-
Junior Member
- Вес репутации
- 49
Злоумышленник атакует!!!
Добрый день!
У меня на компьютере какое-то вредоносное ПО.Я на все 100% уверена в этом.А дело было так...
Сперва начал обрываться интернет.Хотя до этого такого у провайдера никогда такого не было.
Процессор загружен бывал в режиме простоя 100%,но я ничего не выполняла.
В диспетчере задач появился некий "unsecapp.exe",если нажать отображать все процессы,то он исчезал.
Компьютер начал очень сильно шуметь.
На диске C появился файл с расширением "cmd" кажется гдк-то 30 ноября.Обычным путем он не удалялся.Я его удали с помощью программы.А после этого сразу же в автозапуск добавились "Load" и "Run".Отключить их не удалось.Но расположение в реестре указывается.Там все больше и больше появляется записей.
Сейчас обрывы интернета прекратились,а длились примерно недели 2.
Плюс ко всему в параметрах управления учетными записями пользователей переодически изменяется на не уведомлять при изменении параметров Windows пользователем,а у меня стоит всегда уведомлять,но оно само изменяется на меньшую ступень защиты.
Зайдя на ресурс pcflank.com мне выдали:"Trojan Name: Optix Lite tcp: 5151"При повторном тесте все хорошо.
При проверке Dr Web Curient в папке C:\ProgramData на каком-то файле с расширением "dll",проверка застопаривалась.В безопасном режиме все нормально.
В некоторых спам базах есть мой Ip.
У меня такое ощущение,что при обращении запроса к DNS серверу,он идет на ресурс злоумышленника.Знаете,словно он подменяет даже привычные сайты.Как будто выдает свой сайт и может там все контролировать.
Это целенаправленные действия какого-то человека,который владеет знаниями не рядового пользователя.Скорее всего из личных побуждений.Ибо если брать в расчет его знание моих паролей,логинов и прочего,то ничего не было изменено.Тоесть злоумышленник затаился в ожидании и укреплении своих позиций на моем компьютере,имея полный доступ ко всему.
Можно ли себя как-то обезопасить?Я не знаю,что мне делать.
Пожалуйста,помогите...
Последний раз редактировалось olejah; 26.01.2011 в 00:29.
Причина: Вредная ссылка деактивирована
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 49
Скриншот появившихся процессов в автозапуске.
Load процесс в реестре.
Run процесс в реестре.
Всем большое спасибо!
На других надейся,а сам не плошай!
-
Сообщение от
Aladriel
Load процесс в реестре.
Run процесс в реестре.
Load и Run - это не процессы, а параметры в реестре.
Они у вас пустые, как и должно быть по умолчанию.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 49
Одним словом ничего подозрительного нет и это все плод моего больного воображения?
На других надейся,а сам не плошай!
-
Junior Member
- Вес репутации
- 49
Всем привет!
Если кто-то следил и интересовался,то вот:
Дата создания общей учетной записи изменилась.Я пробовала сменить пароль,но ничего не вышло и только дата поменялась.Так намного ранняя была.Как вы уже догадались,я конечно же ничего подобного не делала и не создавала)
Все-таки злоумышленник нашелся,как я и говорила.Но вопрос в другом,подскажите,пожалуйста,может кто сталкивался с подобным.
Какие наиболее возможные варианты реализации и как можно себя обезопасить наверняка?
На других надейся,а сам не плошай!
-
Junior Member
- Вес репутации
- 49
Есть над чем подумать
Не поленитесь и посмотрите информацию об IP.
KIS 2011 ставился на чистую машину с нуля.Явных признаков сбоя либо нарушения работы ПК не наблюдалось.Трафик уходит на американские прокси сервера.Хочется заметить,что он позиционирует как трафик касперского,что наводит на множество вопросов.
Возникает вопрос,как такое возможно и кто это может провернуть???Какой доступ имеет злоумышленник к ПК и какую информацию он получает на основании этого?
Настораживает только одно,что так легко можно получить получить полный доступ к ПК через антивирус.
Если кто-то сталкивался с подобным,напишите,пожалуйста.И может кто-нибудь знает как подобное не допустить впредь.А тем кто работает с важными документами или присутствует интернет-банкинг,есть над чем поразмыслить.
Заранее Всем благодарна!
Спасибо!
На других надейся,а сам не плошай!
-
Выполните в AVZ скрипт из файла ScanVuln.txt откройте файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления. (Обратите внимание, при установке сервис паков, обновлении ОС, может потребоваться повторная активация Windows)
Перезагрузите компьютер.
Повторите выполнение скрипта, чтобы убедиться, что уязвимости устранены.
Повторите логи по правилам.
Paula rhei.
Поддержать проект можно тут
-
-
Оба адреса - Microsoft Corp
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 49
Миднайт,спасибо большое!
Система с нуля переустановлена после того как кто-то настроил мост к моему ПК.
Добавлено через 4 минуты
Avz Каждый раз выдает:
"Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROG RA~2\KASPER~1\KASPER~1\sbhook.dll"
Первый раз,когда проверка AVZ на переустановленной ОС,выдало с 35% вероятностью,что что-то там в KIS вирус.После второй идентичной проверки сразу после такого у же не было.
Так и должно быть?
Добавлено через 2 минуты
Сообщение от
thyrex
Оба адреса - Microsoft Corp
Можно подробнее,почему к разным IP постоянно идет подключение.
(Более 10 разных)
И почему и куда это оно отсылает и принимает трафик.
Последний раз редактировалось Aladriel; 26.01.2011 в 15:31.
Причина: Добавлено
На других надейся,а сам не плошай!
-
Сообщение от
Aladriel
Avz Каждый раз выдает:
"Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\ PROG RA~2\KASPER~1\KASPER~1\sbhook.dll"
это нормально. В ваших предыдущих логах чисто.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 49
На других надейся,а сам не плошай!