Злоумышленник хозяйничает в устройствах и аккаунтах много лет, входит в открытую сессию, блокирует, перехватывает трафик, перегружает процессор и т.д. Антивирусы не помогают. Обострение во время карантина мне совсем некстати, помогите, пожалуйста, найти следы вмешательства.
Логи во вложении, если это что-то даст.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) User#0, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Рекомендую удалить:
Cezurity Antivirus
McAfee Security Scan Plus
McAfee Safe Connect
Сделайте лог Malwarebytes AdwCleaner.
WBR,
Vadim
Удалю, но эти приложения установлены недавно, а проблема у меня давно. Буду признательна, если порекомендуете в Москве специалистов, которые помогут мне ее решить. Ни антивирусы, ни смена паролей не помогают. Все достаточно серьезно.
Поподробнее о проблеме, пожалуйста.
Что за роутер? Пароль на Wi-Fi меняли на сложный?
И логи Adwcleaner хотелось бы посмотреть.
WBR,
Vadim
Роутер Cisco, пароль на Wi-Fi менялся, сложный. На самом роутере после сброса настроек пароль не устанавливался, но даже когда стоял, не помогало. В свойства роутера не всегда могу зайти - часто соединение не грузится, журнал безопасности не сохраняется. Утилиты посторонние подключения к Wi-Fi не обнаруживают (после переустановки операционки все к чертям снесла). Не так давно открывала свойства роутера, в журнале во входящих был ip не моего провайдера и порт 1701. После загрузки операционки иногда выскакивают скрипты - окошки вроде командной строки, но тут же закрываются. На запуск от имени Администратора пароль не установлен. Скрытые процессы в автозагрузке поискала - не нашла, возможно, что и не увидела. О проблеме в двух словах: узнала кто, но, чтобы что-то предъявить, мне нужен лог. Скорее всего в силу некоторых старых связей имеет доступ к информации провайдеров. Дело точно не в кривых паролях, я не единственная пострадавшая. Такой образ жизни, что ли, киберхантинг.
Вот лог Adwcleaner:
(Медиагет недавно установлен, не в нем дело, а стартовой для хрома указан какой-то странный путь.)
Последний раз редактировалось User#0; 08.06.2020 в 22:57.
Журнал входящих роутера фиксирует попытки подключения. скорее всего, неуспешные.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Вот лог. Зловред сидит не только в моих сессиях, но и внутри системы тоже, в том числе при выключенном интернете. В телефоне, который к интернету не был подключен, перехватывались и блокировались телефонные звонки. Думаю, используются какие-либо элементы COPM.
Отредактировала сообщение, исправила. Неплохо бы еще найти/избавиться от утилит, управляющих устройствами дистанционно.
Последний раз редактировалось User#0; 09.06.2020 в 12:02.
Не то приложили, что я просил.
WBR,
Vadim
Действительно, извините. Лог вот.
Неплохо бы еще найти/избавиться от утилит, управляющих устройствами дистанционно.
Извините, действительно. Отредактировала сообщение и вложение поменяла.
Нет никаких утилит удалённого доступа, и штатный доступ в системе закрыт:Я очень сильно сомневаюсь, что злоумышленник имеет доступ к компьютеру.Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
Обновите браузер:На Ваше усмотрение:Yandex v.20.4.3.257 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^Установите одно из расширений для работы через VPN (в Opera есть встроенное), поменяйте все пароли и живите спокойно, даже при доступе к оборудованию провайдера ничего не расшифровать.McAfee Security Scan Plus v.3.11.1844.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
MediaGet Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопка "Яндекс" на панели задач v.2.2.0.53 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Менеджер браузеров v.3.0.7.830 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Security Task Manager 2.3e v.2.3e Внимание! Подозрение на демо-версию антишпионской программы, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
С телефоном сложнее, но есть и для него решения (советовать не буду, не специалист).
По возможности Окажите помощь в пополнении базы чистых файлов.
WBR,
Vadim
И яндекс браузер (пользуюсь я гугл хром) и то, что "на Ваше усмотрение", установлено недавно, но все же сделаю по Вашему совету - не хватало нацеплять других проблем. Почему я написала, что есть удаленный доступ (возможно, не утилита, а скрытый ратник): диск время от времени грузится до 100%, часто это делается демонстративно, чтобы заблокировать какие-то мои действия или, когда открываю какие-то свои программы, включается шпион и грузит мой процесс, компьютер сам выходит из спящего режима или не уходит в него полностью, все это происходит в том числе, когда отключен интернет, по многу раз подряд, из-за этого стала моментально разряжаться полностью заряженная батарея ноута, питающегося от сети, появились гибернация и блокировка, компьютер стал выключался сам (проблема решилась после того, как я поменяла настройки спящего режима). Может, что-нибудь забыла (о прослушивании уже не говорю), но и это убедило меня в том, что удаленный доступ есть. Еще: пока выполнялось сканирование, я отлучилась от компьютера на несколько минут, когда подошла, сканирование закончилось, а в блокноте сверху логов была надпись. Никто к компьютеру кроме меня не подходил (я выполнила еще одно сканирование и на время сканирования уже не отлучалась).
VPN когда-то тоже пользовалась, толку не было. Недавно установила новый VPN, посмотрим, как себя покажет.
Про то, что прослушиваются даже кнопочные телефоны (вплоть до слежки), я уже писала. Недавно была атакована соцсеть и мне на телефон пришел код подтверждения от гугл. У меня нет аккаунта в гугле, подтверждение я не запрашивала. Не то чтобы мне сложно поискать самой специалиста, но, если знаете, куда направить с этим, буду Вам признательна.
Пока изучала свою "тему", нашла недавние истории с таким же почерком - сталкинг, жесткий кибербуллинг в стиле «синий кит», шантаж и домогательства. Жаль, что доказательства пока не удалось собрать, тем более я знаю, кто стоит за этим.
Благодарю за помощь.
Последний раз редактировалось User#0; 10.06.2020 в 01:33.
По пунктам.
Загрузка диска вызвана очень часто системными процессами, например, сканирование "Защитника" или другого антивируса вызывает именно такой эффект. Какой именно процесс виновен, можно понять, отсортировав в диспетчере задач процессы по потреблению диска.Сообщение от User#0
Кстати, удалить лишние и ненужные антивирусы Cezurity и Mcafee я рекомендовал сразу.
AVZ в процессе сканирования тестирует на наличие перехватчиков клавиатуры, это как раз оно и было.
Аккаунты в соцсетях часто пытаются взломать, но двухфакторная аутентификация не даёт это сделать. Если за Вас взялись бы серьёзно,то и СМС перехватили бы и Вы бы даже об этом не узнали, злоумышленник получил бы код на телефон с клонированной сим-картой, а Вам доставку СМС в это время отключили бы. Так угоняют аккаунты в Телеграме.
Но чтобы иметь такие возможности, злоумышленник должен быть либо силовиком, либо иметь с ними очень близкий контакт, либо тратить на такую слежку значительные средства. Ваш подозреваемый подходит под такие требования?
К сожалению, таких специалистов не знаю. И полагаю, что Ваши подозрения несколько преувеличены.
Давайте ещё один лог сделаем.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
Если при запуске сработает антивирус - добавьте в исключения, либо отключите на время.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
