Вирус с залипанием клавиш

[Никоалай]

В локальной сети используется 7 устройств.
У двух из них начали проявляться одинаковые проблемы с клавиатурой:

Симптомы:
клавиши «залипают» (символ печатается бесконечно, пока не перезагрузишь);
проблема возникает 4–5 раз в день;
помогает только перезагрузка;
у стационарного ПК подключена проводная клавиатура, у ноутбука — встроенная;
залипания начинаются примерно в одно и то же время.

Что уже сделано:
заменена клавиатура на стационарном ПК → не помогло;
выполнены проверки Kaspersky Virus Removal Tool, Microsoft Safety Scanner, Dr.Web CureIt!, Malwarebytes Free → угроз не найдено;
откат обновлений Windows → не помогло;
в прошлые выходные наблюдал по AnyDesk (каждые 2 часа) → проблема не проявлялась;
на ноутбуке перед залипанием клавиш появляется экран приветствия, после чего либо включается эффект «лупы» , либо клавиши начинают залипать в строке ввода пароля;
на стационарном ПК залипания происходят прямо в приложениях, без выхода на экран приветствия.

Частота:
проблема проявляется нерегулярно: может быть 1 раз за день, а может несколько раз за полчаса.

Подозрительные события:
в четверг во время удалённой сессии по AnyDesk управление ноутбуком перехватил посторонний пользователь и очистил журнал безопасности Windows;
в четверг и пятницу на компьютере фиксировались скриншоты (не пользователем).

В пятницу было решено переустановить Windows на обоих устройствах.
Ноутбук заменил на другой, с «чистой» системой, установленной за день до этого.
Через пару часов на новом ноутбуке появились те же залипания.
На обоих устройствах использовались беспроводные мыши разных фирм. После замены мыши на проводную проблема исчезла. Подумал что дело может быть в этом, но:

Ну и вишенка:
Сегодня, во время работы через AnyDesk с новым ноутбуком который я заменил клавиша «А» одновременно «залипла» на нем и на домашнем компьютере (где установлен Kaspersky Plus).

[Info_bot]

Уважаемый(ая) Никоалай, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Вход в anydesk по паролю?
Есть устройства. которые могут вызывать помехи в беспроводном диапазоне?

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System[(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-PowerShell/Operational" "Windows PowerShell.evtx"', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Doctor Web" "Doctor Web.evtx"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

[Никоалай]

https://transfiles.ru/mtg75

[Sandor]

Вход в anydesk по паролю?
Есть устройства. которые могут вызывать помехи в беспроводном диапазоне?

Никоалай, на вопросы ответьте.

[Никоалай]

Анидеск везде по паролю
Микроволновка например? В офисе нету, но здание офисное может у соседей какие то есть.
Залипание клавиш происходило в трех разных местах территориально.
И еще информация: Ко мне вирус попал на домашний комп в субботу, в воскресенье пришло сообщения об изменениях в выписки ЕГРИП - кто то запрашивал данные по соц страхованию и обновлял данные на тендерных площадках, где я зарегистрирован. Возможно утянули ЭЦП и/или куки

[Vvvyg]

Меняйте пароли в anydesk. Есть другие варианты удалённого доступа в сеть? Например, RDP до сервера и пр.?

[Никоалай]

rdp до сервера есть, но через впн, анидеск удалил

[Vvvyg]

Уверены, что через VPN? По ip, с которого Вы на форуме написали, на стандартном порту 3389 открылся вход на Windows Server 2008. Это прямо открытые ворота, давно могли сбрутить пароль и подключаться. Сделайте сбор журналов с сервера, как я раньше писал.

- - - - -Добавлено - - - - -

Меняйте пароли пользователей с правами администратора и пользователя удалённого рабочего стола.
И такой ещё лог по серверу нужен.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Никоалай]

Это рабочая сеть, компьютеры были скомпрометированы в другой. Здесь только анализ делаю. Доступа к виндус сервер у меня нету, он другой организации принадлежит. Постараюсь завтра сделать логи сервера, который был в скомпрометированной сети