Здравствуйте. Помогите пожалуйста отключить удаленный доступ. Появилось черное окно с символами, потом начали управлять мышью и окнами. И как сделать чтобы этого больше не случалось?
Printable View
Здравствуйте. Помогите пожалуйста отключить удаленный доступ. Появилось черное окно с символами, потом начали управлять мышью и окнами. И как сделать чтобы этого больше не случалось?
Уважаемый(ая) [B]Mila215[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[CODE]begin
DeleteFile('C:\Users\Пользователь\appdata\roaming\drpsu\alice\cloud.exe', '');
DeleteFileMask('c:\users\пользователь\appdata\roaming\drpsu', '*', true);
DeleteDirectory('c:\users\пользователь\appdata\roaming\drpsu');
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExecuteWizard('SCU', 2, 2, true);
end.[/CODE]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} - (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} - (no key)
O22 - Tasks: (disabled) \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task (sign: 'Apple Inc.')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AdobeGCInvoker-1.0" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Antivirus Emergency Update" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\CCleanerSkipUAC" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\RTKCPL" /ENABLE (sign: 'Microsoft')[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
[B]Архив Events [/B][url]https://drive.google.com/file/d/1Sy5AR-A2WyXfuXWP0un5kTnssgRQ0eX-/view?usp=sharing[/url]
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=Vvvyg;1530818][url="https://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[CODE]begin
DeleteFile('C:\Users\Пользователь\appdata\roaming\drpsu\alice\cloud.exe', '');
DeleteFileMask('c:\users\пользователь\appdata\roaming\drpsu', '*', true);
DeleteDirectory('c:\users\пользователь\appdata\roaming\drpsu');
ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExecuteWizard('SCU', 2, 2, true);
end.[/CODE]
В папке с AVZ появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.
Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} - (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} - (no key)
O22 - Tasks: (disabled) \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task (sign: 'Apple Inc.')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AdobeGCInvoker-1.0" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Antivirus Emergency Update" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\CCleanerSkipUAC" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (sign: 'Microsoft')
O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\RTKCPL" /ENABLE (sign: 'Microsoft')[/code]
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).[/QUOTE]
[B]Архив FRST [/B][url]https://drive.google.com/file/d/18SXVkgpVM08vRV9t3kx1M7wQ0gE1sptM/view?usp=sharing[/url]
Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ". Из-за оверквотинга сообщения могут уходить на премодерацию + это ухудшает читаемость темы.
И логи FRST надо было вложением, размер позволяет.
Судя по логам и журналам событий, было только одно приложение, через которое можно было получить удалённый доступ, Служба Удаленного рабочего стола Chrome, и оно уже удалено:[QUOTE]10-06-2024 10:07:41 Removed Chrome Remote Desktop Host[/QUOTE]
Но, как я понимаю, получить доступ через него можно, только [URL="https://support.google.com/chrome/answer/1649523?hl=ru&co=GENIE.Platform%3DDesktop&oco=0"]взаимодействуя с пользователем[/URL].
Можно подробности? Когда было подключение, не сразу ли после загрузки системы?
Обязательно обновите WinRar: [URL="https://www.anti-malware.ru/news/2023-10-16-111332/42116"]Российские хакеры используют недавнюю уязвимость в WinRAR[/URL].
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Task: {7C44BDB6-D85B-4A22-932D-DDFCF85E7B7C} - System32\Tasks\Восстановление сервиса обновлений Яндекс*Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\24.1.5.803\service_update.exe --repair (Нет файла)
Task: {540B8172-B784-46C2-BEEF-2B0AA0352C02} - System32\Tasks\Системное обновление Браузера Яндекс => C:\Program Files (x86)\Yandex\YandexBrowser\23.11.0.2470\service_update.exe --run-as-launcher (Нет файла)
CHR HKU\S-1-5-21-1399598285-3559191875-147737533-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [makncglipcpahhdkncedphglhmiabdac]
CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
U3 avgbdisk; отсутствует ImagePath
2024-06-10 10:14 - 2020-01-07 17:59 - 000000000 ____D C:\ProgramData\AVAST Software
2019-11-29 18:01 - 2019-11-29 18:01 - 000000128 ____H () C:\Users\Пользователь\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
AlternateDataStreams: C:\Windows:nlsPreferences [0]
AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
AlternateDataStreams: C:\Users\Пользователь\Application Data:iSpring Solutions [128]
FirewallRules: [{BE314F61-FA95-47BE-8B9D-8D36FD2C9DCC}] => (Allow) C:\Users\Пользователь\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
StartBatch:
ipconfig /all
tracert rt.ru
endbatch:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
программа Removed Chrome Remote Desktop Host была установлена 08.05.24, я ее точно не ставила. подключение было не после загрузки, ноутбук уже работал около 5 часов
Так и есть, был установлен 08.05.2024 8:01:14. Если сами не делали этого, установка могла ьыть инициирована другим приложением.
Сделайте новые логи Farbar Recovery Scan Tool, отметьте галочками также "[B]90 Days Files[/B]".
новые логи - это "сканировать" или "исправить"?) если сканировать - то вот
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Если исправить - то вот Fixlog2
Сканировать, и новых логов, т. е. FRST.txt, Addition.txt не вижу. Не забудьте "90 Days Files" установить..
Вот
Отключите временно антивирус 360 Total Security.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CloseProcesses:
File: C:\ProgramData\Uninstal.exe
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла
FirewallRules: [{BE314F61-FA95-47BE-8B9D-8D36FD2C9DCC}] => (Allow) C:\Users\Пользователь\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
CMD: sfc /scannow
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]), прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Здравствуйте. Вот.
Резюме.
Как уже писал выше - несанкционированное подключение через Chrome Remote Desktop Host весьма сомнительно, т. к. требует взаимодействия с пользователем.
Признаков подключения через удаленный рабочий стол Windows нет, да и соответствующая служба отключена.
Компьютер подключен через роутер, где, как правило, по умолчанию доступ в локальную сеть отключен. К тому же, провайдер выдаёт "серый" ip адрес, недоступный из интернета, что сводит практически к нулю вероятность проникновения снаружи.
Единственный теоретически возможный вариант взлома - могли запустить троян/бэкдор. Признаков которого сейчас я в системе не вижу. Но есть некоторое сомнение, что удалённое подключение вообще было. Запуск и выполнение команд в командной строке (чёрный экран) это не обязательно признак взлома, могло выполняться задание по расписанию системы. Но если реально двигался курсор мыши, открывались/закрывались без Вашего участия окна - это настораживает. Хотя при глюках мыши и не такое бывает.
Вспомните поточнее дату и время иинцидента, посмотрю ещё по журналам системы, что могло произойти.
Спасибо вам огромное!!! 12.06.24 в 20:58 по мск примерно. я просто сама запускала прогу AVZ до того как обратилась сюда за помощью. Прикрепляю отчет, может вы там что-то увидите. Я не особо не разбираюсь.
Это лог очень старой версии AVZ, неинформативный.
В журналах за 11 и 12.06 вообще никаких событий нет, будто ноутбук выключен был.
[QUOTE]Windows 10(6.3.14393) (x64) Professional Версия: 1607 Lang: Russian(0419)
Расширенная поддержка закончилась [color=red][b]Внимание! [url=https://go.microsoft.com/fwlink/?LinkID=799445]Скачать обновления[/url][/b][/color]
[color=blue][b]^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^[/b][/color][/QUOTE]Старая версия Windows. обновлений уже не получает, много незакрытых уязвимостей. Лучшо обновить установкой свежего билда с флэшки.
[QUOTE]Microsoft Office Профессиональный 2007 v.12.0.6612.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color][/QUOTE]Старый MS Office, также есть уязвимости, которые уже не будут закрыты.
[QUOTE]WinRAR 5.61 (32-разрядная) v.5.61.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color][/QUOTE]Уже писал, обновлять обязательно.
Хорошо, еще раз спасибо вам большое за помощь!!!