Закрыто Подозрение на удаленный доступ к пк.

Статус
В этой теме нельзя размещать новые ответы.

RAS9000

Пользователь
Сообщения
25
Симпатии
0
Баллы
41
#1
Здравствуйте уважаемые хелперы. У меня следующая ситуация: две недели назад, заметил, что в Одноклассниках (которыми я пользуюсь крайне редко) были заходы с моего айпи (у меня айпи динамический, но примерные айпи провайдера известны), в то время, когда я одноклассники не посещал. Специально проверил историю браузера, заходов на страницу в Одноклассниках не было. Поменял пароль, но не помогло, через какое-то время история повторилась. В итоге я удалил свою страницу. Потом то же повторилось со страницами ВК и фейсбука. С ВК отследить было сложнее, т.к. им пользуюсь часто, а вот с фейсбуком, так же как и с одноклассниками - заход с моего айпи, в то время когда не заходил и отсутствие записи в истории посещений браузера. Единственное, что мне приходит на ум, что кто-то получил удаленный доступ к моему пк. Но проверял антивирусными сканерами, ничего обнаружено не было. Как такое возможно? Прикрепляю лог. Заранее благодарю за любую помощь.
Сообщения объединены:

Здравствуйте уважаемые хелперы. У меня следующая ситуация: две недели назад, заметил, что в Одноклассниках (которыми я пользуюсь крайне редко) были заходы с моего айпи (у меня айпи динамический, но примерные айпи провайдера известны), в то время, когда я одноклассники не посещал. Специально проверил историю браузера, заходов на страницу в Одноклассниках не было. Поменял пароль, но не помогло, через какое-то время история повторилась. В итоге я удалил свою страницу. Потом то же повторилось со страницами ВК и фейсбука. С ВК отследить было сложнее, т.к. им пользуюсь часто, а вот с фейсбуком, так же как и с одноклассниками - заход с моего айпи, в то время когда не заходил и отсутствие записи в истории посещений браузера. Единственное, что мне приходит на ум, что кто-то получил удаленный доступ к моему пк. Но проверял антивирусными сканерами, ничего обнаружено не было. Как такое возможно? Прикрепляю лог. Заранее благодарю за любую помощь.
П.С. Да и еще, по непонятной причине перестал нормально отображаться форум на котором я постоянно общаюсь, такое ощущение, что слетели все скрипты и сильное торможение при загрузке, проблема только у меня, у других форумчан все в порядке.
 

Вложения

Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
15,771
Симпатии
12,724
Баллы
2,203
#2
Cezurity Antivirus - деинсталируйте, штатного антивируса достаточно. по поводу входов с IP, возможно было сканирование профиля Сканер Cezurity
G Data - второй антивирус?
C:\Windows\winstart.bat, C:\Users\Руслан\Desktop\Разобрать из папки загрузка\utorrent.1.8.2.rus.exe - ваше?
dvanced SystemCare - долой

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

RAS9000

Пользователь
Сообщения
25
Симпатии
0
Баллы
41
#3
Cezurity Antivirus - деинсталируйте, штатного антивируса достаточно. по поводу входов с IP, возможно было сканирование профиля Сканер Cezurity
G Data - второй антивирус?
C:\Windows\winstart.bat, C:\Users\Руслан\Desktop\Разобрать из папки загрузка\utorrent.1.8.2.rus.exe - ваше?
dvanced SystemCare - долой

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
"По поводу входов с IP, возможно было сканирование профиля Сканер Cezurity" - он может заходить в профили всех трех социальных сетей?
"G Data - второй антивирус?" - G Data - нет. У меня Нортон и пробовал сканировать разными антивирусными сканерами, возможно пробовал и G Data но сейчас не припомню. "C:\Windows\winstart.bat" - специально не делал. C:\Users\Руслан\Desktop\Разобрать из папки загрузка\utorrent.1.8.2.rus.exe - ваше? - У меня такая папка находиться только в папке "Разобрать 29.01.2017" и она пуста. По указанному вами адресу папка не находится.
 

Вложения

Sandor

Ассоциация VN/VIP
Сообщения
4,418
Симпатии
1,635
Баллы
433
#4
Повторите сканирование в MBAM и удалите (поместите в карантин) все найденное.

Через Панель управления - Удаление программ - удалите нежелательное ПО:
Cezurity Antivirus
Cezurity Antivirus v2.0
CezurityWebInstaller_FixAvastBSODWorkaround
Hamster Free Archiver 2.0.1.8
HitmanPro 3.8
IObit Uninstaller
Кнопка "Яндекс" на панели задач
Элементы Яндекса 8.0 для Internet Explorer
Затем:
  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
15,771
Симпатии
12,724
Баллы
2,203
#5

akok

Команда форума
Администратор
Сообщения
15,771
Симпатии
12,724
Баллы
2,203
#6
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 

RAS9000

Пользователь
Сообщения
25
Симпатии
0
Баллы
41
#7
Здравствуйте. Высылаю новые логи для анализа. Хотел отметить два момента, во - первых Аутологер запускается только в безопасном режиме. И второе - браузер у меня не Хром, а Яндекс. П.С. Акок - еще раз спасибо.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,771
Симпатии
12,724
Баллы
2,203
#8
первых Аутологер запускается только в безопасном режиме.
https://safezone.cc/resources/autologger-regist-drongo.59/field?field=FAQ - соберите дампы


Advanced SystemCare, Reg Organizer, Ashampoo - деинсталлируйте

Malwarebytes - используете? Если нет, то тоже под удаление.

Разберитесь с антивирусами
C:\EEK\bin32\epp.sys - Emsisoft
C:\Program Files\G Data\InternetSecurity\Firewall\GDFwSvc.exe
https://safezone.cc/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\winstart.bat', '');
DeleteFile('C:\Windows\winstart.bat', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
Последнее редактирование:

RAS9000

Пользователь
Сообщения
25
Симпатии
0
Баллы
41
#9
Reg Organizer, Ashampoo - удалил.
Advanced SystemCare - в списке программ которые можно удалить - не находится.

Файл quarantine.zip - не нашел, но есть файлы карантина в папке АВЗ, которые образовались после выполнения скрипта. Все что есть высылаю почтой.
Лог сделанный Universal Virus Sniffer - прикрепляю. Лог AutorunsVTchecker почему-то прикрепить не получается. Он хотя и есть на рабочем столе, но при попытке прикрепить не обнаруживается.
 

Вложения

akok

Команда форума
Администратор
Сообщения
15,771
Симпатии
12,724
Баллы
2,203
#10
Он хотя и есть на рабочем столе, но при попытке прикрепить не обнаруживается.
Эта утилита не создает логи в обычном смысле слова.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    OFFSGNSAVE
    BREG
    delref %SystemDrive%\USERS\27C6~1\APPDATA\LOCAL\TEMP\YUPDATE-VERSIONINFO-YABROWSER.XML
    delref %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 7\ASC.EXE
    delref %SystemDrive%\USERS\РУСЛАН\DESKTOP\РАЗОБРАТЬ ИЗ ПАПКИ ЗАГРУЗКА\UTORRENT.1.8.2.RUS.EXE
    delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES\HAMSTER SOFT\HAMSTER FREE ARCHIVER\HAMSTERCONTEXTMENU.DLL
    delref %SystemDrive%\USERS\РУСЛАН\APPDATA\LOCAL\AMIGO\APPLICATION\AMIGO.EXE
    delref %SystemDrive%\PROGRAM FILES\NORTON 360\ENGINE\22.15.1.8\EXTS\CHROME.CRX
    delref %Sys32%\DRIVERS\PARTIZAN.SYS
    delref %Sys32%\DRIVERS\SBAPIFS.SYS
    delref %Sys32%\DRIVERS\UEZNDL.SYS
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref E:\AUTORUN.EXE
    delref %SystemDrive%\USERS\РУСЛАН\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
    delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]
    delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
    delref {6D53EC84-6AAE-4787-AEEE-F4628F01010C}\[CLSID]
    delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
    delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
    delref {C9C42510-9B41-42C1-9DCD-7282A2D07C61}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CS2\IMAGEREADY.EXE
    delref %SystemDrive%\PROGRAM FILES\FACTORIO\UNINS000.EXE
    delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNLOCKER\IOBITUNLOCKER.EXE
    delref %SystemDrive%\PROGRAM FILES\IOBIT\IOBIT UNLOCKER\UNINS000.EXE
    delref %SystemDrive%\PROGRAM FILES\LANTRICKS\LANSAFETY\LANSAFETY.EXE
    delref %SystemDrive%\PROGRAM FILES\EA\NFS5\PORSCHE.EXE
    delref %SystemDrive%\PROGRAM FILES\PCGAME\CHESSMASTER GRAND MASTER EDITION\CMLAUNCH.EXE
    del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\IOBIT UNLOCKER\IOBIT UNLOCKER.LNK
    del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\IOBIT UNLOCKER\ДЕИНСТАЛЛИРОВАТЬ IOBIT UNLOCKER.LNK
    zoo %SystemDrive%\PROGRAM FILES\FACTORIO\BIN\WIN32\FACTORIO.EXE
    zoo %SystemDrive%\PROGRAM FILES\PORT EXPLORER\PORTEXPLORER.EXE
    czoo
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
 

akok

Команда форума
Администратор
Сообщения
15,771
Симпатии
12,724
Баллы
2,203
#11
Chromodo - тоже удалите. Этот проект закрыт и не поддерживается разработчиком.
 

akok

Команда форума
Администратор
Сообщения
15,771
Симпатии
12,724
Баллы
2,203
#12
Здравствуйте!

Ввиду отсутствия активности в течение последних 10 дней, предположу, что помощь больше не нужна. Поэтому тема закрывается.
Если Вам по-прежнему нужна помощь, отправьте личное сообщение одному из модераторов и укажите ссылку на эту тему.

Спасибо за использование нашего форума и удачи!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу