Здравствуйте. Помогите пожалуйста отключить удаленный доступ. Появилось черное окно с символами, потом начали управлять мышью и окнами. И как сделать чтобы этого больше не случалось?
Здравствуйте. Помогите пожалуйста отключить удаленный доступ. Появилось черное окно с символами, потом начали управлять мышью и окнами. И как сделать чтобы этого больше не случалось?
Уважаемый(ая) Mila215, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
![]()
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.Код:begin DeleteFile('C:\Users\Пользователь\appdata\roaming\drpsu\alice\cloud.exe', ''); DeleteFileMask('c:\users\пользователь\appdata\roaming\drpsu', '*', true); DeleteDirectory('c:\users\пользователь\appdata\roaming\drpsu'); ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false); ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false); ExecuteWizard('SCU', 2, 2, true); end.
Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.Код:O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} - (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} - (no key) O22 - Tasks: (disabled) \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task (sign: 'Apple Inc.') O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AdobeGCInvoker-1.0" /ENABLE (sign: 'Microsoft') O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Antivirus Emergency Update" /ENABLE (sign: 'Microsoft') O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (sign: 'Microsoft') O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\CCleanerSkipUAC" /ENABLE (sign: 'Microsoft') O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (sign: 'Microsoft') O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (sign: 'Microsoft') O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\RTKCPL" /ENABLE (sign: 'Microsoft')
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Архив Events https://drive.google.com/file/d/1Sy5...ew?usp=sharing
- - - - -Добавлено - - - - -
Архив FRST https://drive.google.com/file/d/18SX...ew?usp=sharing
Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ". Из-за оверквотинга сообщения могут уходить на премодерацию + это ухудшает читаемость темы.
И логи FRST надо было вложением, размер позволяет.
Судя по логам и журналам событий, было только одно приложение, через которое можно было получить удалённый доступ, Служба Удаленного рабочего стола Chrome, и оно уже удалено:Но, как я понимаю, получить доступ через него можно, только взаимодействуя с пользователем.10-06-2024 10:07:41 Removed Chrome Remote Desktop Host
Можно подробности? Когда было подключение, не сразу ли после загрузки системы?
Обязательно обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Task: {7C44BDB6-D85B-4A22-932D-DDFCF85E7B7C} - System32\Tasks\Восстановление сервиса обновлений Яндекс*Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\24.1.5.803\service_update.exe --repair (Нет файла) Task: {540B8172-B784-46C2-BEEF-2B0AA0352C02} - System32\Tasks\Системное обновление Браузера Яндекс => C:\Program Files (x86)\Yandex\YandexBrowser\23.11.0.2470\service_update.exe --run-as-launcher (Нет файла) CHR HKU\S-1-5-21-1399598285-3559191875-147737533-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [makncglipcpahhdkncedphglhmiabdac] CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh] U3 avgbdisk; отсутствует ImagePath 2024-06-10 10:14 - 2020-01-07 17:59 - 000000000 ____D C:\ProgramData\AVAST Software 2019-11-29 18:01 - 2019-11-29 18:01 - 000000128 ____H () C:\Users\Пользователь\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6 AlternateDataStreams: C:\ProgramData:iSpring Solutions [128] AlternateDataStreams: C:\Windows:nlsPreferences [0] AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128] AlternateDataStreams: C:\Users\Пользователь\Application Data:iSpring Solutions [128] FirewallRules: [{BE314F61-FA95-47BE-8B9D-8D36FD2C9DCC}] => (Allow) C:\Users\Пользователь\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла StartBatch: ipconfig /all tracert rt.ru endbatch: End::
WBR,
Vadim
программа Removed Chrome Remote Desktop Host была установлена 08.05.24, я ее точно не ставила. подключение было не после загрузки, ноутбук уже работал около 5 часов
Так и есть, был установлен 08.05.2024 8:01:14. Если сами не делали этого, установка могла ьыть инициирована другим приложением.
Сделайте новые логи Farbar Recovery Scan Tool, отметьте галочками также "90 Days Files".
WBR,
Vadim
новые логи - это "сканировать" или "исправить"?) если сканировать - то вот
- - - - -Добавлено - - - - -
Если исправить - то вот Fixlog2
Сканировать, и новых логов, т. е. FRST.txt, Addition.txt не вижу. Не забудьте "90 Days Files" установить..
WBR,
Vadim
Вот
Отключите временно антивирус 360 Total Security.
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.Код:Start:: CloseProcesses: File: C:\ProgramData\Uninstal.exe ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Нет файла FirewallRules: [{BE314F61-FA95-47BE-8B9D-8D36FD2C9DCC}] => (Allow) C:\Users\Пользователь\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла CMD: sfc /scannow End::
Компьютер будет перезагружен.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Здравствуйте. Вот.
Резюме.
Как уже писал выше - несанкционированное подключение через Chrome Remote Desktop Host весьма сомнительно, т. к. требует взаимодействия с пользователем.
Признаков подключения через удаленный рабочий стол Windows нет, да и соответствующая служба отключена.
Компьютер подключен через роутер, где, как правило, по умолчанию доступ в локальную сеть отключен. К тому же, провайдер выдаёт "серый" ip адрес, недоступный из интернета, что сводит практически к нулю вероятность проникновения снаружи.
Единственный теоретически возможный вариант взлома - могли запустить троян/бэкдор. Признаков которого сейчас я в системе не вижу. Но есть некоторое сомнение, что удалённое подключение вообще было. Запуск и выполнение команд в командной строке (чёрный экран) это не обязательно признак взлома, могло выполняться задание по расписанию системы. Но если реально двигался курсор мыши, открывались/закрывались без Вашего участия окна - это настораживает. Хотя при глюках мыши и не такое бывает.
Вспомните поточнее дату и время иинцидента, посмотрю ещё по журналам системы, что могло произойти.
WBR,
Vadim
Спасибо вам огромное!!! 12.06.24 в 20:58 по мск примерно. я просто сама запускала прогу AVZ до того как обратилась сюда за помощью. Прикрепляю отчет, может вы там что-то увидите. Я не особо не разбираюсь.
Это лог очень старой версии AVZ, неинформативный.
В журналах за 11 и 12.06 вообще никаких событий нет, будто ноутбук выключен был.
Старая версия Windows. обновлений уже не получает, много незакрытых уязвимостей. Лучшо обновить установкой свежего билда с флэшки.Windows 10(6.3.14393) (x64) Professional Версия: 1607 Lang: Russian(0419)
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Старый MS Office, также есть уязвимости, которые уже не будут закрыты.Microsoft Office Профессиональный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Уже писал, обновлять обязательно.WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
WBR,
Vadim
Хорошо, еще раз спасибо вам большое за помощь!!!
Уважаемый(ая) Mila215, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.