На компе Троян. Сидит в моём ВК и пишет комментарии. В диспетчере задач не отображаются запущенные приложения(периодически) и сильно возрастает потребление ЦП и оперативки(но не показывает куда уходят ресурсы).
Printable View
На компе Троян. Сидит в моём ВК и пишет комментарии. В диспетчере задач не отображаются запущенные приложения(периодически) и сильно возрастает потребление ЦП и оперативки(но не показывает куда уходят ресурсы).
Уважаемый(ая) [B]agentik_0071[/B], спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
Здравствуйте,
HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\WindowsParentalControls - {DFA14C43-F385-4170-99CC-1B7765FA0E4A} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\Shell\WindowsParentalControlsMigration - {343D770D-7788-47C2-B62A-B7C4CED925CB} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\AutoWake - {E51DFD48-AA36-4B45-BB52-E831F02E8316} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SessionAgent - {45F26E9E-6199-477F-85DA-AF1EDFE067B1} - (no file)
O22 - Task: (disabled) \Microsoft\Windows\SideShow\SystemDataProviders - {7CCA6768-8373-4D28-8876-83E8B4E3A969} - (no file)
O22 - Task: \Microsoft\Windows\MobilePC\HotStart - {06DA0625-9701-43DA-BFD7-FBEEA2180A1E} - (no file)
O22 - Task: \Microsoft\Windows\SideShow\GadgetManager - {FF87090D-4A9A-4F47-879B-29A80C355D61},$(Arg0) - (no file)
[/CODE]
- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
Вот
[url=https://virusinfo.info/showthread.php?t=218752&p=1480599&viewfull=1#post1480599]Удалите в AdwCleaner[/url] всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.
Что вы можете сказать по поводу источника заражения?
Возможно ли что и другой комп находящийся в этой локальной сети заражён?
Пока сказать сложно.
- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"Driver MD5"[/i].
[img]http://i.imgur.com/B92LqRQ.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
Вот
Проблема возникает только в хроме или в других браузерах тоже?
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
U3 idsvc; no ImagePath
File: C:\WINDOWS\System32\drivers\ubumapi.sys
File: C:\WINDOWS\system32\eac_usermode_10137112450478.dll
Virustotal: C:\WINDOWS\system32\eac_usermode_10137112450478.dll
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
AlternateDataStreams: C:\Users\Public\AppData:CSM [484]
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Извините, забыл сказать что единственным антивирусом который что-то нашёл был Dr.Web LiveDisk
(Cureit из под системы ничего не видел)
Угроза которую он нашёл:
Возможно DRH:LSPChanger.corrupted
P.S. фото экрана прикрепить не смог
P.P.S. угроз было две одинаковых
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
При запуске под текущем пользователем зависает на анализе Автозапуска.
В диспетчере висит nsthuy (32 бита) (2)
Что мне делать?
Попробуйте выполнить в безопасном режиме, возможно антивирусно По мешает сборке данных
Безопасный режим не помог.
попробуйте,
1. В окне запуска снять галочку "Выгружать неизвестные DLL из uVS".
2. В окне запуска снять галочку "Антисплайсинг".
Первая галочка не стояла. Не помогло. Всё также зависает после нажатия кнопки запустить под текущем пользователем.
На всякий случай также попробовал различные комбинации галочек. Также не сработало.
- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
P.S. самостоятельно ничего не удаляйте пожалуйста в случае нахождения каких-то угроз.
Хорошо.
Угрозы утилита TDSSKiller не выявила. Уточните пожалуйста более подробнее как проявляется проблема и в каких приложениях?
Также приложите новые логи FRST.
Месяц назад я заметил что в диспетчере задач не отображается какому процессу уходит львиная доля ЦП и оперативки.
Потом, две недели назад, на моей стене ВК неизвестный человек разместил рекламу, после чего я её удалил и кинул жалобу.
Он ответил что не надо так, после чего я удалил и это, в ответ на это он отправил мёртвый смайл, а я почему то не принял это за угрозу.
Ещё через три дня пришло сообщение на почту:
Вы получили это письмо, потому что в Ваш аккаунт ВКонтакте 3 ноября 2018 в 2:01 был выполнен вход через приложение VK для Android, Венесуэла, Bergantín.
Вы получили это письмо, потому что в Ваш аккаунт ВКонтакте 4 ноября 2018 в 13:23 был выполнен вход через приложение VK для iPhone, Россия.
После чего с моего аккаунта ВК стали рассылать рекламу и его заблокировали.
Я не поменял пароль сразу после первого взлома так как не поверил что обошли двухфакторную аутентификацию. И посчитал что у меня на компе вирус.
Как ещё можно обойти двухфакторную аутентификацию ВК?
Лог будет вечером.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Вот
Уточните пожалуйста, вы пользуютесь ВК еще в телефоне?
Да, андроид.
[LIST][*] Завершите и сохраните все открытые приложения[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files (x86)\Gigabyte\AppCenter\AdjustService.exe
CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
CHR HKU\S-1-5-21-1033352349-421200542-2026592217-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
File: C:\WINDOWS\system32\drivers\xspltspk.sys
Folder: C:\Users\Max\AppData\Roaming\KaboomLauncher
Folder: C:\Users\Max\AppData\Roaming\Kaboom 2.0
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Скорее всего вирус в аднройде, попробуйте времено там не пользоваться и сменить пароль на ПК.
Вот
У меня на телефоне стоит сбербанк онлайн, в нём же тоже есть антивирус и он бы наврятли стал бы запускаться, хотя нормально работает.
Вредоносное ПО может быть настроено только для определенных задач. Для тестирования, пожалуйста попробуйте установить антивирус Dr.Web и проверить все файлы в телефоне, после этого если будет чисто, удалите его и установить Kaspersky и также проверьте в телефоне все файлы.
P.S. вы можете воспользоваться пробным режимом и не нужно покупать лицензии для этих продуктов.
Подозрение пало на телефон из-за того что в присланных ранее логов не найдено вредоносного ПО, эффект которого вы описываете.
Ни доктор ни Каспер ничего не нашли.
Может есть смысл проверить другие компы?
Я ими реже пользуюсь.
Попробуйте другие компьютеры проверить, только создавайте для каждого из них отдельные темы.
P.S А могли бы также временно (насколько это возможно) не использовать в телефоне ВК для того чтобы убедиться, что у Вас случайным образом используется не известная ранее антивирусным лабораториям вредоносное ПО. Для того, чтобы его исключить можно было из списка подозрений.
Ясно, спасибо.
Могли бы пожалуйста приложить лог по правилам (Автологгер), чтобы убедиться не пропустил ли что-то в предыдущих логах?
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Уточните пожалуйста, если в хроме вы отключили ранее все расшинения?
Также давайте еще профиксим расширения в xроме:
[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
CHR HKU\S-1-5-21-1033352349-421200542-2026592217-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ablpcikjmhamjanpibkccdmpoekjigja] - hxxp://clients2.google.com/service/update2/crx
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Только собирайте логи [URL="https://yadi.sk/d/7dgjMleO3E3E9b"]этой версией Автологера[/URL].
Вот
[b]agentik_0071[/b],
1) [url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis из папки ..\AutoLogger\HiJackThis
[CODE]O4-32 - HKLM\..\Run: [AsioThk32Reg] = C:\WINDOWS\system32\REGSVR32.EXE /S CTASIO.DLL
[/CODE]
2) - Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь. AVZ также используйте из папки \AutoLogger\avz
3) Соберите свежие логи.
4) Что с проблемой?
[url]https://virusinfo.info/virusdetector/report.php?md5=94D4D21C6DAB3E20EE0B7915F54BF930[/url]
Какие именно логи?
Проблема в том что я не знаю каким образом взломали мой вк.