Решена Есть большие подозрения на вирус удаленного доступа

[Anzu89]

И так я запустил файл ссылка на файл на вирус тотале запускал на виртуальной машине чтобы проверить не вирус ли это и увидел в папке темп после того как закрыл уже виртуальную машину что есть файлы и как будто бэкап моей program files и прочего важно на виртуальной машине включен был интернет также проверял всеми известными антивирусами AVZ Dr web cureit и тд но ничего не нашло так как уже незнал что делать нашел этот форум и решил написать сюда

VirusTotal

VirusTotal

www.virustotal.com

 

[Sandor]

Здравствуйте!

Правила оформления запроса о помощи

 

[Anzu89]

И так я запустил файл ссылка на файл на вирус тотале запускал на виртуальной машине чтобы проверить не вирус ли это и увидел в папке темп после того как закрыл уже виртуальную машину что есть файлы и как будто бэкап моей program files и прочего важно на виртуальной машине включен был интернет также проверял всеми известными антивирусами AVZ Dr web cureit и тд но ничего не нашло так как уже незнал что делать нашел этот форум и решил написать сюда

VirusTotal

VirusTotal

www.virustotal.com

Вот логи

 

[Sandor]

Spybot Anti-Beacon скорее всего бесполезная (если не вредная), так что деинсталлируйте.

"Пофиксите" в HijackThis:

O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)

Перезагрузите компьютер и соберите новый CollectionLog Автологером.

как будто бэкап моей program files

Поясните, что это значит?

Особо подозрительного по логам ничего не видно.

 

[Anzu89]

Поясните, что это значит?

Были файлы в папке темп которые назывались temp1_любая папка из папки programfiles тоесть например у меня в programfiles находилась папка processhacker и в папке темп она тоже была под названием temp1_название папки с processhacker я их уже удалил но дальше они не проявлялись но все равно странно что такие файлы вообще появились информацию в гугле об этом вообще не нашел но подозреваю что это либо вирус что мало вероятно или какая либо утилита типа AVZ Dr web cureit сканировала компьютер и это просто файлы которые она вылечила удалила и оставила в папке темп не удалив

 

[Anzu89]

Spybot Anti-Beacon скорее всего бесполезная (если не вредная), так что деинсталлируйте.

"Пофиксите" в HijackThis:

O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-18\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-19\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TEMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)
O7 - TroubleShooting: (EV) HKU\S-1-5-20\..\Environment: [TMP] = C:\Users\Anzu\AppData\Local\Temp (folder missing)

Перезагрузите компьютер и соберите новый CollectionLog Автологером.


Поясните, что это значит?

Особо подозрительного по логам ничего не видно.

Логи

 

[Sandor]

уже удалил но дальше они не проявлялись

Если это проявилось один раз, спишем на некий сбой.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Anzu89]

Если это проявилось один раз, спишем на некий сбой.

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Вот

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
User Account Control enabled
The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! This software is no longer supported. Uninstall old version, download and install new one.
WinRAR 5.91 (64-разрядная) v.5.91.0 Warning! Download Update
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 (64-bit) v.8.0.2510.8 Warning! Download Update
Uninstall old version and install new one (jre-8u281-windows-x64.exe).
Java 8 Update 251 v.8.0.2510.8 Warning! Download Update
Uninstall old version and install new one (jre-8u281-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player 12.3 v.12.3.5.205 Warning! This software is no longer supported. Please uninstall it.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.88.0.4324.190 Warning! Download Update

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

Кстати, у вас английская локализация системы. Первое диалоговое окно Автологера было на русском или на английском, не помните?

 

[Anzu89]

------------------------------- [ Windows ] -------------------------------
User Account Control enabled
The elevation prompt for administrators disabled
^It is recommended to enable (default): Win+R typing UserAccountControlSettings and Enter^
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 21.01 alpha (x64) v.21.01 alpha Warning! This software is no longer supported. Uninstall old version, download and install new one.
WinRAR 5.91 (64-разрядная) v.5.91.0 Warning! Download Update
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 251 (64-bit) v.8.0.2510.8 Warning! Download Update
Uninstall old version and install new one (jre-8u281-windows-x64.exe).
Java 8 Update 251 v.8.0.2510.8 Warning! Download Update
Uninstall old version and install new one (jre-8u281-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player 12.3 v.12.3.5.205 Warning! This software is no longer supported. Please uninstall it.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.88.0.4324.190 Warning! Download Update

Возьмите на заметку - Рекомендации после удаления вредоносного ПО

Кстати, у вас английская локализация системы. Первое диалоговое окно Автологера было на русском или на английском, не помните?

На английском а еще хотел сказать пользуюсь хромом но portable и adobe крякнутый также winrar тоже крякнутый скачивал с сайта и много софта у меня крякнуто скачивал с проверенных сайтов может знаете rsload ogotop repackme(не реклама)

 

[Sandor]

Adobe Shockwave Player 12.3 - устаревший и не поддерживается. Поэтому рекомендуется удаление.
Хром и Winrar бесплатно официальные версии прекрасно работают, а используя всевозможные креки, вы рискуете получить "неприятность".

 

[Anzu89]

Adobe Shockwave Player 12.3 - устаревший и не поддерживается. Поэтому рекомендуется удаление.
Хром и Winrar бесплатно официальные версии прекрасно работают, а используя всевозможные креки, вы рискуете получить "неприятность".

Нет я использую по факту обычный хром но он отличается тем что он сохраняет все настройки в одной папке тоесть куки файлы и тд что удобнее нежели раскиданные везде данные браузера

 

[Sandor]

На мой взгляд, это не лучший подход. Вы получаете (по-вашему) плюс в одном, но большой минус в том, что в актуальной версии будет закрыта уязвимость, а в ваше текущей это произойдет через время.
И за это время как раз уязвимость и может быть использована злоумышленником.

что удобнее нежели раскиданные везде данные браузера

Вы их периодически просматриваете что ли?