Подозрение на взлом ПК и введение на него вируса.

**Yen** · 16.10.2018, 08:43

Приветствую всех желающих прочитать данное сообщение , по возможности ответить!
На днях 13.10.18 пришло ко мне на почту в раздел "спам", вот такое письмецо (написано было на английском, я перевел на русский):

Никто не знаком с сетью даркнет ?
Что за непонятный бред.
мошенник это очевидно.

И вообще можно ли через почту путем ее взлома, попасть на мой ПК, и отслеживать все мои действия на нем ?

Когда я вскрыл защищенные системные файлы, то обнаружил вот что: 174.jpg

К большинству таких папок отказано в доступе.173.jpg Безымянный333.png Безымянный1111111111111111.png

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.10.2018, 08:44

Уважаемый(ая) Yen, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 18.10.2018, 00:27

Здравствуйте,

Уточните пожалуйста, Вам есть что скрывать, не могу понять по каким причинам уделили свое внимание к этому письму?

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

**Yen** · 18.10.2018, 04:44

SQ, Нет, мне нечего скрывать, иногда замечал, что не мог залогиниться на почте(не подходил пароль) вот я и подумал.

SQ · 18.10.2018, 06:58

Обычно на такие письма рассчитаны на людей которым есть что скрывать, иначе помечают как спам и удаляют.

Покажите логи ПК по правилам, чтобы не гадать.

**Yen** · 18.10.2018, 13:43

Вот логи:
https://yadi.sk/d/0h8Ioo4OEJfUWg
не понял как заливать архивы, текстовые документы, сюда.

SQ · 18.10.2018, 19:58

Логи необходимо добавлять к сообщению использую расширенный решим.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Yen** · 18.10.2018, 20:10

Хорошо.

SQ · 18.10.2018, 20:41

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Yen** · 19.10.2018, 06:42

Удаляю все AdwCleaner , но после перезагрузки пк, появляются опять те же
PUP.Optional.Conduit, [Key] - HKU\S-1-5-21-1291388357-343419941-355798866-1000\Software\Conduit
PUP.Optional.Conduit, [Key] - HKCU\Software\Conduit - относится к BS.Player PRO
PUP.Optional.WinRepairPro, [Key] - HKU\S-1-5-21-1291388357-343419941-355798866-1000\Software\win
PUP.Optional.WinRepairPro, [Key] - HKCU\Software\win - к чему относится этот ключ, я не знаю.

Когда включаешь ПК, при входе в ОС, слышен звук, как-будто я подключил флешку или любое другой оборудование к пк.
Раньше такого не было, стало проявляться дня 2 назад.

SQ · 19.10.2018, 15:59

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Yen** · 19.10.2018, 16:49

Сделал

SQ · 19.10.2018, 19:42

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
File: C:\Windows\SysWOW64\HsMgr.exe
File: C:\Windows\system\HsMgr64.exe
Zip: C:\Windows\SysWOW64\HsMgr.exe;C:\Windows\system\HsMgr64.exe;C:\Users\Spider\AppData\Roaming\inst.exe;C:\Users\Spider\AppData\Roaming\pcouffin.sys
File: C:\Program Files (x86)\uTorrent\utorrent.exe
File: C:\Program Files (x86)\Genius\Gila\mousehid.exe
File: C:\Program Files (x86)\Genius\Manticore\MThid.exe
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
FF HKLM-x32\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => not found
File: C:\Program Files (x86)\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
File: C:\Program Files\Intel\Intel(R) Smart Connect Technology Agent\iSCTAgent.exe
File: C:\Windows\System32\DRIVERS\ikbevent.sys
File: C:\Windows\System32\drivers\WPRO_41_2001.sys
File: C:\Users\Spider\AppData\Roaming\inst.exe
File: C:\Users\Spider\AppData\Roaming\pcouffin.sys
2016-11-23 11:02 - 2016-11-23 11:06 - 000000000 _____ () C:\Users\Spider\AppData\Local\{37D83861-E30B-4655-9E33-07D38D1B5EA4}
2016-11-23 11:02 - 2016-11-23 11:06 - 000000000 _____ () C:\Users\Spider\AppData\Local\{579BC1B0-F20B-41DF-A698-EAF6329C8605}
2016-11-23 11:02 - 2016-11-23 11:06 - 000000000 _____ () C:\Users\Spider\AppData\Local\{830950F2-8E6D-4237-B118-2E32BB3C9F0E}
2016-11-23 11:02 - 2016-11-23 11:06 - 000000000 _____ () C:\Users\Spider\AppData\Local\{EE7D6FF6-3F33-4009-ACE7-A90C18C8A4B3}
ContextMenuHandlers4: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
ContextMenuHandlers6: [Offline Files] -> {474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> No File
AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:1CE11B51 [154]
Reboot:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

На рабочем столе образуется карантин вида <date>.zip загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

Обратите внимание, на следуюшие события, похоже у Вас диски (HDD/SDD) сыпятся, сохраните важные данные на стороний источник, далее проверьте состояния диска сервисными утилитам от производителя диска (HDD/SDD).

Код:

Error: (10/18/2018 06:09:05 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.

Error: (10/18/2018 06:09:04 PM) (Source: Disk) (EventID: 11) (User: )
Description: Драйвер обнаружил ошибку контроллера \Device\Harddisk2\DR2.

Error: (10/16/2018 07:22:15 PM) (Source: Disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk0\DR0.

**Yen** · 19.10.2018, 19:58

Хорошо, но только послезавтра, сейчас уже нет времени, завтра на работу.
Сыпется только Harddisk0\DR0 системный.

SQ · 19.10.2018, 22:14

Сообщение от Yen

Сыпется только Harddisk0\DR0 системный.

Проверьте (если нет второго диска то возможно это флэшка) и другой, с ним тоже что-то не так:

Harddisk2\DR2.

**Yen** · 21.10.2018, 05:02

Harddisk2\DR2 - это внешний hdd, через Hard Disk Sentinel, наблюдать можно следующее.

- - - - -Добавлено - - - - -

После выполнения указанных выше действий, получилось следующее:

На рабочем столе появилась вот такой архив:
21.10.2018_08.55.15.zip , загрузил его на "Прислать запрошенный карантин".

SQ · 21.10.2018, 05:28

В карантине ничего плохого не замечено. Также не смог в логах найти какие-то признаки взлома вашего ПК.

Сообщите, что с проблемой?

**Yen** · 21.10.2018, 05:41

Понятно, значит все хорошо.
Как то не раз я не мог зайти на свою почту, которая была под подозрением взлома ( какое-то время не подходил пароль, через несколько дней все стало нормально), и тут еще подобные письма.
Погуглил, и выяснил что это один из признаков взлома, по этому решил обратиться сюда.

________

Большое спасибо за то, что оказали помощь.
Вопрос решен.

SQ · 21.10.2018, 06:40

На всякий случай смените пароль на почту и проверьте, чтобы не было настроено несанкционированой переадресации писем (в настройках). Также можете написать в тех. поддержку почтового сервера и спросить, если были посторонние входы на емайл.

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

**Yen** · 21.10.2018, 07:06

Пароль на почте уже сменил.
adwcleaner.exe и FRST64.exe, просто удалил в корзину, затем из корзины полностью. не думал что придется проводить еще такие действия, думаю большой разницы нет ? или в реестре остались хвосты ?