Junior Member
Вес репутации
16
За компьютером постоянно удаленно наблюдают хакеры
Добрый день!Несколько раз сталкивался с тем,что на компьютере сам начинает двигаться курсор,кто-то начинает смотреть на поисковике свои темы.Антивирусы показывают включение камеры.Мой компьютер обьединили с компьютером моего отца,хотя они никак не связаны между собой(после просмотра в поисковике определенных тем на втором компьютере начинает всплывать яндекс реклама с тематики первого).Мне постоянно кто-то гадит на компьютере-отключают настройки программ.Помогите выпнуть хакера с компа.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Sergey T , спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи .
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект .
Здравствуйте!
Через Панель управления - Удаление программ - удалите нежелательное ПО:
Advanced SystemCare
Driver Booster 7
IObit Malware Fighter 7
Кнопка "Яндекс" на панели задач
Затем:
Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе . Запустите его (необходимо запускать через правую кн. мыши от имени администратора ), нажмите кнопку "Scan" ("Сканировать" ) и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению.
Junior Member
Вес репутации
16
Затем:
Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе . Запустите его (необходимо запускать через правую кн. мыши от имени администратора ), нажмите кнопку "Scan" ("Сканировать" ) и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению.
[/QUOTE]
Cпасибо!Я толдько не могу понять-Вы написали удалить браузеры из панели быстрого доступа-это значит открепить от панели?(виндовс 10)
Сообщение от
Sergey T
Вы написали удалить браузеры из панели быстрого доступа
Нет. О браузерах речь не шла вообще.
Пуск - Параметры - Приложения и возможности - отметить нужное и нажать "Удалить".
Junior Member
Вес репутации
16
[QUOTE=Sandor;1508944]Нет. О браузерах речь не шла вообще.
Пуск - Параметры - Приложения и возможности - отметить нужное и нажать "Удалить".[/QUO
Удалил.Посмотрите,пожайлуста отчет в прошлом письме (по сканированию)
1.Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора ). В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению :
Сбросить политики IE Сбросить политики Chrome В меню Информационная панель нажмите Сканировать . По окончании нажмите кнопку Карантин и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра). Прикрепите отчет к своему следующему сообщению. (Обратите внимание - C и S - это разные буквы).
Внимание: Для успешного удаления нужна перезагрузка компьютера !!! .
2.
Скачайте Farbar Recovery Scan Tool (или с зеркала ) и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan .
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Junior Member
Вес репутации
16
Все сделал как сказали,подробности в приложении
Сообщение от
Sandor
Обратите внимание - C и S - это разные буквы
Не обратили. Следующим сообщением покажите правильный.
Далее:
Отключите до перезагрузки антивирус. Выделите следующий код:
Код:
Start::
CreateRestorePoint:
HKU\S-1-5-21-2590893522-1605219926-3381419796-1001\...\MountPoints2: {7acf993c-3eab-11ea-886c-646e699ab4a2} - "D:\AutoRun.exe"
HKU\S-1-5-21-2590893522-1605219926-3381419796-1001\...\MountPoints2: {f5d7d29b-0b8d-11ea-8850-0c5b8f279a64} - "D:\.\Start.exe"
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
FF user.js: detected! => C:\Users\Сергей\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2020-02-15]
C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\eofcbnmajmjmplflapaojjnihcjkigck
C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\gomekmidlodglbbmalcneegieacbdmki
C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjmpfdkmpojoeemjmfiddlhkkndcdpno
CHR HKU\S-1-5-21-2590893522-1605219926-3381419796-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Junior Member
Вес репутации
16
# -------------------------------
# Malwarebytes AdwCleaner 8.0.2.0
# -------------------------------
# Build: 01-27-2020
# Database: 2020-02-17.1 (Cloud)
# Support: https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 02-18-2020
# Duration: 00:00:09
# OS: Windows 10 Pro
# Cleaned: 81
# Failed: 0
***** [ Services ] *****
No malicious services cleaned.
***** [ Folders ] *****
Deleted C:\Program Files (x86)\Auslogics\BoostSpeed
Deleted C:\Program Files (x86)\Common Files\IObit\Advanced SystemCare
Deleted C:\ProgramData\Auslogics\BoostSpeed
Deleted C:\ProgramData\BSD\DriverHive
Deleted C:\ProgramData\BSD\DriverHiveEngine
Deleted C:\ProgramData\IObit\Advanced SystemCare
Deleted C:\Users\Сергей\AppData\LocalLow\IObit\Advanced SystemCare
Deleted C:\Users\Сергей\AppData\Roaming\IObit\Advanced SystemCare
Deleted C:\Windows\SysWOW64\config\systemprofile\AppData\R oaming\IObit\Advanced SystemCare
Deleted C:\Windows\System32\Tasks\Auslogics\BoostSpeed
***** [ Files ] *****
No malicious files cleaned.
***** [ DLL ] *****
No malicious DLLs cleaned.
***** [ WMI ] *****
No malicious WMI cleaned.
***** [ Shortcuts ] *****
No malicious shortcuts cleaned.
***** [ Tasks ] *****
No malicious tasks cleaned.
***** [ Registry ] *****
Deleted HKCU\Software\Classes\TypeLib\{5C9A2304-70A5-11D5-AFB0-0050DAC67890}
Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Settings\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}
Deleted HKLM\SOFTWARE\CLASSES\APPID\{93469602-4134-4012-A6BC-D46FF1C671E9}
Deleted HKLM\SOFTWARE\CLASSES\CLSID\{93469602-4134-4012-A6BC-D46FF1C671E9}
Deleted HKLM\SOFTWARE\CLASSES\INTERFACE\{6855F0CE-00B1-483F-8633-33B650EE4310}
Deleted HKLM\SOFTWARE\CLASSES\INTERFACE\{DCC049B0-CA04-4E58-B4C8-CE62AC6F5096}
Deleted HKLM\SOFTWARE\CLASSES\TYPELIB\{F2C6F7D1-ED32-49E5-9919-00DB857103B2}
Deleted HKLM\SOFTWARE\CLASSES\TYPELIB\{FE9301D5-9266-4A2F-8767-85482115CAB0}
Deleted HKLM\Software\Classes\.bgl
Deleted HKLM\Software\Classes\.bof
Deleted HKLM\Software\Classes\AppID\{278029E0-2347-4254-A65E-204AC55E2508}
Deleted HKLM\Software\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
Deleted HKLM\Software\Classes\AppID\{93469602-4134-4012-A6BC-3E73B9855F90}
Deleted HKLM\Software\Classes\AppID\{93469602-4134-4012-A6BC-F0AD1C3D66AB}
Deleted HKLM\Software\Classes\AppID\{B16632F1-24E0-4D99-A68D-70BFB6447C48}
Deleted HKLM\Software\Classes\AppID\{BAB04997-93AD-4C13-805A-0409199700BB}
Deleted HKLM\Software\Classes\BabyDict
Deleted HKLM\Software\Classes\BabyGloss
Deleted HKLM\Software\Classes\BabyOptFile
Deleted HKLM\Software\Classes\CLSID\{278029E0-2347-4254-A65E-204AC55E2508}
Deleted HKLM\Software\Classes\CLSID\{64B00DAC-870D-4E6A-8D34-3A6E3E427A30}
Deleted HKLM\Software\Classes\CLSID\{93469602-4134-4012-A6BC-3E73B9855F90}
Deleted HKLM\Software\Classes\CLSID\{947217BD-E967-400A-B14A-BA851A8EDCBB}
Deleted HKLM\Software\Classes\Interface\{3A3310BE-83DD-4E80-AC51-997CA2BA1080}
Deleted HKLM\Software\Classes\Interface\{3CC2E0D5-193C-4192-B8BA-C0B2C19C6B87}
Deleted HKLM\Software\Classes\Interface\{5F339F0B-716F-408F-A627-DEEB5DEB4020}
Deleted HKLM\Software\Classes\Interface\{928FE5E7-D557-46B7-8AF6-17ACCE1FB4ED}
Deleted HKLM\Software\Classes\Prod.cap
Deleted HKLM\Software\Classes\TypeLib\{A1489C85-4F6F-48C4-AC9E-18B63AF4703E}
Deleted HKLM\Software\Classes\TypeLib\{F2C6F7D1-ED32-49E5-9919-863B4A40A1A1}
Deleted HKLM\Software\Classes\TypeLib\{F2C6F7D1-ED32-49E5-9919-CBF4ABB4456D}
Deleted HKLM\Software\Classes\TypeLib\{F310F027-15CB-4A7F-B10D-3A4AFB5013A5}
Deleted HKLM\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved|{947217BD-E967-400A-B14A-BA851A8EDCBB}
Deleted HKLM\Software\Wow6432Node\Auslogics\BoostSpeed
Deleted HKLM\Software\Wow6432Node\BSD
Deleted HKLM\Software\Wow6432Node\IOBIT\ASC
Deleted HKLM\Software\Wow6432Node\IObit\Advanced SystemCare
Deleted HKLM\Software\Wow6432Node\IObit\RealTimeProtector
Deleted HKLM\Software\Wow6432Node\\CLASSES\APPID\{93469602-4134-4012-A6BC-D46FF1C671E9}
Deleted HKLM\Software\Wow6432Node\\CLASSES\INTERFACE\{6855 F0CE-00B1-483F-8633-33B650EE4310}
Deleted HKLM\Software\Wow6432Node\\CLASSES\INTERFACE\{DCC0 49B0-CA04-4E58-B4C8-CE62AC6F5096}
Deleted HKLM\Software\Wow6432Node\\CLASSES\TYPELIB\{F2C6F7 D1-ED32-49E5-9919-00DB857103B2}
Deleted HKLM\Software\Wow6432Node\\CLASSES\TYPELIB\{FE9301 D5-9266-4A2F-8767-85482115CAB0}
Deleted HKLM\Software\Wow6432Node\\Classes\AppID\{278029E0-2347-4254-A65E-204AC55E2508}
Deleted HKLM\Software\Wow6432Node\\Classes\AppID\{6536801B-F50C-449B-9476-093DFD3789E3}
Deleted HKLM\Software\Wow6432Node\\Classes\AppID\{93469602-4134-4012-A6BC-3E73B9855F90}
Deleted HKLM\Software\Wow6432Node\\Classes\AppID\{93469602-4134-4012-A6BC-F0AD1C3D66AB}
Deleted HKLM\Software\Wow6432Node\\Classes\AppID\{B16632F1-24E0-4D99-A68D-70BFB6447C48}
Deleted HKLM\Software\Wow6432Node\\Classes\AppID\{BAB04997-93AD-4C13-805A-0409199700BB}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{6AC0BB10-C922-45E2-857D-2A368FE749E5}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{93469602-4134-4012-A6BC-F0AD1C3D66AB}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{947217BD-E967-400A-B14A-BA851A8EDCBB}
Deleted HKLM\Software\Wow6432Node\\Classes\CLSID\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Deleted HKLM\Software\Wow6432Node\\Classes\Interface\{3A33 10BE-83DD-4E80-AC51-997CA2BA1080}
Deleted HKLM\Software\Wow6432Node\\Classes\Interface\{3CC2 E0D5-193C-4192-B8BA-C0B2C19C6B87}
Deleted HKLM\Software\Wow6432Node\\Classes\Interface\{5F33 9F0B-716F-408F-A627-DEEB5DEB4020}
Deleted HKLM\Software\Wow6432Node\\Classes\Interface\{928F E5E7-D557-46B7-8AF6-17ACCE1FB4ED}
Deleted HKLM\Software\Wow6432Node\\Classes\TypeLib\{A1489C 85-4F6F-48C4-AC9E-18B63AF4703E}
Deleted HKLM\Software\Wow6432Node\\Classes\TypeLib\{F2C6F7 D1-ED32-49E5-9919-863B4A40A1A1}
Deleted HKLM\Software\Wow6432Node\\Classes\TypeLib\{F2C6F7 D1-ED32-49E5-9919-CBF4ABB4456D}
Deleted HKLM\Software\Wow6432Node\\Classes\TypeLib\{F310F0 27-15CB-4A7F-B10D-3A4AFB5013A5}
Deleted HKLM\Software\Wow6432Node\\Google\Chrome\NativeMes sagingHosts\com.ascplugin.protect
Deleted HKLM\Software\Wow6432Node\\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A1489C85-4F6F-48C4-AC9E-18B63AF4703E}
Deleted HKLM\Software\Wow6432Node\\Microsoft\MediaPlayer\S himInclusionList\browser.exe
Deleted HKLM\Software\Wow6432Node\\Microsoft\Windows\Curre ntVersion\Explorer\Browser Helper Objects\{9CFACCB6-2F3F-4177-94EA-0D2B72D384C1}
Deleted HKLM\Software\Wow6432Node\\Microsoft\Windows\Curre ntVersion\Run|Babylon Client
Deleted HKLM\Software\Wow6432Node\\Microsoft\Windows\Curre ntVersion\Shell Extensions\Approved|{947217BD-E967-400A-B14A-BA851A8EDCBB}
***** [ Chromium (and derivatives) ] *****
No malicious Chromium entries cleaned.
***** [ Chromium URLs ] *****
No malicious Chromium URLs cleaned.
***** [ Firefox (and derivatives) ] *****
Deleted Visual Bookmarks
Deleted Yandex.Market Adviser
***** [ Firefox URLs ] *****
No malicious Firefox URLs cleaned.
***** [ Hosts File Entries ] *****
No malicious hosts file entries cleaned.
***** [ Preinstalled Software ] *****
No Preinstalled Software cleaned.
*************************
[+] remove_folder_Auslogics
[+] remove_folder_Auslogics(2)
[+] remove_folder_Auslogics(3)
[+] remove_folder_Auslogics(4)
[+] remove_regKey_Auslogics
[+] Delete Tracing Keys
[+] Reset Winsock
*************************
AdwCleaner[S00].txt - [9547 octets] - [18/02/2020 19:06:14]
AdwCleaner[S01].txt - [9608 octets] - [18/02/2020 19:11:11]
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########
Последний раз редактировалось Sergey T; 19.02.2020 в 12:53 .
Вы что-то делаете не так.
Код из сообщения №9 нужно скопировать (вставлять ни в какие поля, команды и пр. не нужно). Скрипт будет выполнен из буфера обмена.
Запустить файл frst64.exe и нажать кнопку Fix.
Junior Member
Вес репутации
16
Все сделал как написано.В этот раз пишет No fixlist.txt.found
Нет, опять что-то не то
Скачайте вложенный текстовый файл и поместите его рядом с исполняемым файлом frst64.exe
Запустите frst64.exe и нажмите Fix.
Вложения
Junior Member
Вес репутации
16
Я делаю так:открываю программу,в свободную строку ввожу Ваш вложенный текстовой файл,нажимаю Fix и он начинает что-то сканировать,остановить невозможно,программу выключить тоже.Help
- - - - -Добавлено - - - - -
Сообщение от
Sergey T
Я делаю так:открываю программу,в свободную строку ввожу Ваш вложенный текстовой файл,нажимаю Fix и он начинает что-то сканировать,остановить невозможно,программу выключить тоже.Help
Может то,что во вложении,подойдет.
Пожалуйста, будьте внимательны и в точности выполняйте инструкцию:
1. Файл fixlist.txt из моего сообщения расположите рядом с исполняемым файлом frst64.exe
FRST_move.png
2. Запустите файл frst64.exe (ничего никуда вставлять не нужно! )
3. Нажмите кнопку Fix и подождите. Компьютер перезагрузится, после чего появится файл Fixlog.txt
Junior Member
Вес репутации
16
[QUOTE=Sandor;1508969]Пожалуйста, будьте внимательны и в точности выполняйте инструкцию:
1. Файл fixlist.txt из моего сообщения расположите рядом с исполняемым файлом frst64.exe
FRST_move.png
2. Запустите файл frst64.exe (ничего никуда вставлять не нужно! )
3. Нажмите кнопку Fix и подождите. Компьютер перезагрузится, после чего появится файл Fixlog.txt[/QUOTE
Все сделал,уточните,где именно нужно посмотреть файл появится файл Fixlog.txt
После перезагрузки он должен появиться вместо файла fixlist.txt