STH 0 Опубликовано 7 октября, 2021 Share Опубликовано 7 октября, 2021 Доброго времени суток! Во время запуска tor browser, я заметил подозрительный процесс(tor.exe), который привёл меня в дублирующую папку(tor browser) на другом разделе жесткого диска, там же я нашёл по меньшей мере 3 папки с программами, которые никогда не устанавливал.(WUFUC, 264vfw, xvid). На компьютере так же периодически возникает проблема с доступом к некоторым сайтам(например google) из-за антиспам защиты последних. Еще во время сканирования компьютера, программой avz было выявлено несколько уязвимостей системы, например: : "разрешена отправка приглашений удаленному помощнику", "к ПК разрешен доступ анонимного пользователя", "разрешен административный доступ к локальным дискам (C$, D$ ...)" - эти уязвимости не получается исправить с помощью мастера поиска и устранения проблем. Резюмируя, мне кажется на моём устройстве установлено шпионское ПО и сам компьютер, и домашняя сеть используются для атаки на те или иные сервера в сети интернет. Логи CollectionLog-2021.10.07-22.00.zip Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 10 октября, 2021 Share Опубликовано 10 октября, 2021 Здравствуйте, 1) Проверьте пожалуйста в свойствах системы разрешен ли удаленный помощник? 2) Выполните пожалуйста следующие инструкции: Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
STH 0 Опубликовано 10 октября, 2021 Автор Share Опубликовано 10 октября, 2021 Здравствуйте! 1)Да, в системе разрешён удалённый помощник 2)Отчет прикрепил AdwCleaner[S00].txt Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 октября, 2021 Share Опубликовано 10 октября, 2021 07.10.2021 в 19:45, STH сказал: WUFUC Цитата Wufuc — бесплатная прога с открытым исходным кодом, которая способна разблокировать Центр обновления на якобы неподдерживаемом оборудовании, чтобы вы смогли получать обновления. _______ 07.10.2021 в 19:45, STH сказал: 264vfw, xvid Это от кодеков. В частный первый у вас виден в списке установленных программ. Удалять не советую, потом может не воспроизводиться видео. x264vfw - H.264/MPEG-4 AVC codec (remove only) [2020/07/27 16:06:31]-->C:\Program Files\x264vfw\x264vfw-uninstall.exe 2 часа назад, STH сказал: Да, в системе разрешён удалённый помощник Если хотите его отключить, то выполните скрипт в AVZ begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Remote Assistance','fAllowToGetHelp', 0); end. 07.10.2021 в 19:45, STH сказал: эти уязвимости не получается исправить с помощью мастера поиска и устранения проблем. наверно глупый вопрос, но всё-таки спрошу. Запускали от имени администратора? И надеюсь AVZ из папки Автологера? Плохого ничего не заметил, только вот хвост от удалённого в реестре "пофиксим" в HijackThis: O20 - HKLM\..\Winlogon\Notify\SDWinLogon: [DllName] = SDWinLogon.dll (file missing) 1 Ссылка на сообщение Поделиться на другие сайты
STH 0 Опубликовано 10 октября, 2021 Автор Share Опубликовано 10 октября, 2021 Цитата наверно глупый вопрос, но всё-таки спрошу. Запускали от имени администратора? И надеюсь AAVZ Z из папки Автологера? Нет, скачивал AVZ c официального сайта. Запустить от имени администратора я не додумался. Цитата Плохого ничего не заметил, только вот хвост от удалённого в реестре "пофиксим" в HijackThis: O20 - HKLM\..\Winlogon\Notify\SDWinLogon: [DllName] = SDWinLogon.dll (file missing) Пофиксил, но во сканирования возникла ошибка. Отправил логи на форум разработчиков HijackThis. Спасибо большое за консультацию. Могу я задать еще один глупый вопрос? Во время работы АVZ от имени администратора появились следующие строки: 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll" Обнаружен вызов интерпретатора командной строки в автозапуске [DR=1] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\HotKeysCmds = [C:\Windows\system32\hkcmd.exe] Ошибка поиска KeServiceDescriptorTable в ntkrnlpa.exe Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя Стоит ли беспокоиться по этому поводу? Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 10 октября, 2021 Share Опубликовано 10 октября, 2021 3 hours ago, STH said: Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\Windows\system32\nvinit.dll" Это скорее всего ложное срабатываение на драйвера Nvidia. 3 hours ago, STH said: Стоит ли беспокоиться по этому поводу? По возможности стоит закрывать потенциально опасные уязвимости, чтобы не допустить заражение ПК, и т.п. Также рекомендуется использовать AVZ из папки автологгера. Ссылка на сообщение Поделиться на другие сайты
STH 0 Опубликовано 11 октября, 2021 Автор Share Опубликовано 11 октября, 2021 У меня больше не осталось вопросов. Большое спасибо за помощь! Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 11 октября, 2021 Share Опубликовано 11 октября, 2021 Завершающие шаги: 1. Пожалуйста, запустите adwcleaner.exe В меню Параметры прокрутите вниз и выберите Удалить. Остальные утилиты лечения и папки можно просто удалить. 2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
STH 0 Опубликовано 11 октября, 2021 Автор Share Опубликовано 11 октября, 2021 SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 11 октября, 2021 Share Опубликовано 11 октября, 2021 Ознакомьтесь со следующей информацией: ------------------------------- [ Windows ] -------------------------------Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз --------------------------- [ OtherUtilities ] ---------------------------- Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Foxit Reader v.10.0.0.35798 Внимание! Скачать обновления^Локализованные версии могут обновляться позже англоязычных!^ Microsoft .NET Framework 4.7.2 v.4.7.03062 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!. -------------------------------- [ Media ] -------------------------------- VLC media player v.3.0.8 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Google Chrome v.94.0.4606.71 Внимание! Скачать обновления^Проверьте обновления через меню Справка - О Google Chrome!^ ----------------------------- [ End of Log ] ------------------------------ На этом всё! Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 15 октября, 2021 Share Опубликовано 15 октября, 2021 Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского". Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения