Printable View
Злоумышленник хозяйничает в устройствах и аккаунтах много лет, входит в открытую сессию, блокирует, перехватывает трафик, перегружает процессор и т.д. Антивирусы не помогают. Обострение во время карантина мне совсем некстати, помогите, пожалуйста, найти следы вмешательства.
Логи во вложении, если это что-то даст.
Уважаемый(ая) [B]User#0[/B], спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Рекомендую удалить:
Cezurity Antivirus
McAfee Security Scan Plus
McAfee Safe Connect
Сделайте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]Malwarebytes AdwCleaner[/URL].
Удалю, но эти приложения установлены недавно, а проблема у меня давно. Буду признательна, если порекомендуете в Москве специалистов, которые помогут мне ее решить. Ни антивирусы, ни смена паролей не помогают. Все достаточно серьезно.
Поподробнее о проблеме, пожалуйста.
Что за роутер? Пароль на Wi-Fi меняли на сложный?
И логи Adwcleaner хотелось бы посмотреть.
Роутер Cisco, пароль на Wi-Fi менялся, сложный. На самом роутере после сброса настроек пароль не устанавливался, но даже когда стоял, не помогало. В свойства роутера не всегда могу зайти - часто соединение не грузится, журнал безопасности не сохраняется. Утилиты посторонние подключения к Wi-Fi не обнаруживают (после переустановки операционки все к чертям снесла). Не так давно открывала свойства роутера, в журнале во входящих был ip не моего провайдера и порт 1701. После загрузки операционки иногда выскакивают скрипты - окошки вроде командной строки, но тут же закрываются. На запуск от имени Администратора пароль не установлен. Скрытые процессы в автозагрузке поискала - не нашла, возможно, что и не увидела. О проблеме в двух словах: узнала кто, но, чтобы что-то предъявить, мне нужен лог. Скорее всего в силу некоторых старых связей имеет доступ к информации провайдеров. Дело точно не в кривых паролях, я не единственная пострадавшая. Такой образ жизни, что ли, киберхантинг.
Вот лог Adwcleaner:
(Медиагет недавно установлен, не в нем дело, а стартовой для хрома указан какой-то странный путь.)
Журнал входящих роутера фиксирует попытки подключения. скорее всего, неуспешные.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Вот лог. Зловред сидит не только в моих сессиях, но и внутри системы тоже, в том числе при выключенном интернете. В телефоне, который к интернету не был подключен, перехватывались и блокировались телефонные звонки. Думаю, используются какие-либо элементы COPM.
Отредактировала сообщение, исправила. Неплохо бы еще найти/избавиться от утилит, управляющих устройствами дистанционно.
Не то приложили, что я просил.
Действительно, извините. Лог вот.
Неплохо бы еще найти/избавиться от утилит, управляющих устройствами дистанционно.
Извините, действительно. Отредактировала сообщение и вложение поменяла.
Нет никаких утилит удалённого доступа, и штатный доступ в системе закрыт:[QUOTE]Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена[/QUOTE]
Я очень сильно сомневаюсь, что злоумышленник имеет доступ к компьютеру.
Обновите браузер:[QUOTE]Yandex v.20.4.3.257 [color=red][b]Внимание! [url=https://download.cdn.yandex.net/browser/yandex/ru/Yandex.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Дополнительно - О браузере Yandex!^[/b][/color][/QUOTE]
На Ваше усмотрение:[QUOTE]McAfee Security Scan Plus v.3.11.1844.1 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
MediaGet [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.0.53 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Менеджер браузеров v.3.0.7.830 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Security Task Manager 2.3e v.2.3e [color=red][b]Внимание! Подозрение на демо-версию антишпионской программы, [url=https://support.microsoft.com/ru-ru/help/2563254/microsoft-support-policy-for-the-use-of-registry-cleaning-utilities]программу-оптимизатор или программу очистки реестра[/url].[/b][/color] Рекомендуется деинсталляция и сканирование ПК с помощью [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url]. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.[/QUOTE]
Установите одно из расширений для работы через VPN (в Opera есть встроенное), поменяйте все пароли и живите спокойно, даже при доступе к оборудованию провайдера ничего не расшифровать.
С телефоном сложнее, но есть и для него решения (советовать не буду, не специалист).
По возможности [URL="http://virusinfo.info/content.php?r=125-page-uploadclean"]Окажите помощь в пополнении базы чистых файлов[/URL].
И яндекс браузер (пользуюсь я гугл хром) и то, что "на Ваше усмотрение", установлено недавно, но все же сделаю по Вашему совету - не хватало нацеплять других проблем. Почему я написала, что есть удаленный доступ (возможно, не утилита, а скрытый ратник): диск время от времени грузится до 100%, часто это делается демонстративно, чтобы заблокировать какие-то мои действия или, когда открываю какие-то свои программы, включается шпион и грузит мой процесс, компьютер сам выходит из спящего режима или не уходит в него полностью, все это происходит в том числе, когда отключен интернет, по многу раз подряд, из-за этого стала моментально разряжаться полностью заряженная батарея ноута, питающегося от сети, появились гибернация и блокировка, компьютер стал выключался сам (проблема решилась после того, как я поменяла настройки спящего режима). Может, что-нибудь забыла (о прослушивании уже не говорю), но и это убедило меня в том, что удаленный доступ есть. Еще: пока выполнялось сканирование, я отлучилась от компьютера на несколько минут, когда подошла, сканирование закончилось, а в блокноте сверху логов была надпись. Никто к компьютеру кроме меня не подходил (я выполнила еще одно сканирование и на время сканирования уже не отлучалась).
VPN когда-то тоже пользовалась, толку не было. Недавно установила новый VPN, посмотрим, как себя покажет.
Про то, что прослушиваются даже кнопочные телефоны (вплоть до слежки), я уже писала. Недавно была атакована соцсеть и мне на телефон пришел код подтверждения от гугл. У меня нет аккаунта в гугле, подтверждение я не запрашивала. Не то чтобы мне сложно поискать самой специалиста, но, если знаете, куда направить с этим, буду Вам признательна.
Пока изучала свою "тему", нашла недавние истории с таким же почерком - сталкинг, жесткий кибербуллинг в стиле «синий кит», шантаж и домогательства. Жаль, что доказательства пока не удалось собрать, тем более я знаю, кто стоит за этим.
Благодарю за помощь.
По пунктам.
[QUOTE=User#0;1512451]Почему я написала, что есть удаленный доступ (возможно, не утилита, а скрытый ратник): диск время от времени грузится до 100%, часто это делается демонстративно, чтобы заблокировать какие-то мои действия или, когда открываю какие-то свои программы, включается шпион и грузит мой процесс, компьютер сам выходит из спящего режима или не уходит в него полностью, все это происходит в том числе, когда отключен интернет, по многу раз подряд[/QUOTE]
Загрузка диска вызвана очень часто системными процессами, например, сканирование "Защитника" или другого антивируса вызывает именно такой эффект. Какой именно процесс виновен, можно понять, отсортировав в диспетчере задач процессы по потреблению диска.
Кстати, удалить лишние и ненужные антивирусы Cezurity и Mcafee я рекомендовал сразу.
[QUOTE=User#0;1512451]Еще: пока выполнялось сканирование, я отлучилась от компьютера на несколько минут, когда подошла, сканирование закончилось, а в блокноте сверху логов была надпись. Никто к компьютеру кроме меня не подходил (я выполнила еще одно сканирование и на время сканирования уже не отлучалась).[/QUOTE]AVZ в процессе сканирования тестирует на наличие перехватчиков клавиатуры, это как раз оно и было.
[QUOTE=User#0;1512451]Недавно была атакована соцсеть и мне на телефон пришел код подтверждения от гугл. У меня нет аккаунта в гугле, подтверждение я не запрашивала.[/QUOTE]Аккаунты в соцсетях часто пытаются взломать, но двухфакторная аутентификация не даёт это сделать. Если за Вас взялись бы серьёзно,то и СМС перехватили бы и Вы бы даже об этом не узнали, злоумышленник получил бы код на телефон с клонированной сим-картой, а Вам доставку СМС в это время отключили бы. Так угоняют аккаунты в Телеграме.
Но чтобы иметь такие возможности, злоумышленник должен быть либо силовиком, либо иметь с ними очень близкий контакт, либо тратить на такую слежку значительные средства. Ваш подозреваемый подходит под такие требования?
[QUOTE=User#0;1512451]Не то чтобы мне сложно поискать самой специалиста, но, если знаете, куда направить с этим, буду Вам признательна.[/QUOTE]
К сожалению, таких специалистов не знаю. И полагаю, что Ваши подозрения несколько преувеличены.
Давайте ещё один лог сделаем.
Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=https://virusinfo.info/showthread.php?t=121767&p=897810&viewfull=1#post897810]сделайте полный образ автозапуска uVS[/url].
Если при запуске сработает антивирус - добавьте в исключения, либо отключите на время.