Кто-то управлял удаленно моим компьютером( возможно)

[Cavalera2]

Здравствуйте, проблема выглядит так:
Первый случай месяц назад, играя в Steam'е в CSGO, кто-то мной начал частично управлял (мышь не слушалась и движения были затруднены),когда я стал афк открывался чат и посыпались оскорбительный сообщения, я не придал этому значения подумал что это читы в игре.
И вот вчера новый случай, в поиске в Youtube что-то хотел набрать и опять без моего участия печатался оскорбительный текст. После чего я отключил кабель от роутера и прогнал ПК антивирусом и встроенной защитой WINDOWS10, какие-то вирусы удалились и думал что всё в порядке. Но сегодня опять играя уже в Steam'е в Dota 2 потерял управление надо персонажем и снова открывался чат и печатались оскорбительные сообщения. Мгновенно закрыл игру и в туже секунду в открытом до этого документе WORD продолжился печататься текст, даже после того, как я отключил кабель от роутера текст печатался ещё секунд 30.
Помогите избавиться от вредителя.

[Info_bot]

Уважаемый(ая) Cavalera2, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[SQ]

Здравствуйте,

Сами прописывали прокси?

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 37.59.115.136:3128 (disabled)

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

[Cavalera2]

нет ничего такого не делал

[SQ]

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = 37.59.115.136:3128 (disabled)

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Cavalera2]

Прокси пофиксил.
Отчёт:

[SQ]

- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Cavalera2]

сделано

[SQ]

• Закройте и сохраните все открытые приложения.
• Выделите следующий код::
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  HKU\S-1-5-21-4189001872-2337327165-3902923419-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  FF Plugin-x32: @adobe.com/AuthorwarePlayer -> C:\Windows\system32\Macromed\AUTHORWA\np32asw.dll [No File]
  File: C:\WINDOWS\SysWOW64\rtvcvfw32.dll
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST/FRST64 (от имени администратора).
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). .
• Обратите внимание, что компьютер будет перезагружен.

[Cavalera2]

Всё сделал. Один вопрос антивирус постоянно удаляет FRST64 , это нормально?

[SQ]

какой антивирус? Часто бывает, что антивирусу удаляют по ошибке, называется ложное срабатывание.

Утититу скачивали по ссылке в инструкции?

[Cavalera2]

какой антивирус? Часто бывает, что антивирусу удаляют по ошибке, называется ложное срабатывание.

Утититу скачивали по ссылке в инструкции?

360 total security, и да качал по ссылке
запускалась утилита только с выключенным антивирусом

[SQ]

Да похоже, что у вашего антивируса ложное срабатывание, то отчет - https://www.virustotal.com/gui/file/...fefe/detection

[Cavalera2]

Так что лечение ПК на этом закончено?

[SQ]

нет, вы так и не отправили лог выполнения, предыдущей утилиты.


Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Cavalera2]

лог

у меня лимит не могу прикрепить лог с Universal Virus Sniffer

[SQ]

Удалите старые вложения Мой кабинет => Вложения

[Cavalera2]

Лог

[SQ]

Каких-то вредоносных программ, которые могли использоваться для управления вашим ПК не найдено в логах.

Выполните скрипт в uVS:

Код:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
cexec tools\CreateRestorePoint.exe BeforeCure
;------------------------autoscript---------------------------
zoo D:\STEAMLIBRARY\STEAMAPPS\COMMON\WORLD OF TANKS BLITZ\WOTBLITZ.EXE
delref HTTP://WWW.SEARCHNU.COM/406
czoo
apply
;-------------------------------------------------------------
restart

[Cavalera2]

Скрипт выполнил, карантин загрузил