Решена Есть большие подозрения на вирус удаленного доступа

Статус
В этой теме нельзя размещать новые ответы.

Anzu89

Новый пользователь
Сообщения
7
Реакции
0
И так я запустил файл ссылка на файл на вирус тотале запускал на виртуальной машине чтобы проверить не вирус ли это и увидел в папке темп после того как закрыл уже виртуальную машину что есть файлы и как будто бэкап моей program files и прочего важно на виртуальной машине включен был интернет также проверял всеми известными антивирусами AVZ Dr web cureit и тд но ничего не нашло так как уже незнал что делать нашел этот форум и решил написать сюда
 
И так я запустил файл ссылка на файл на вирус тотале запускал на виртуальной машине чтобы проверить не вирус ли это и увидел в папке темп после того как закрыл уже виртуальную машину что есть файлы и как будто бэкап моей program files и прочего важно на виртуальной машине включен был интернет также проверял всеми известными антивирусами AVZ Dr web cureit и тд но ничего не нашло так как уже незнал что делать нашел этот форум и решил написать сюда
Вот логи
 

Вложения

  • CollectionLog-2021.03.16-15.13.zip
    88.3 KB · Просмотры: 7
Spybot Anti-Beacon скорее всего бесполезная (если не вредная), так что деинсталлируйте.

"Пофиксите" в HijackThis:
Код:
O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)

Перезагрузите компьютер и соберите новый CollectionLog Автологером.

как будто бэкап моей program files
Поясните, что это значит?

Особо подозрительного по логам ничего не видно.
 
Поясните, что это значит?
Были файлы в папке темп которые назывались temp1_любая папка из папки programfiles тоесть например у меня в programfiles находилась папка processhacker и в папке темп она тоже была под названием temp1_название папки с processhacker я их уже удалил но дальше они не проявлялись но все равно странно что такие файлы вообще появились информацию в гугле об этом вообще не нашел но подозреваю что это либо вирус что мало вероятно или какая либо утилита типа AVZ Dr web cureit сканировала компьютер и это просто файлы которые она вылечила удалила и оставила в папке темп не удалив
 
Последнее редактирование:
Spybot Anti-Beacon скорее всего бесполезная (если не вредная), так что деинсталлируйте.

"Пофиксите" в HijackThis:
Код:
O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)

Перезагрузите компьютер и соберите новый CollectionLog Автологером.


Поясните, что это значит?

Особо подозрительного по логам ничего не видно.
Логи
 

Вложения

  • CollectionLog-2021.03.16-15.39.zip
    89.2 KB · Просмотры: 9
уже удалил но дальше они не проявлялись
Если это проявилось один раз, спишем на некий сбой.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Если это проявилось один раз, спишем на некий сбой.

Проверьте уязвимые места:
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Вот
 

Вложения

  • SecurityCheck.txt
    9 KB · Просмотры: 7
------------------------------- [ Windows ] -------------------------------
User Account Control enabled
The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! This software is no longer supported. Uninstall old version, download and install new one.
WinRAR 5.91 (64-разрядная) v.5.91.0 Warning! Download Update
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 (64-bit) v.8.0.2510.8 Warning! Download Update
Uninstall old version and install new one (jre-8u281-windows-x64.exe).
Java 8 Update 251 v.8.0.2510.8 Warning! Download Update
Uninstall old version and install new one (jre-8u281-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player 12.3 v.12.3.5.205 Warning! This software is no longer supported. Please uninstall it.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.88.0.4324.190 Warning! Download Update

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

Кстати, у вас английская локализация системы. Первое диалоговое окно Автологера было на русском или на английском, не помните?
 
------------------------------- [ Windows ] -------------------------------
User Account Control enabled
The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! This software is no longer supported. Uninstall old version, download and install new one.
WinRAR 5.91 (64-разрядная) v.5.91.0 Warning! Download Update
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 (64-bit) v.8.0.2510.8 Warning! Download Update
Uninstall old version and install new one (jre-8u281-windows-x64.exe).
Java 8 Update 251 v.8.0.2510.8 Warning! Download Update
Uninstall old version and install new one (jre-8u281-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player 12.3 v.12.3.5.205 Warning! This software is no longer supported. Please uninstall it.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.88.0.4324.190 Warning! Download Update

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

Кстати, у вас английская локализация системы. Первое диалоговое окно Автологера было на русском или на английском, не помните?
На английском а еще хотел сказать пользуюсь хромом но portable и adobe крякнутый также winrar тоже крякнутый скачивал с сайта и много софта у меня крякнуто скачивал с проверенных сайтов может знаете rsload ogotop repackme(не реклама)
 
Последнее редактирование:
Adobe Shockwave Player 12.3 - устаревший и не поддерживается. Поэтому рекомендуется удаление.
Хром и Winrar бесплатно официальные версии прекрасно работают, а используя всевозможные креки, вы рискуете получить "неприятность".
 
Adobe Shockwave Player 12.3 - устаревший и не поддерживается. Поэтому рекомендуется удаление.
Хром и Winrar бесплатно официальные версии прекрасно работают, а используя всевозможные креки, вы рискуете получить "неприятность".
Нет я использую по факту обычный хром но он отличается тем что он сохраняет все настройки в одной папке тоесть куки файлы и тд что удобнее нежели раскиданные везде данные браузера
 
На мой взгляд, это не лучший подход. Вы получаете (по-вашему) плюс в одном, но большой минус в том, что в актуальной версии будет закрыта уязвимость, а в ваше текущей это произойдет через время.
И за это время как раз уязвимость и может быть использована злоумышленником.

что удобнее нежели раскиданные везде данные браузера
Вы их периодически просматриваете что ли?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу