Показано с 1 по 11 из 11.

К компу удаленно подключаются (заявка № 210427)

  1. #1
    Junior Member Репутация
    Регистрация
    21.03.2017
    Сообщений
    5
    Вес репутации
    26

    К компу удаленно подключаются

    У меня зависает комп. Браузеры не отвечают, проги(нетбинс, фотошоп, нотепад, скайп) не отвечают.

    Проверяла комп антивами Microsoft Essentials , Marwarebytes, леч. утилитой "Доктор-Веб",
    пользовалась программой CCleaner(почистила реестр, посмотрела автогрузку, никаких сторонних прог не вижу)
    Запускаются программы (иногда, сама я на них не нажимала). Удаляются папки, регистрация на посторонних сайтах. (Все началось с прошлой работой, там у меня менялись пароль к рабочему компу, менялась подсказка к паролю входа в комп. Уничтожался код в сms на работе и дома. )


    Такое впечатление, что к компу удаленно подключаются. Так показал avz_log.txt
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) kframv, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.11.2016
    Адрес
    Moscow
    Сообщений
    782
    Вес репутации
    40
    Добрый день!

    Данные оповещения есть совершенно в любых логах.

    1. Пофиксите в HiJackThis (используйте тот, который находится в папке с AutoLogger'ом):
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1431935521&z=3d85e6585536cd382d6a6e4g2zbc5gct0ccwaw1o8o&from=ient05180&uid=ST9250315AS_5VC28DC0XXXX5VC28DC0&q={searchTerms}
    R0 - HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command,(default) = C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419176763&from=cor&uid=ST9250315AS_5VC28DC0XXXX5VC28DC0
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1431935521&z=3d85e6585536cd382d6a6e4g2zbc5gct0ccwaw1o8o&from=ient05180&uid=ST9250315AS_5VC28DC0XXXX5VC28DC0&q={searchTerms}
    O2 - BHO: (no name) - {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} - (no file)
    O2 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
    2. Сделайте и пришлите в ответном сообщении лог AdwCleaner.

    3. Выполните следующий скрипт в AVZ:
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    end.
    4. Перекачайте AutoLogger с сайта и сделайте новый лог свежим AutoLogger.

  5. #4
    Junior Member Репутация
    Регистрация
    21.03.2017
    Сообщений
    5
    Вес репутации
    26
    Цитата Сообщение от Сомнение Посмотреть сообщение
    Добрый день!
    Данные оповещения есть совершенно в любых логах.
    Это по поводу удаленного подключения? я вижу , что у меня службы удаленного доступа подключены.


    8. Поиск потенциальных уязвимостей
    >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX

    И машинный код поменялся
    1.2 Поиск перехватчиков API, работающих в KernelMode
    Драйвер успешно загружен
    SDT найдена (RVA=16DB00)
    Ядро ntkrnlpa.exe обнаружено в памяти по адресу 83008000
    SDT = 83175B00
    KiST = 8308766C (401)
    Функция MmGetPhysicalAddress (8307878F) - модификация машинного кода. Метод не определен.
    Функция MmMapIoSpace (83078CBF) - модификация машинного кода. Метод не определен.
    Проверено функций: 401, перехвачено: 0, восстановлено: 0
    Поэтому, у меня диск по программе виктория показывает переназначенные сектора?
    Изображения Изображения

  6. #5
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.11.2016
    Адрес
    Moscow
    Сообщений
    782
    Вес репутации
    40
    ntkrnlpa.exe - чистый файл.

    А Виктория проверяет Ваш жесткий диск и ее результаты лишь означают то, что у Вас есть проблемы с жестким диском.

  7. Это понравилось:


  8. #6
    Junior Member Репутация
    Регистрация
    21.03.2017
    Сообщений
    5
    Вес репутации
    26
    Прикрепляю логи.
    Ваши 4 пункта выполнила.
    скажите, пожалуйста , если ntkrnlpa чистый файл, то модификация машинного кода, это нормально?

    Да, у меня жесткий диск неисправен. Я предполагаю, сначала вылечить комп, потом сохранить образ диска (вылеченной системы), просто не получается скачать официальную версию windows 7 с сайта microsoft (https://www.microsoft.com/ru-ru/soft...nload/windows7 ,ключ из реестра я вытащила, но этот ключ не действителен, тк выдается ошибка). Мне эту ось ставили в сервисе в 2011, обновления идут.
    А потом попробовать вылечить mhdd (метод erase, а если не поможет то метод remap), и это в первый раз

    Что скажете по-логам, есть признаки удаленного подключения к моему компу, на ваш взгляд?
    Вложения Вложения

  9. #7
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.11.2016
    Адрес
    Moscow
    Сообщений
    782
    Вес репутации
    40
    Удалите все найденное AdwCleaner'ом, кроме папок\файлов\задач\записей в реестре относящихся к DriverToolkit и mail.ru. Если никаким ПО от mail.ru не пользуетесь, то их тоже можете удалить.
    Потребуется перезагрузка компьютера. Лог сформированный после удаления предоставьте в ответном сообщении.

    Нету никаких признаков, также как и нету ничего вредоносного. Вы ищете проблему там, где ее нет.

  10. Это понравилось:


  11. #8
    Junior Member Репутация
    Регистрация
    21.03.2017
    Сообщений
    5
    Вес репутации
    26
    Цитата Сообщение от Сомнение Посмотреть сообщение
    Нету никаких признаков, также как и нету ничего вредоносного. Вы ищете проблему там, где ее нет.
    В смысле, что вирусов нет, а утилита нашла зловреды? Пожалуйста,обоснуйте свою точку зрения. А в чем тогда проблема? В диске?
    Почему нельзя убирать DriverToolkit (я почитала в инете, что это сборщик драйверов для компьютера, обновляет их), но я ее не устанавливала.
    Или это входит в дистрибутив windows7? А раз мне выдают ошибку на сайте https://www.microsoft.com/ru-ru/soft...nload/windows7 ,
    тогда у меня сборка? Обновления у меня есть. Буду признательна за ответы!
    Спасибо! Лог прилагаю.
    Вложения Вложения

  12. #9
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.11.2016
    Адрес
    Moscow
    Сообщений
    782
    Вес репутации
    40
    Если он Вам не нужен, то можете удалить:

    Код:
    DriverToolkit version 8.5.0.0 [20160221]-->"C:\Program Files\DriverToolkit\unins000.exe"
    Я не знаю, каким еще образом обосновать свою точку зрения. Вы предоставили логи, я их посмотрел и сделал вывод, что ничего в них вредоносного нету.

  13. #10
    Junior Member Репутация
    Регистрация
    21.03.2017
    Сообщений
    5
    Вес репутации
    26
    Цитата Сообщение от Сомнение Посмотреть сообщение
    Если он Вам не нужен, то можете удалить:

    Код:
    DriverToolkit version 8.5.0.0 [20160221]-->"C:\Program Files\DriverToolkit\unins000.exe"
    Я не знаю, каким еще образом обосновать свою точку зрения. Вы предоставили логи, я их посмотрел и сделал вывод, что ничего в них вредоносного нету.
    Спасибо, а манипуляции ADWCleaner, выполнение скриптов- это что было ?

  14. #11
    Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    24.11.2016
    Адрес
    Moscow
    Сообщений
    782
    Вес репутации
    40
    Чистка мусора и рекламы из Ваших браузеров.

Похожие темы

  1. Ответов: 2
    Последнее сообщение: 04.10.2014, 21:03
  2. удаленно кто-то подключается+вирусники
    От саша воинов в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 25.06.2014, 18:49
  3. Ответов: 13
    Последнее сообщение: 22.09.2013, 15:20
  4. Ответов: 2
    Последнее сообщение: 06.10.2011, 21:29
  5. Ответов: 7
    Последнее сообщение: 04.05.2010, 23:42

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00793 seconds with 20 queries