Взломан ПК при установке windows с флешки/возможно был удаленый доступ через DarkComet.
Узнал что коллега следил за мои пк больше года пришлось переустановить винду, подскажите как мне проверить полностью систему(не вшит ли троян в bios/uefi). Раньше процессор мог работать по 10-20 дней даже после отключения(отключал пк полностью, при включение в диспетчере показывалось, что проц работает).Подскажите также про учетную запись sso_pop_device(я ее не создавал, появилась вчера) в гугл сказано, что это позволяет включить возможность аутентификации с помощью доверенной третьей стороны, используя установленные у вас сервисы SSO, как я понял это учетная запись единого входа, но ее нужно настраивать вручную, а я этого не делал.Прикрепляю также файл avz.log2, показывает множество перехватов по типу Функция kernel32.dll:ReadConsoleInputExA (1130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7621CF90->76C68880 функция user32.dll:EnumWindows (1774) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D10360->75533A00, а также > Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
>> Проводник - включить отображение расширений для файлов известных системе типов
Проверка завершена
9. Мастер поиска и устранения проблем
>> Заблокирована настройка автоматического обновления
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Последний раз редактировалось yunior95; 12.01.2020 в 06:31.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) yunior95, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Похвальная обеспокоенность безопасностью, при этом используете сборку Windows с отключенными обновлениями, палёный Eset
На перехваты не обращайте внимания.
SUPERAntiSpyware - совершенно бесполезная программа, удалите.
Driver Booster тоже не рекомендую использовать, основные драйвера система обновляет самостоятельно.
Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:
Для того, чтобы получить удалённый доступ к компьютеру, нужно, как правило, ещё настраивать роутер.
Буткиты в BIOS/UEFI бывают, но пока ещё экзотика.
Учётка sso_pop_device, возможно, по умолчанию есть в Pro версии Windowa 10, не нужна - удалите.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Добрый вечер, не мог раньше ответить заблокировали доступ в интернет и в роутер http://joxi.ru/zANN04Gi6JMBVAhttp://joxi.ru/BA07dONFPlEJz2, по поводу учетки sso_pop_device я ее удалял вчера несколько раз, она потом создавалась(также отображался гостевой акаунт), поставил чистую win 10 домашнюю для одного пользователя, сразу после установки в свойство системы был добавлен удаленный доступ и учетка sso_pop_device. По поводу роутера раньше был без пароля( admin admin), поменял мес назад, но как понял его можно взломать через Linux Kali/lanGhost.
Взломать роутер снаружи можно только, если к нему снаружи открыт доступ, у большинства он по умолчанию всё же закрыт. Обновите, по возможности, прошивку роутера.
По логам видно, что система, как и в прошлый раз, сборка с ovgorskiy, а не чистая.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
после сканирования FRST64, создалось 2 файла, потом начал сканировать еще 2 раза и перезаписывать их , так и должно быть?)))вообщем скину 2 результата.А по поводу профиля sso_pop_device удаляю через диспетчер учеток, он его заново создает это так на всех win?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Взломан ПК при установке windows с флешки/возможно был удаленый доступ через DarkComet.
