Выкладываю логи с 2 пк, одной сети.
Происходит что то непонятное:furious3:Пытался искать решение проблем самостоятельно, но заражется постоянно вновь.
Printable View
Выкладываю логи с 2 пк, одной сети.
Происходит что то непонятное:furious3:Пытался искать решение проблем самостоятельно, но заражется постоянно вновь.
Уважаемый(ая) [B]ВирусДиректор[/B], спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Один компьютер - одна тема.
Логи не по правилам сделаны.
[QUOTE=Vvvyg;1521146]Один компьютер - одна тема.
Логи не по правилам сделаны.[/QUOTE]
Флудить не хотел.
Переделал логи по правилам, гляньте пожалуйста, боюсь пользоватся сетью и устройствами уже.
Для непонятливых повторяю: один компьютер - одна тема. Оставьте логи по одному, иначе запутаемся.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Посмотрел логи без "1" в начале - активного заражения нет. Подробнее о проблеме, пожалуйста.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=Vvvyg;1521155]Для непонятливых повторяю: один компьютер - одна тема. Оставьте логи по одному, иначе запутаемся.
Ок, значит рабриаем его.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Посмотрел логи без "1" в начале - активного заражения нет. Подробнее о проблеме, пожалуйста.[/QUOTE]
Активное я нейтрализовал при помощи: стандартных скриптом АВЗ, полным фиксом списка HiJackThis, сбросил настройки сети.
Ситуация была следующая: этот ПК является маршрутизатором, т.е. с кабеля по файфаю интернет задаёт.
Как то раз упала скорость интернет соеденинения в сети, ковырял другое устройство из сети, думал что уже сервер ВПН заблокировали в стране.
В итоге нашёл подозрительную активность трафика на данном устройстве(Анализатор трафика показывал высокий исходящий трафик, хотя я ничего никуда не загружал), на сайты с названиями VIRUS или антивирус браузеры не выходили(как при типичном заражении),встроенный антивирус сигнализировал что в яндекс брауезе найдены отлеживающие куки, значёк https в браузерах был "не защищён".
Далее, в который раз, обнаружена подобная учётная запись(это новый способ атаки), которая предоставляет доступ к моему устройству
[ATTENTION]эксплорер сообщил,что не может отобразить страницу, скорость упала до нуля.
В Панель управления\Учетные записи и Семейная безопасность\Диспетчер учетных данных в Учетных данных Windows возникло это:
Адрес в интренете или сети: virtualapp/didlogical
Имя пользователя: 02kedjlsztki
Пароль: *********
Устойчивость: Локальный компьютер[/ATTENTION]
Как только отбился и заработал полноценно интернет(не факт), начал искать более подробную инфу по этой загадочной учётке, которая всё время наровит мои данные выгрузить и поднапортить мою интернет активность. Т.к. сталкиваюсь с этим довольно часто, к моему большому сожалению. Было выяснено, на одном из зарубежных антивирус ресурсов, что подобным способом злоумышленники атакуют ОС виндовс, маскируясь под тех. поддержку и даже выкуп требуют за данные. Судя по увеличивающимся в последние годы, жалобам пользователей на подобные влияния из вне(причём в большинстве случаев пользователи и специалисты по ИБ остаются не вкурсе, что это реально дело рук злоумышленников и продолжают игнорировать учётку и трасты), злоумышленники свободно используют эти уязвимости и тысячи пользователей даже не подозревают об этом.
Сейчас всё вроде бы норм, но пользуюсь виртуальной клавиатурой при "интимных делах".
Звук при трасляции мультимедиа(на всех устройствах в сети) трещит, свидетельсвуя, о том что, я либо я с фиксами переборщил, либо атака идёт.
На устройстве с логами (1 в начале) продолжается шустрая выгрузка данных в интернет, но временно отключена с моей помощью.
[QUOTE=ВирусДиректор;1521165]Активное я нейтрализовал при помощи: стандартных скриптом АВЗ, полным фиксом списка HiJackThis, сбросил настройки сети.[/QUOTE]
Если пофиксили вообще всё в HiJackThis - странно, что вообще система работает.
[QUOTE=ВирусДиректор;1521165]В итоге нашёл подозрительную активность трафика на данном устройстве(Анализатор трафика показывал высокий исходящий трафик, хотя я ничего никуда не загружал)[/QUOTE]Надо смотреть? куда загружалось, хотя бы [URL="https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview"]TCPView[/URL], а лучше трафик перехватить через Wireshark и анализировать.
[QUOTE=ВирусДиректор;1521165]на сайты с названиями VIRUS или антивирус браузеры не выходили)[/QUOTE]Это единственный явный признак проблемы, но после ваших действий понять, что было, сложно.
[QUOTE=ВирусДиректор;1521165]Адрес в интренете или сети: virtualapp/didlogical[/QUOTE]
[URL="https://answers.microsoft.com/ru-ru/windows/forum/all/virtualapp-didlogical-веб/bf61e588-6a70-4808-9b36-d699f715207c"]Ничего криминального[/URL].
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
[QUOTE=Vvvyg;1521166]Если пофиксили вообще всё в HiJackThis - странно, что вообще система работает.[/QUOTE]
Я ещё не научился пользоваться хайджеком.
[QUOTE=Vvvyg;1521166]Надо смотреть? куда загружалось, хотя бы TCPView, а лучше трафик перехватить через Wireshark и анализировать.[/QUOTE]
Нет, я не логирую его в привычном пониманий, смотрю лишь активность тех или иных процессов в интернете, для общей картины и минимальной безопасности в сети.
[QUOTE=Vvvyg;1521166]Это единственный явный признак проблемы, но после ваших действий понять, что было, сложно.[/QUOTE]
Второй признак, в виде непонятной учётки со всеми правами, был не так давно, маскировался под тех. процесс, признаками были совершенно такими же, подробнее:
[url]https://www.filecheck.ru/process/trustedinstaller.exe.html[/url]
В том и проблемма, что система ведёт себя странно - тормозит, сайты с антивирусами не открываются, https соеденинение слетает. Ламеру может показаться, что всё ок, тем более если каспер стоит, то возникает чувство защищённости, а то что с машины инфу выгружают по непонятному адресу злоумышленники, что и приводит к "тормозам", то это "тех.поддержка".
[QUOTE=Vvvyg;1521166] Ничего криминального[/QUOTE][QUOTE=Vvvyg;1521166].[/QUOTE]
ещё такая учётка появлялась: sso_pop_device
Я находил противоречивую информацию, на одном из форумов.Там пользователь обнаружил, что при помощи этого метода его скомпромитировали. Вот что ещё найдено:
[url]https://community.norton.com/en/forums/virtualappdidlogical-user-name-02gjsyynjqsc-malware[/url]
[url]https://social.technet.microsoft.com/Forums/windows/en-US/fbf18f75-e4e9-4a1c-80ed-b0fca6535a8d/virtualappdidlogical[/url]
[url]https://www.cyberforum.ru/viruses/thread1114973.html[/url]
[url]https://www.trojaner-board.de/171752-emails-verschwunden.html[/url]
[url]https://www.tenforums.com/antivirus-firewalls-system-security/74153-virtual-app-didlogical.html[/url]
Как должно быть понятно, подобная атака распространена в мире, используется для удалённого подключения, на основе поддельных сертификатов.Методов борьбы я не нашёл, кроме как жёсткий контроль сетевых подключении майкрософт.
[QUOTE=Vvvyg;1521166]Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).[/QUOTE]
Логи FRST скинул, а то после постов индусов, что то сильно переживательно за приватность.
Коротко резюмирую: туфта и лёгкая паранойя :>
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
2021-07-23 20:10 - 2021-07-23 20:10 - 000000000 ____H C:\Users\Admin\AppData\Local\BIT5334.tmp
Folder: C:\Program Files (x86)\Temp
2021-07-26 18:58 - 2021-07-26 18:58 - 000000003 _____ () C:\Users\Admin\AppData\Local\updater.log
FirewallRules: [{93C901B5-9C51-4618-BC09-2800EDBBC094}] => (Allow) C:\program files (x86)\auslogics\boostspeed\integrator.exe => Нет файла
FirewallRules: [{69E38DB4-84DF-473B-9F68-8CBB8F94FAAD}] => (Allow) C:\program files (x86)\auslogics\boostspeed\tabdashboard.exe => Нет файла
FirewallRules: [{6EADE6C6-34CA-4955-9B50-0D45E75FBFB1}] => (Allow) C:\program files (x86)\auslogics\boostspeed\diskdefrag.exe => Нет файла
FirewallRules: [{69324C12-0FB2-4F6D-9A99-EE37C8B0B51A}] => (Allow) C:\program files (x86)\auslogics\boostspeed\startupmanager.exe => Нет файла
FirewallRules: [{2CC5BBB1-97BC-4351-9033-60E4C2DA6660}] => (Allow) C:\program files (x86)\auslogics\boostspeed\taballtools.exe => Нет файла
FirewallRules: [{5E00CC0A-6657-4F75-A448-35CA2B54BF89}] => (Allow) C:\program files (x86)\auslogics\boostspeed\tabwin10protector.exe => Нет файла
FirewallRules: [{00CB7EF0-88A3-45DF-B0DB-0B933E07C2C4}] => (Allow) C:\program files (x86)\ashampoo winoptimizer\wo17.exe => Нет файла
FirewallRules: [{B2419CCB-F50A-4F57-AEE2-73FAFAAEA8BD}] => (Allow) C:\users\admin\appdata\local\temp\yb_fd251.tmp\setup.exe => Нет файла
FirewallRules: [{718B0117-A857-4CE4-864E-43939A59ADC2}] => (Allow) C:\program files (x86)\yandex\yandexbrowser\21.6.2.854\service_update.exe => Нет файла
S4 ImControllerService; %SystemRoot%\Lenovo\ImController\Service\Lenovo.Modern.ImController.exe [X]
U3 aswbdisk; отсутствует ImagePath
U4 DiagTrack; отсутствует ImagePath
U4 dmwappushsvc; отсутствует ImagePath
S3 WinDivert1.1; \??\C:\Windows\Temp\KMSAuto\bin\driver\x64WDV\WinDivert.sys [X]
CMD: cmd.exe /c type C:\Windows\system32\Drivers\etc\hosts.old
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.