Закрыто Помогите удалить вирус, пожалуйста

Статус
В этой теме нельзя размещать новые ответы.
C

Crystal

Новый пользователь
Сообщения
11
Реакции
0
Здравствуйте, мне кажется трояна я словила еще с момента покупки ноута, потому что с самого начала он ни с того ни с сего начинал нагреваться, сильно шуметь, я относила это к техническому браку, и в неактивном состоянии вдруг включался экран. В последнее время кабель так нагревался, что становился горячим, и уже хуже стал подключаться к ноуту. Но недавно я должно быть еще зацепила вирус, потому что когда я работала за компом, я увидела, как сам собой открылся браузер яндекс, а потом еще одна вкладка в нем, и открылось окно загрузки, я отменила, оно опять открылось, я все это проделала на автомате, я уже собиралась сворачивать работу, нажала случайно на какую-то кнопку, но я сидела на гугл хроме, так что яндекс никак не должен был открыться. Дальше еще больше, под видом уведомлений от системы скрытно совершался вход в учетную запись, это я потом уже поняла (это была моя бывшая рабочая учетка, которую я никак не могла удалить), а тут они замаскировались под нее, но поковырявшись я все-таки отключилась от нее, хотя толку от этого). Установила Др.Веб, но он ничего не нашел, кроме 5 ошибок. Еще я обнаружила подозрительные сессии с моего аккаунта, тоже лазила в интернете, чтоб узнать что это такое, причем они маскировались под мой ноут и модель моего телефона, естественно я нажимала выход, она опять появлялась через некоторое время. Пароли все поменяла, но они все равно лезут, уже в телефоне я вижу, 1 приложение с постоянным доступом к местоположению, оно было замаскировано под гугл, я убрала гугл, а там все равно высвечивается в списке одно приложение с постоянным доступом, нажимаешь на список, пусто.
Вчера, когда я начала искать как от этого избавиться, вообще не смогла подключиться к интернету, пока не догадалась поставить лимит на трафик, потом в параметрах увидела, что была включена загрузка с других компьютеров и абсолютная пропускная способность, как только изменила эти параметры, хоть ноут перестал нагреваться, а то невозможно было даже зарядить, кабель так нагревался, что больно было прикоснуться. Наконец наткнулась на этот форум, и сначала, если честно, даже не прочитав правила, скачала отдельно утилиты, и запустила их в безопасном режиме, хорошо, что вовремя остановилась и не стала лечить все пункты, которые казались подозрительными. Парочку, правда, перед этим удалила, но они были связаны с моей старой рабочей учеткой, поэтому я посчитала, что это не нужные. Но по крайней мере, я обнаружила, что у меня на 20 гигов стало освободилось памяти.
В общем, я запустила AutoLogger, удивительно, конечно, как я не забила тревогу раньше, я же видела странную папку со странными названием в папке Пользователи, и на многие другие странности тоже не обращала должного внимания(((
 

Вложения

Здравствуйте!

Пока явных следов вредоносных программ не видно.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Хм, но у меня же точно присутствует удаленный доступ, и в папке пользователей отображается пользователь с набором символов вместо имени, у меня нет прав администратора на папку Программные файлы, даже сохранить не дает туда, много папок непонятных, особенно этот Адобе, который я удалила, но папки все равно остаются. Пока у меня стоит лимит в трафике и ограничения в пропускной способности в параметрах безопасности Виндоус, все еще более менее нормально, но вчера я попробовала снять эти ограничения, и у меня за секунду трафик улетел, и тут же начал ноут шуметь и нагреваться. И какие-то странности со входом в аккаунты гугл.
В телефоне вообще черт знает что(( сегодня хочу телефон вернуть к заводским настройкам, вчера зашла в безопасном режиме, кажется созданы клоны приложений, например 2 папки Загрузки, 2 значка Настройки, причем один не в форме шестеренки, а палочки просто, и у него куча разрешений и нет возможности отключить или запретить разрешения, приложения сами устанавливаются, хотя у меня стоял запрет на установку без вай-вай, и вообще куча мала приложений, их отключаешь, они тут же снова включаются, Gboard какой-то странный. Но после того, как я немного почистила историю и кэш, по отпечатку пальца моментально стала заходить, до этого проблемы были постоянно с распознаванием. В общем, ужас.
 

Вложения

Сделаем очистку некоторого мусора.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-462795505-2523976500-3938764600-1001\...\MountPoints2: {1e0d55d5-11fa-11ec-a971-046c59d18732} - "E:\Player.exe" 
S1 epinject6; \??\C:\Program Files (x86)\Citrix\ICA Client\epinject.sys [X]
HKU\S-1-5-21-462795505-2523976500-3938764600-1001\...\Run: [Adobe Acrobat Synchronizer] => "C:\Program Files\Adobe\Acrobat DC\Acrobat\AdobeCollabSync.exe" (Нет файла)
Task: {E108A35B-C301-4C12-9FD4-1059B0EFD27A} - System32\Tasks\Launch Adobe CCXProcess => "C:\Program Files\Adobe\Adobe Creative Cloud Experience\CCXProcess.exe"  (Нет файла)
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки установите временно Malwarebytes и сделайте лог сканирования.
 
Ничего не нашел, странно. Вот эта лишняя папка пользователя никак не хочет уходить. Вообще, после того, как я начала делать разные манипуляции, в левой панели (окна Проводника) и также на рабочем столе (на экране ноута) появилась папка с моим именем и фамилией, раньше ее не было, и когда нажимаешь стрелку, чтобы открыть список, там видны папки, которые ведут к моей пользовательской папке (в папке Пользователи), но название папки у меня только по имени, а не имя-фамилия. И внутри моей папки почему-то еще находятся несколько архивных папок Creative Cloud Files, OpenVPN и Tracing, ну и куча других пустых папок, таких как Объемные файлы, Контакты, Сохраненные игры, не знаю что это. Когда выполнялась очистка с помощью FRST, в левой панели вот эта папка под моим именем-фамилией исчезла, но после перезагрузки ее снова видно в левой панели, но на рабочем столе ее уже нет (имеется в виду на экране ноута). Это как у меня сейчас на телефоне, отключаешь приложение, а оно снова работает.
И у меня никак не устанавливается обновление системы, стоит на ноль и дальше никак. Я попробовала отключить лимит трафика, кабель начал нагреваться больше, но не шумит. А в разделе Оптимизация доставки какой лучше параметр ставить - Абс. пропускная способность или 45%--90%? Я попробовала вернуть параметр Абс.проп.способность, но обновление системы все равно не устанавливается, стоит на 0%.
 

Вложения

Я тут покопалась в параметрах и обнаружила интересные вещи, может раньше они не отображались? как я не могла в них зайти и не проверить?..
Во-первых, Игры, оказалось, у меня во всех вкладках раздела бегунок перемещен на вкл, game bar включен, игровой режим включен, ужас. Потом зашла в раздел Поиски, и там увидела целый список папок, для которых поиск не производится. Соответственно, там были папки на жестком диске, appdata, program files и т.п. Я их удалила. Может поэтому никакого вредоносного ПО не было обнаружено, если они были скрыты для поиска. Дальше зашла в раздел Системы, Проецирование на этот компьютер, в дополнительных компонентах нашла помимо каких-то стандартных Word Pad, Internet Explorer 11, Блокнот (система), Быстрая поддержка Майкрософт (приложение) такой странный компонент как Клиент OpenSSH, еще есть Интегрированная среда сценариев Windows PowerShell, Средство записи действий, распознаватель математических знаков, Факсы и сканирование Windows, проигрыватель Windows Media (приложение). И дальше параметры, которые я не могу изменить, особенно интересный среди них Запрос проецирования на этот компьютер и галочка на параметре "При каждом подключении". И внизу под текстом "Этот компьютер можно обнаружить для проецирования, только когда он подключен к источнику питания" бегунок стоит на вкл., тоже неактивный серым цветом. То-то, стоило мне подключить зарядку, ноут начинал шуметь и нагреваться. Мне что-то надо делать с этим клиентом openssh, я могу его удалить?
И после того, как я удалила те папки из списка исключенных для поиска, мне стоит заново выполнить сканирование с самого начала?
 
Чем дальше смотрю в параметрах, тем хуже. Зашла в Сети и интернет, в разделе Мобильный хот-спот, стоит галочка на "Совместно использовать подключение к интернету через" мой вай фай и имя моего компа и пароль, диапазон сети - любое доступное... Причем в самом верху, где написано "Разрешить использование моего интернет-соединения на других устройствах" бегунок стоит на откл. Нашла 5 или 6 принтеров/сканеров, причем у всех названия как у приложений Майкрософт, типа Microsoft One Note и т.п., как будто это не принтер, а просто стандартное приложение, в свойствах принтеров указаны были создатель-владелец, и еще одна учетная запись помимо моей. Прокси сервер, VPN, сенсорная панель, все было включено....
 
Последнее редактирование:
Еще я случайно вышла на системные компоненты, напр. когда я нажимала на Game bar, кнопки удалить не было, была только Дополнительные параметры, где еще были кнопки Завершить, Сброс (всех текущих процессов), я нажала сброс, я еще на каком-то сделала сброс, но вдруг они перестали быть видимыми. Когда я набираю в пуске Домашняя версия для разработчика, видно, что он находится в разделе Система, но кнопки удалить нет, у компонента Портал смешанной реальности кнопка удалить есть, но он все равно не удаляется. просто капец((( перед этим Game bar было видно в списке приложений, и в пуске среди списка программ висит тоже, но когда нажимаешь на параметры приложения, открывается страница с 4 стандартными системными компонентами и все... и что со всем этим делать?..
 
Ломаете себе в систему в полный рост, эти папки исключены из поиска, чтоб не засорять выдачу технический информацией.
 
В логах не вижу ничего вредоносного завершаем?
 
Значит, вы не сможете мне помочь эхх((( Хакеры уже прочно обосновались в системных настройках. Даже если я сброшу до заводских настроек, это не поможет, уже проверено на телефоне. Интересно, может в каких-то сервисных центрах могут помочь?
 
Глобальное шифрование, отсутствие интернета, отказ от ОС Windows, смена паролей. А пока вы параноите на стандартный функционал Windows

++
www.safezone.cc

Windows 10/11 - Руководство по настройкам безопасности Windows (SECCON)

Руководство в первую очередь предназначена для конфигурации безопасности Windows 10 в корпоративной среде, но данные рекомендации подходят и для Windows 11. Данное руководство содержит рекомендации по конфигурации безопасности Windows в корпоративной среде (эти же настройки, хоть и в не...
www.safezone.cc www.safezone.cc

+++
https://habr.com/ru/companies/otus/articles/747564/
 
Последнее редактирование:
То, что у меня паранойя уже это точно. Я параною сейчас на многие службы в компонентах системы, особенно с установкой вручную, особенно когда читаешь их описания, они сразу кажутся подозрительными) Но как не быть, если они уже убили мой телефон. На телефоне они полностью сменили все системные настройки, установили системные приложения с названиями как у официальных, у каждого приложения скрытые разрешения, от захвата смс до прослушивания, и если бы я продолжала пользоваться телефоном, то они бы видели ВСЕ мои действия на телефоне. Хотя они и на компе все видят, смена паролей не действует, вчера они взяли и сменили мне резервную почту на одном из ящиков, спокойно заходят с моими резервными кодами, периодически проверяю сессии под аккаунтами в гугле, и постоянно вижу новые сессии, помимо текущей. Все время мониторят все мои данные, что им от меня надо, не понимаю, было бы у меня что красть, и красть ведь нечего. Я не знаю, что сделать, чтобы они от меня отстали. Я уже на грани.
Геймеры хоть спокойно просто играли, пользуясь ресурсами моего компа, и не лезли в мои данные. Хотя я не понимаю, если человеку хочется играть, почему бы не играть на своих компах, зачем эксплуатировать чужие, отбирать права админа... Сейчас меня спасает только лимит трафика, но и то, стоит подключиться к зарядке, иногда начинает шуметь и накаляться кабель.
Спасибо за ссылки, ознакомлюсь.
 
Про аудит событий из ссылки, у меня не открывается системное окно Конфигурация компьютера, такого просто нет, при нажатии enter открывается окно браузера, есть только Конфигурация системы, но там открывается только обычно диалоговое окно. У меня пропал аппетит, я уже третий день практически не ем ничего, и не сплю нормально, они точно хотят довести меня до точки.
 
Последнее редактирование:
Да, я на днях увидела в программах программу по распознаванию голоса, не помню как называется, я удалила и еще парочку странных программ, но они могут если им надо с помощью системных приложений внедрить такую возможность. Раньше я вроде могла сохранять программы в программных файлах, сейчас не могу.
Правда, не понимаю чего они все же добиваются, доступ ко всем моим контактам и данным они получили, денег у меня кот наплакал) то ли из чувства мстительности, то ли хотят почувствовать удовлетворение от того, что победили меня и окончательно сломали мой комп и меня.
В общем, тему можно закрывать, как я поняла, здесь в основном утилиты помогают от майнеров, но это не мой случай. Спасибо вам за помощь, утилиты все-таки очистили ок 20 гигов памяти на жестком диске, узнала про malwarebytes и много другого. Сорри за много букафф.
 
Последнее редактирование:
В завершение, пожалуйста:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

M
  • Закрыта
Решена Помогите удалить вредоносное ПО с компьютера (майнер, вирус?)
Ответы
13
Просмотры
383
Sandor
Sandor
U
  • Закрыта
Закрыто Прошу, помогите удалить вирус
Ответы
5
Просмотры
270
Sandor
Sandor
ITTGame
  • Закрыта
Решена помогите удалить вирус или майнер с пользователем john, taskhostw.exe
Ответы
7
Просмотры
595
Sandor
Sandor
Назад
Сверху Снизу