Здравствуйте хакеры как то проникли на компьютер, прошили биос т.е. увидел как запустилась какая-то утилита по прошивке биос не успел даже нажать отмену. После переустановки win10 и прошивки родной утилитой комп как то подозрительно работает.
Printable View
Здравствуйте хакеры как то проникли на компьютер, прошили биос т.е. увидел как запустилась какая-то утилита по прошивке биос не успел даже нажать отмену. После переустановки win10 и прошивки родной утилитой комп как то подозрительно работает.
Уважаемый(ая) [B]dabest83[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Ещё пару защитных продуктов установите, будет ещё страннее себя вести :>
Kaspersky Internet Security уже включает в себя файрволл, а Вы ещё и ZoneAlarm Free Firewall Firewall установили, который также ведёт мониторинг активности программ, вот они друг другу (и Вам) и мешают. А ещё и Malwarebytes Anti-Malware присутствует... Оставьте KIS - и будет Вам счастье.
Проблема в том что, раньше родные утилиты от материнской платы работали MSI Command Center, Live Update сейчас зависают. Пока писал сообщение вылезла ошибка Windows\system находится на другом компьютере! При полном сканировании AVZ пишет подозрение на Trojan downloader, включены потенциально опасные службы. Комп может сам ночью включиться. Dr.web liveCD ругается на запись в реестре. В акаунте какие-то письма в без текста, без темы.
[ATTACH=CONFIG]641105[/ATTACH][ATTACH=CONFIG]641106[/ATTACH][ATTACH=CONFIG]641107[/ATTACH]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).
Вчера в программах появилась MultiPoint Manager что то раньше я ее не видел.
Похоже, действительно, ломанули.
Смените пароль на учётку.
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
(Microsoft Corporation) C:\Program Files\Windows MultiPoint Server\WmsSvc.exe
(Microsoft Corporation) C:\Program Files\Windows MultiPoint Server\WmsSelfHealingSvc.exe
(Microsoft Corporation) C:\Program Files\Windows MultiPoint Server\WmsSessionAgent.exe
CHR HKLM\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
CHR HKLM-x32\...\Chrome\Extension: [fhoibnponjcgjgcnfacekaijdbbplhib] - hxxps://chrome.google.com/webstore/detail/fhoibnponjcgjgcnfacekaijdbbplhib
R2 Wms; C:\Program Files\Windows MultiPoint Server\WmsSvc.exe [1047040 2016-09-06] (Microsoft Corporation)
R2 WmsRepair; C:\Program Files\Windows MultiPoint Server\WmsSelfHealingSvc.exe [72704 2016-09-06] (Microsoft Corporation)
S3 DrvAgent64; \??\C:\WINDOWS\SysWoW64\Drivers\DrvAgent64.SYS [X]
2016-08-25 22:26 - 2016-08-25 22:26 - 00000016 _____ C:\ProgramData\mntemp
FirewallRules: [WMS-Service] => (Allow) %ProgramFiles%\Windows MultiPoint Server\Wmssvc.exe
FirewallRules: [WMS-Session-Agent] => (Allow) %ProgramFiles%\Windows MultiPoint Server\WmsSessionAgent.exe
FirewallRules: [WMS-Manager] => (Allow) %ProgramFiles%\Windows MultiPoint Server\WmsManager.exe
2016-09-06 06:43 - 2016-09-06 06:43 - 00000000 ____D C:\Program Files\Windows MultiPoint Server
EmptyTemp:
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Архив с логами большой пишет на файлобменик закинул. Еще с двумя телефонами и планшетом на андройде та же самая петрушка...перепробовал разные антивирусы никто ничего не находит. Сброс на за водские, перепрошивка с полным форматированием, все пезполезно.В googleDrive поудалял скрытые файлы, подключеные приложения...Через приложение Hangouts команды какие-то зашифрованые приходили.
[url=http://www.fayloobmennik.net/6551067]logi.rar[/url]
По андроидам ничего не подскажу. В роутере не поковырялись, проверьте - пробросы портов, например, не добавили?
В папке ghfghbgffhcfhjgcdswstttgh на рабочем столе что? Ваше?
Скопируйте скрипт из окна "код" ниже в буфер обмена:
[CODE];uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v388c
delref %SystemDrive%\USERS\HOXNOX~1\APPDATA\LOCAL\TEMP\INSTMP\CODEJO~1.OCX
delref %SystemDrive%\PROGRAM FILES\WINDOWS MULTIPOINT SERVER\WMSCONFIGTASKS.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWS MULTIPOINT SERVER\WMSPROXYSTUB.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWS MULTIPOINT SERVER\WMSSHARINGHOST.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWS MULTIPOINT SERVER\WMSSVC.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS MULTIPOINT SERVER\WMSSVCPROXYSTUB.DLL
delref %SystemDrive%\PROGRAM FILES\WINDOWS MULTIPOINT SERVER\WMSTOASTAPI.DLL[/CODE]
Отключите временно антивирус, запустите командный файл script.cmd из папки с uVS. Когда откроется окно со скриптом, нажмите "Выполнить".
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
В роутере пробросов портов нет.
В папке ghfghbgffhcfhjgcdswstttgh да это мое видяхи, скриншоты с телефонов.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Готово!
Включите [URL="http://support.kaspersky.ru/12407"]детектирование потенциально нежелательных программ в Kaspersky Internet Security 2016[/URL].
Можно также включить также [URL="http://support.kaspersky.ru/11238"]Мониторинг активности[/URL].
И всё, пожалуй.
Спасибо вам огромное! вот так за мной уже 3года следят, чуть со счета деньги не сняли...кому рассказывал ни кто не верил говорили параноя.
И у меня куча вопросов от куда это все взялось? Антивирусник я сразу ставил. Если я переустановлю в очередной раз Виндовс нужно будет опять все эти скрипты проделывать, т.к я 3раза переустанавливал, форматировал все повторялось.. Уже и комп поменял и телефон...
Можете в кратце все это объяснить...
Смотрите, что скачиваете и запускаете. В 99% случаев заражение происходит от действий самого пользователя, такое, чтоб хакеры залезли сами, бывает редко, и в основном на серверах. Windows официальная версия? Бывают сборки с закладками.
windows официальная с Майкрософта скаченая.
Вот моя история:)
Купил телефон в ДНСе DEXP ничего с ним не делал т.к на гарантии, приложения устонавливал только с маркета. И у меня телефон стал как проходной двор...Эти хакеры имели доступ ко всем моим устройствам я с ними общался дней так 5 наверное ну интерес но же:). Карточку сбер.Банка я сразу заблокировал.Тут ко мне в телефон зашла какая то девушка,ну там иконка ее покозалась, я у нее спросил: Как вы так заходите на чужие телефоны, научите меня:) Она: Ты что идиот тебя пасут, у тебя левый whatsap, а под ним троян приложение "кто здесь лишний". Показала кучу скрытых настроек. Вот ей сейчас я очень благодарен если бы не она....
Бегу в банк снимать деньги а мне говорят: у вас ноль на счету и что якобы я сам снял в банкомате, хотя карта заблокирована была. Еду на центральный банк разбираться спрашиваю все транзакции проводимые за месяц и чудесным образом оказывается деньги на счету есть, не все правда, но большую чась вернули все же...
Вот так то, теперь решил поаккуратнее быть:)
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Сегодня Windows выдал сообщение надо проверить диск на ошибки, перезагрузился черный экран.... прокопался пол дня выяснилось что биос видеокарты, прошил видюха ожила. Так что получается они биос видео карты прошили мне? Как где это можно посмотреть. Прикладываю вшитый биос, может нужен для иследования. видеокарта Saphire HD5850 1Гб
Хотелось бы подробностей.:)
Биос видеокарты официальный, [URL="https://www.techpowerup.com/vgabios/57651/ati-hd5850-1024-090916"]вот такой[/URL].
Больше ничего о нём не скажу.