Выкладываю логи с 2 пк, одной сети.
Происходит что то непонятноеПытался искать решение проблем самостоятельно, но заражется постоянно вновь.
Выкладываю логи с 2 пк, одной сети.
Происходит что то непонятное
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ВирусДиректор, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Один компьютер - одна тема.
Логи не по правилам сделаны.
WBR,
Vadim
Флудить не хотел.Сообщение от Vvvyg
Переделал логи по правилам, гляньте пожалуйста, боюсь пользоватся сетью и устройствами уже.
Для непонятливых повторяю: один компьютер - одна тема. Оставьте логи по одному, иначе запутаемся.
- - - - -Добавлено - - - - -
Посмотрел логи без "1" в начале - активного заражения нет. Подробнее о проблеме, пожалуйста.
WBR,
Vadim
- - - - -Добавлено - - - - -
Активное я нейтрализовал при помощи: стандартных скриптом АВЗ, полным фиксом списка HiJackThis, сбросил настройки сети.
Ситуация была следующая: этот ПК является маршрутизатором, т.е. с кабеля по файфаю интернет задаёт.
Как то раз упала скорость интернет соеденинения в сети, ковырял другое устройство из сети, думал что уже сервер ВПН заблокировали в стране.
В итоге нашёл подозрительную активность трафика на данном устройстве(Анализатор трафика показывал высокий исходящий трафик, хотя я ничего никуда не загружал), на сайты с названиями VIRUS или антивирус браузеры не выходили(как при типичном заражении),встроенный антивирус сигнализировал что в яндекс брауезе найдены отлеживающие куки, значёк https в браузерах был "не защищён".
Далее, в который раз, обнаружена подобная учётная запись(это новый способ атаки), которая предоставляет доступ к моему устройству
Внимание
эксплорер сообщил,что не может отобразить страницу, скорость упала до нуля.
В Панель управления\Учетные записи и Семейная безопасность\Диспетчер учетных данных в Учетных данных Windows возникло это:
Адрес в интренете или сети: virtualapp/didlogical
Имя пользователя: 02kedjlsztki
Пароль: *********
Устойчивость: Локальный компьютер
Как только отбился и заработал полноценно интернет(не факт), начал искать более подробную инфу по этой загадочной учётке, которая всё время наровит мои данные выгрузить и поднапортить мою интернет активность. Т.к. сталкиваюсь с этим довольно часто, к моему большому сожалению. Было выяснено, на одном из зарубежных антивирус ресурсов, что подобным способом злоумышленники атакуют ОС виндовс, маскируясь под тех. поддержку и даже выкуп требуют за данные. Судя по увеличивающимся в последние годы, жалобам пользователей на подобные влияния из вне(причём в большинстве случаев пользователи и специалисты по ИБ остаются не вкурсе, что это реально дело рук злоумышленников и продолжают игнорировать учётку и трасты), злоумышленники свободно используют эти уязвимости и тысячи пользователей даже не подозревают об этом.
Сейчас всё вроде бы норм, но пользуюсь виртуальной клавиатурой при "интимных делах".
Звук при трасляции мультимедиа(на всех устройствах в сети) трещит, свидетельсвуя, о том что, я либо я с фиксами переборщил, либо атака идёт.
На устройстве с логами (1 в начале) продолжается шустрая выгрузка данных в интернет, но временно отключена с моей помощью.
Последний раз редактировалось ВирусДиректор; 29.07.2021 в 00:01. Причина: Рё мультимедиа
Если пофиксили вообще всё в HiJackThis - странно, что вообще система работает.
Надо смотреть? куда загружалось, хотя бы TCPView, а лучше трафик перехватить через Wireshark и анализировать.
Это единственный явный признак проблемы, но после ваших действий понять, что было, сложно.
Ничего криминального.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Я ещё не научился пользоваться хайджеком.
Нет, я не логирую его в привычном пониманий, смотрю лишь активность тех или иных процессов в интернете, для общей картины и минимальной безопасности в сети.
Второй признак, в виде непонятной учётки со всеми правами, был не так давно, маскировался под тех. процесс, признаками были совершенно такими же, подробнее:
https://www.filecheck.ru/process/tru...aller.exe.html
В том и проблемма, что система ведёт себя странно - тормозит, сайты с антивирусами не открываются, https соеденинение слетает. Ламеру может показаться, что всё ок, тем более если каспер стоит, то возникает чувство защищённости, а то что с машины инфу выгружают по непонятному адресу злоумышленники, что и приводит к "тормозам", то это "тех.поддержка".
ещё такая учётка появлялась: sso_pop_device
Я находил противоречивую информацию, на одном из форумов.Там пользователь обнаружил, что при помощи этого метода его скомпромитировали. Вот что ещё найдено:
https://community.norton.com/en/foru...ynjqsc-malware
https://social.technet.microsoft.com...lappdidlogical
https://www.cyberforum.ru/viruses/thread1114973.html
https://www.trojaner-board.de/171752...schwunden.html
https://www.tenforums.com/antivirus-...idlogical.html
Как должно быть понятно, подобная атака распространена в мире, используется для удалённого подключения, на основе поддельных сертификатов.Методов борьбы я не нашёл, кроме как жёсткий контроль сетевых подключении майкрософт.
Логи FRST скинул, а то после постов индусов, что то сильно переживательно за приватность.
Коротко резюмирую: туфта и лёгкая паранойя
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: CreateRestorePoint: 2021-07-23 20:10 - 2021-07-23 20:10 - 000000000 ____H C:\Users\Admin\AppData\Local\BIT5334.tmp Folder: C:\Program Files (x86)\Temp 2021-07-26 18:58 - 2021-07-26 18:58 - 000000003 _____ () C:\Users\Admin\AppData\Local\updater.log FirewallRules: [{93C901B5-9C51-4618-BC09-2800EDBBC094}] => (Allow) C:\program files (x86)\auslogics\boostspeed\integrator.exe => Нет файла FirewallRules: [{69E38DB4-84DF-473B-9F68-8CBB8F94FAAD}] => (Allow) C:\program files (x86)\auslogics\boostspeed\tabdashboard.exe => Нет файла FirewallRules: [{6EADE6C6-34CA-4955-9B50-0D45E75FBFB1}] => (Allow) C:\program files (x86)\auslogics\boostspeed\diskdefrag.exe => Нет файла FirewallRules: [{69324C12-0FB2-4F6D-9A99-EE37C8B0B51A}] => (Allow) C:\program files (x86)\auslogics\boostspeed\startupmanager.exe => Нет файла FirewallRules: [{2CC5BBB1-97BC-4351-9033-60E4C2DA6660}] => (Allow) C:\program files (x86)\auslogics\boostspeed\taballtools.exe => Нет файла FirewallRules: [{5E00CC0A-6657-4F75-A448-35CA2B54BF89}] => (Allow) C:\program files (x86)\auslogics\boostspeed\tabwin10protector.exe => Нет файла FirewallRules: [{00CB7EF0-88A3-45DF-B0DB-0B933E07C2C4}] => (Allow) C:\program files (x86)\ashampoo winoptimizer\wo17.exe => Нет файла FirewallRules: [{B2419CCB-F50A-4F57-AEE2-73FAFAAEA8BD}] => (Allow) C:\users\admin\appdata\local\temp\yb_fd251.tmp\setup.exe => Нет файла FirewallRules: [{718B0117-A857-4CE4-864E-43939A59ADC2}] => (Allow) C:\program files (x86)\yandex\yandexbrowser\21.6.2.854\service_update.exe => Нет файла S4 ImControllerService; %SystemRoot%\Lenovo\ImController\Service\Lenovo.Modern.ImController.exe [X] U3 aswbdisk; отсутствует ImagePath U4 DiagTrack; отсутствует ImagePath U4 dmwappushsvc; отсутствует ImagePath S3 WinDivert1.1; \??\C:\Windows\Temp\KMSAuto\bin\driver\x64WDV\WinDivert.sys [X] CMD: cmd.exe /c type C:\Windows\system32\Drivers\etc\hosts.old Reboot: End::
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
