Решена Подозрение на вирус, перехватывающий данные.

[rybuq]

Всем привет. В последнее время мне взломали все, что можно: Discord, ВК(несколько раз), телеграмм и даже стим аккаунт, после чего я получил приятный бонус в виде вак бана в КС , после всех взломов везде менял пароли(ставил очень сложные пароли), проверял всеми возможными антивирусами систему и взломы не прекращаются. Прошу пожалуйста помочь, т.к переустановка винды очень сильно ударит, т.к очень много данных, которые очень долго восстанавливать(я музыкант).

 

[akok]

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, My-Files.SU, MediaFire, Files.FM, Pixeldrain или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\DRM\NFPKBWm6eL\GlobalDataX.bat','');
 DeleteFile('C:\ProgramData\Microsoft\DRM\NFPKBWm6eL\GlobalDataX.bat','64');
 DeleteSchedulerTask('Microsoft\Windows\GlobalDataX\RecoveryHosts');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUserPEH (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Users\kadoc (empty)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала

 

[rybuq]

Спасибо! Все сделал, как вы и указали. Прикрепляю AV_block_remove.log

 

[akok]

Продолжим

Тема 'Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство'

14 Апр 2023

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря механизмам ограничения изменений. Некоторые из дополнительных мер защиты, которые активируются при включении "Защиты от подделки", включают:

• Включение защиты от вирусов и угроз;
• Включение реального времени защиты;
• Включение мониторинга поведения;
• Включение антивирусной защиты...

• akok
• windows 10 windows 11 windows defender безопасность windows
• Ответы: 0
• Форум: Разное: Инструкции и рекомендации

• 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[rybuq]

Прикрепляю

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  CHR HKU\S-1-5-21-2498256473-3257789397-1592006918-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
  HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {53D8078F-6FDC-4CAD-9450-55AC0375AE62} - System32\Tasks\CCleanerSkipUAC - kadoc => "D:\APPLICATIONS\CCleaner\CCleaner.exe"  $(Arg0) (Нет файла)
  Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
  ContextMenuHandlers1: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Нет файла
  CustomCLSID: HKU\S-1-5-21-2498256473-3257789397-1592006918-1001_Classes\CLSID\{c0f42af5-855f-f8f2-3cc9-c23f54cf00ec}\localserver32 -> "C:\Program Files\Nefarius Software Solutions\Nefarius VirtualPad Driver Runtime\NefariusVirtualPadDriverNotifications.exe" -ToastActivated => Нет файла
  ContextMenuHandlers6: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} =>  -> Нет файла
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ну и после меняйте все важные пароли, и вспоминайте был ли на ПК компромат который могут использовать для шантажа. Путь доступа к ПК закрыли, но дальше, уже только двухфакторная аутентификация.

 

[rybuq]

Огромное спасибо)
Если не сложно, то можно объяснить, было ли что-то не так?

 

[akok]

Качали варез/пиратку, скачали майнер, который открывает доступ к ПК для оператора. Может еще, что было, но следов не осталось.

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

Ознакомьтесь: Рекомендации после лечения

 

[rybuq]

Еще раз спасибо, безумно выручили. Надеюсь Вам ваше дело доставляет удовольствие)