Показано с 1 по 9 из 9.

Взломан ПК при установке windows с флешки/возможно был удаленый доступ через DarkComet. (заявка № 224325)

  1. #1
    Junior Member Репутация
    Регистрация
    12.01.2020
    Сообщений
    4
    Вес репутации
    1

    Thumbs up Взломан ПК при установке windows с флешки/возможно был удаленый доступ через DarkComet.

    Узнал что коллега следил за мои пк больше года пришлось переустановить винду, подскажите как мне проверить полностью систему(не вшит ли троян в bios/uefi). Раньше процессор мог работать по 10-20 дней даже после отключения(отключал пк полностью, при включение в диспетчере показывалось, что проц работает).Подскажите также про учетную запись sso_pop_device(я ее не создавал, появилась вчера) в гугл сказано, что это позволяет включить возможность аутентификации с помощью доверенной третьей стороны, используя установленные у вас сервисы SSO, как я понял это учетная запись единого входа, но ее нужно настраивать вручную, а я этого не делал.Прикрепляю также файл avz.log2, показывает множество перехватов по типу Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7621CF90->76C68880 функция user32.dll:EnumWindows (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D10360->75533A00, а также > Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
    > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
    >>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
    >>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
    >> Безопасность: Разрешена отправка приглашений удаленному помощнику
    >> Проводник - включить отображение расширений для файлов известных системе типов
    Проверка завершена
    9. Мастер поиска и устранения проблем
    >> Заблокирована настройка автоматического обновления
    >> Разрешен автозапуск с HDD
    >> Разрешен автозапуск с сетевых дисков
    >> Разрешен автозапуск со сменных носителей
    Вложения Вложения
    Последний раз редактировалось yunior95; 12.01.2020 в 06:31.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,312
    Вес репутации
    356
    Уважаемый(ая) yunior95, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,654
    Вес репутации
    932
    Похвальная обеспокоенность безопасностью, при этом используете сборку Windows с отключенными обновлениями, палёный Eset

    На перехваты не обращайте внимания.

    SUPERAntiSpyware - совершенно бесполезная программа, удалите.
    Driver Booster тоже не рекомендую использовать, основные драйвера система обновляет самостоятельно.

    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)пофиксите только эти строки:
    Код:
    O15 - Trusted Zone: http://webcompanion.com
    O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
    O22 - Task: \Avast Software\Overseer - C:\Program Files\Common Files\AVAST Software\Overseer\overseer.exe /from_scheduler:1
    Выполните скрипт в AVZ:
    Код:
    begin
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\ControlSet001\Control\Remote Assistance','fAllowToGetHelp', 0);
     SetServiceStart('TermService', 4);
    ExecuteWizard('SCU',2,2,true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Для того, чтобы получить удалённый доступ к компьютеру, нужно, как правило, ещё настраивать роутер.

    Буткиты в BIOS/UEFI бывают, но пока ещё экзотика.

    Учётка sso_pop_device, возможно, по умолчанию есть в Pro версии Windowa 10, не нужна - удалите.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    12.01.2020
    Сообщений
    4
    Вес репутации
    1
    Добрый вечер, не мог раньше ответить заблокировали доступ в интернет и в роутер http://joxi.ru/zANN04Gi6JMBVA http://joxi.ru/BA07dONFPlEJz2, по поводу учетки sso_pop_device я ее удалял вчера несколько раз, она потом создавалась(также отображался гостевой акаунт), поставил чистую win 10 домашнюю для одного пользователя, сразу после установки в свойство системы был добавлен удаленный доступ и учетка sso_pop_device. По поводу роутера раньше был без пароля( admin admin), поменял мес назад, но как понял его можно взломать через Linux Kali/lanGhost.
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,654
    Вес репутации
    932
    Взломать роутер снаружи можно только, если к нему снаружи открыт доступ, у большинства он по умолчанию всё же закрыт. Обновите, по возможности, прошивку роутера.

    По логам видно, что система, как и в прошлый раз, сборка с ovgorskiy, а не чистая.

    Выполните в AVZ скрипт:
    Код:
    begin
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
     SetServiceStart('TermService', 4);
    ExecuteWizard('TSW',2,2,true);
    ExecuteWizard('SCU',2,2,true);
    RebootWindows(false);
    end.
    Компьютер перезагрузится.

    Удалите sso_pop_device через Диспетчер учетных данных - через поиск в настройках выйдете. Но страшного нет в ней, она на всех системах есть.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  8. #6
    Junior Member Репутация
    Регистрация
    12.01.2020
    Сообщений
    4
    Вес репутации
    1
    после сканирования FRST64, создалось 2 файла, потом начал сканировать еще 2 раза и перезаписывать их , так и должно быть?)))вообщем скину 2 результата.А по поводу профиля sso_pop_device удаляю через диспетчер учеток, он его заново создает это так на всех win?
    Вложения Вложения

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,654
    Вес репутации
    932
    У меня единожды FRST сканирует, может, дважды Scan нажали?

    sso_pop_device после удаления через Диспетчер учетных данных восстанавливается, и это нормально.

    В системе проблем не видно, разбирайтесь с роутером.
    WBR,
    Vadim

  10. #8
    Junior Member Репутация
    Регистрация
    12.01.2020
    Сообщений
    4
    Вес репутации
    1
    Понял, спасибо вам большое)))

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,654
    Вес репутации
    932
    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

  • Уважаемый(ая) yunior95, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 11
      Последнее сообщение: 12.07.2017, 22:58
    2. Ответов: 8
      Последнее сообщение: 02.10.2015, 18:44
    3. Ответов: 2
      Последнее сообщение: 05.06.2013, 14:54
    4. Ответов: 1
      Последнее сообщение: 06.06.2007, 12:32
    5. Cайт корпорации Microsoft был взломан хакерами
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 1
      Последнее сообщение: 09.07.2005, 00:41

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00678 seconds with 20 queries