Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ВирусДиректор, спасибо за обращение на наш форум!
Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Тип файла: zip CollectionLog-2021.07.27-21.59.zip (без 1 в начале)
- - - - -Добавлено - - - - -
Сообщение от Vvvyg
Для непонятливых повторяю: один компьютер - одна тема. Оставьте логи по одному, иначе запутаемся.
Ок, значит рабриаем его.
- - - - -Добавлено - - - - -
Посмотрел логи без "1" в начале - активного заражения нет. Подробнее о проблеме, пожалуйста.
Активное я нейтрализовал при помощи: стандартных скриптом АВЗ, полным фиксом списка HiJackThis, сбросил настройки сети.
Ситуация была следующая: этот ПК является маршрутизатором, т.е. с кабеля по файфаю интернет задаёт.
Как то раз упала скорость интернет соеденинения в сети, ковырял другое устройство из сети, думал что уже сервер ВПН заблокировали в стране.
В итоге нашёл подозрительную активность трафика на данном устройстве(Анализатор трафика показывал высокий исходящий трафик, хотя я ничего никуда не загружал), на сайты с названиями VIRUS или антивирус браузеры не выходили(как при типичном заражении),встроенный антивирус сигнализировал что в яндекс брауезе найдены отлеживающие куки, значёк https в браузерах был "не защищён".
Далее, в который раз, обнаружена подобная учётная запись(это новый способ атаки), которая предоставляет доступ к моему устройству
Внимание
эксплорер сообщил,что не может отобразить страницу, скорость упала до нуля.
В Панель управления\Учетные записи и Семейная безопасность\Диспетчер учетных данных в Учетных данных Windows возникло это:
Адрес в интренете или сети: virtualapp/didlogical
Имя пользователя: 02kedjlsztki
Пароль: *********
Устойчивость: Локальный компьютер
Как только отбился и заработал полноценно интернет(не факт), начал искать более подробную инфу по этой загадочной учётке, которая всё время наровит мои данные выгрузить и поднапортить мою интернет активность. Т.к. сталкиваюсь с этим довольно часто, к моему большому сожалению. Было выяснено, на одном из зарубежных антивирус ресурсов, что подобным способом злоумышленники атакуют ОС виндовс, маскируясь под тех. поддержку и даже выкуп требуют за данные. Судя по увеличивающимся в последние годы, жалобам пользователей на подобные влияния из вне(причём в большинстве случаев пользователи и специалисты по ИБ остаются не вкурсе, что это реально дело рук злоумышленников и продолжают игнорировать учётку и трасты), злоумышленники свободно используют эти уязвимости и тысячи пользователей даже не подозревают об этом.
Сейчас всё вроде бы норм, но пользуюсь виртуальной клавиатурой при "интимных делах".
Звук при трасляции мультимедиа(на всех устройствах в сети) трещит, свидетельсвуя, о том что, я либо я с фиксами переборщил, либо атака идёт.
На устройстве с логами (1 в начале) продолжается шустрая выгрузка данных в интернет, но временно отключена с моей помощью.
Последний раз редактировалось ВирусДиректор; 29.07.2021 в 00:01.
Причина: Рё мультимедиа
Активное я нейтрализовал при помощи: стандартных скриптом АВЗ, полным фиксом списка HiJackThis, сбросил настройки сети.
Если пофиксили вообще всё в HiJackThis - странно, что вообще система работает.
Сообщение от ВирусДиректор
В итоге нашёл подозрительную активность трафика на данном устройстве(Анализатор трафика показывал высокий исходящий трафик, хотя я ничего никуда не загружал)
Надо смотреть? куда загружалось, хотя бы TCPView, а лучше трафик перехватить через Wireshark и анализировать.
Сообщение от ВирусДиректор
на сайты с названиями VIRUS или антивирус браузеры не выходили)
Это единственный явный признак проблемы, но после ваших действий понять, что было, сложно.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Если пофиксили вообще всё в HiJackThis - странно, что вообще система работает.
Я ещё не научился пользоваться хайджеком.
Сообщение от Vvvyg
Надо смотреть? куда загружалось, хотя бы TCPView, а лучше трафик перехватить через Wireshark и анализировать.
Нет, я не логирую его в привычном пониманий, смотрю лишь активность тех или иных процессов в интернете, для общей картины и минимальной безопасности в сети.
Сообщение от Vvvyg
Это единственный явный признак проблемы, но после ваших действий понять, что было, сложно.
Второй признак, в виде непонятной учётки со всеми правами, был не так давно, маскировался под тех. процесс, признаками были совершенно такими же, подробнее: https://www.filecheck.ru/process/tru...aller.exe.html
В том и проблемма, что система ведёт себя странно - тормозит, сайты с антивирусами не открываются, https соеденинение слетает. Ламеру может показаться, что всё ок, тем более если каспер стоит, то возникает чувство защищённости, а то что с машины инфу выгружают по непонятному адресу злоумышленники, что и приводит к "тормозам", то это "тех.поддержка".
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Логи FRST скинул, а то после постов индусов, что то сильно переживательно за приватность.
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.