valeria_Tropina
      От Valeria_Tropina
      Не получается удалить этот вирус, уже несколько раз пыталась! 
      Помимо него есть еще несколько от которых я также не могу избавиться. 
      Еще три: 
      Trojan.BAT.Agent.bzg 
      Trojan.Multi.Agent.n 
      HEUR:Trojan.Win32.Convagent.gen 
    • Clf
      От Clf
      Добрый день!
      Такая же проблема как и в данной теме https://forum.kasperskyclub.ru/topic/439255-resheno-heurtrojanwin64minergen-pomogite-udalit/
       
      Помогите удалить HEUR:Trojan.Win64.Miner.gen

      Прикрепил логи по правилам оформления запроса созданные через AutoLogger

      Также прикрепил логи анализа системы при помощи Farbar Recovery Scan Tool 
      + образ автозапуска в uVS

       
      FRST.txt Addition.txt DENIS_2024-01-24_22-33-29_v4.15.1.7z
      CollectionLog-2024.01.24-23.06.zip
×
×
  • Создать...