Показано с 1 по 16 из 16.

Кто-то получил удаленнй доступ к моему ноутбуку (заявка № 228604)

  1. #1
    Junior Member Репутация
    Регистрация
    13.06.2024
    Сообщений
    12
    Вес репутации
    1

    Thumbs up Кто-то получил удаленнй доступ к моему ноутбуку

    Здравствуйте. Помогите пожалуйста отключить удаленный доступ. Появилось черное окно с символами, потом начали управлять мышью и окнами. И как сделать чтобы этого больше не случалось?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,288
    Вес репутации
    379
    Уважаемый(ая) Mila215, спасибо за обращение на наш форум!

    Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,714
    Вес репутации
    1065
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     DeleteFile('C:\Users\Пользователь\appdata\roaming\drpsu\alice\cloud.exe', '');
     DeleteFileMask('c:\users\пользователь\appdata\roaming\drpsu', '*', true);
     DeleteDirectory('c:\users\пользователь\appdata\roaming\drpsu');
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
     ExecuteWizard('SCU', 2, 2, true);
    end.
    В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} -  (no xml)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} - (no key)
    O22 - Tasks: (disabled) \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task (sign: 'Apple Inc.')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AdobeGCInvoker-1.0" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Antivirus Emergency Update" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\CCleanerSkipUAC" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\RTKCPL" /ENABLE (sign: 'Microsoft')
    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    13.06.2024
    Сообщений
    12
    Вес репутации
    1
    Архив Events https://drive.google.com/file/d/1Sy5...ew?usp=sharing

    - - - - -Добавлено - - - - -

    Цитата Сообщение от Vvvyg Посмотреть сообщение
    Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:
    Код:
    begin
     DeleteFile('C:\Users\Пользователь\appdata\roaming\drpsu\alice\cloud.exe', '');
     DeleteFileMask('c:\users\пользователь\appdata\roaming\drpsu', '*', true);
     DeleteDirectory('c:\users\пользователь\appdata\roaming\drpsu');
     ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
     ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
     ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=128m Events.7z *.evtx', 1, 300000, false);
     ExecuteWizard('SCU', 2, 2, true);
    end.
    В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

    Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:
    Код:
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} -  (no xml)
    O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ea2dccd7-635a-4004-a270-aeb9653a5aab} - (no key)
    O22 - Tasks: (disabled) \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task (sign: 'Apple Inc.')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AdobeGCInvoker-1.0" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\Antivirus Emergency Update" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\AVAST Software\Gaming mode Task Scheduler recovery" /DISABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\CCleanerSkipUAC" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineCore" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\GoogleUpdateTaskMachineUA" /ENABLE (sign: 'Microsoft')
    O22 - Tasks: (disabled) \AVAST Software\Gaming mode Task Scheduler recovery - C:\Windows\system32\schtasks.exe /Change /TN "\RTKCPL" /ENABLE (sign: 'Microsoft')
    Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

    Нажмите кнопку Сканировать.

    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    Архив FRST https://drive.google.com/file/d/18SX...ew?usp=sharing

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,714
    Вес репутации
    1065
    Не нужно полностью цитировать сообщения, просто пишите в окне "Быстрый ответ". Из-за оверквотинга сообщения могут уходить на премодерацию + это ухудшает читаемость темы.
    И логи FRST надо было вложением, размер позволяет.

    Судя по логам и журналам событий, было только одно приложение, через которое можно было получить удалённый доступ, Служба Удаленного рабочего стола Chrome, и оно уже удалено:
    10-06-2024 10:07:41 Removed Chrome Remote Desktop Host
    Но, как я понимаю, получить доступ через него можно, только взаимодействуя с пользователем.
    Можно подробности? Когда было подключение, не сразу ли после загрузки системы?

    Обязательно обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CreateRestorePoint:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    Task: {7C44BDB6-D85B-4A22-932D-DDFCF85E7B7C} - System32\Tasks\Восстановление сервиса обновлений Яндекс*Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\24.1.5.803\service_update.exe  --repair (Нет файла)
    Task: {540B8172-B784-46C2-BEEF-2B0AA0352C02} - System32\Tasks\Системное обновление Браузера Яндекс => C:\Program Files (x86)\Yandex\YandexBrowser\23.11.0.2470\service_update.exe  --run-as-launcher (Нет файла)
    CHR HKU\S-1-5-21-1399598285-3559191875-147737533-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [makncglipcpahhdkncedphglhmiabdac]
    CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh]
    U3 avgbdisk; отсутствует ImagePath
    2024-06-10 10:14 - 2020-01-07 17:59 - 000000000 ____D C:\ProgramData\AVAST Software
    2019-11-29 18:01 - 2019-11-29 18:01 - 000000128 ____H () C:\Users\Пользователь\AppData\Roaming\ecf00c38dc807e105d881c433a6b455dd2c606b6
    AlternateDataStreams: C:\ProgramData:iSpring Solutions [128]
    AlternateDataStreams: C:\Windows:nlsPreferences [0]
    AlternateDataStreams: C:\ProgramData\Application Data:iSpring Solutions [128]
    AlternateDataStreams: C:\Users\Пользователь\Application Data:iSpring Solutions [128]
    FirewallRules: [{BE314F61-FA95-47BE-8B9D-8D36FD2C9DCC}] => (Allow) C:\Users\Пользователь\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    StartBatch:
    ipconfig /all
    tracert rt.ru
    endbatch:
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    WBR,
    Vadim

  8. #6
    Junior Member Репутация
    Регистрация
    13.06.2024
    Сообщений
    12
    Вес репутации
    1
    программа Removed Chrome Remote Desktop Host была установлена 08.05.24, я ее точно не ставила. подключение было не после загрузки, ноутбук уже работал около 5 часов
    Вложения Вложения

  9. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,714
    Вес репутации
    1065
    Так и есть, был установлен 08.05.2024 8:01:14. Если сами не делали этого, установка могла ьыть инициирована другим приложением.

    Сделайте новые логи Farbar Recovery Scan Tool, отметьте галочками также "90 Days Files".
    WBR,
    Vadim

  10. #8
    Junior Member Репутация
    Регистрация
    13.06.2024
    Сообщений
    12
    Вес репутации
    1
    новые логи - это "сканировать" или "исправить"?) если сканировать - то вот

    - - - - -Добавлено - - - - -

    Если исправить - то вот Fixlog2
    Вложения Вложения

  11. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,714
    Вес репутации
    1065
    Сканировать, и новых логов, т. е. FRST.txt, Addition.txt не вижу. Не забудьте "90 Days Files" установить..
    WBR,
    Vadim

  12. #10
    Junior Member Репутация
    Регистрация
    13.06.2024
    Сообщений
    12
    Вес репутации
    1
    Вот
    Вложения Вложения
    • Тип файла: rar FRST.rar (27.8 Кб, 1 просмотров)

  13. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,714
    Вес репутации
    1065
    Отключите временно антивирус 360 Total Security.

    Выделите и скопируйте в буфер обмена следующий код:
    Код:
    Start::
    CloseProcesses:
    File: C:\ProgramData\Uninstal.exe
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Нет файла
    FirewallRules: [{BE314F61-FA95-47BE-8B9D-8D36FD2C9DCC}] => (Allow) C:\Users\Пользователь\AppData\Roaming\DRPSu\Alice\cloud.exe => Нет файла
    CMD: sfc /scannow
    End::
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt), прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  14. Это понравилось:


  15. #12
    Junior Member Репутация
    Регистрация
    13.06.2024
    Сообщений
    12
    Вес репутации
    1
    Здравствуйте. Вот.
    Вложения Вложения

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,714
    Вес репутации
    1065
    Резюме.

    Как уже писал выше - несанкционированное подключение через Chrome Remote Desktop Host весьма сомнительно, т. к. требует взаимодействия с пользователем.

    Признаков подключения через удаленный рабочий стол Windows нет, да и соответствующая служба отключена.

    Компьютер подключен через роутер, где, как правило, по умолчанию доступ в локальную сеть отключен. К тому же, провайдер выдаёт "серый" ip адрес, недоступный из интернета, что сводит практически к нулю вероятность проникновения снаружи.

    Единственный теоретически возможный вариант взлома - могли запустить троян/бэкдор. Признаков которого сейчас я в системе не вижу. Но есть некоторое сомнение, что удалённое подключение вообще было. Запуск и выполнение команд в командной строке (чёрный экран) это не обязательно признак взлома, могло выполняться задание по расписанию системы. Но если реально двигался курсор мыши, открывались/закрывались без Вашего участия окна - это настораживает. Хотя при глюках мыши и не такое бывает.
    Вспомните поточнее дату и время иинцидента, посмотрю ещё по журналам системы, что могло произойти.
    WBR,
    Vadim

  17. Это понравилось:


  18. #14
    Junior Member Репутация
    Регистрация
    13.06.2024
    Сообщений
    12
    Вес репутации
    1
    Спасибо вам огромное!!! 12.06.24 в 20:58 по мск примерно. я просто сама запускала прогу AVZ до того как обратилась сюда за помощью. Прикрепляю отчет, может вы там что-то увидите. Я не особо не разбираюсь.
    Вложения Вложения

  19. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,714
    Вес репутации
    1065
    Это лог очень старой версии AVZ, неинформативный.

    В журналах за 11 и 12.06 вообще никаких событий нет, будто ноутбук выключен был.

    Windows 10(6.3.14393) (x64) Professional Версия: 1607 Lang: Russian(0419)
    Расширенная поддержка закончилась Внимание! Скачать обновления
    ^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
    Старая версия Windows. обновлений уже не получает, много незакрытых уязвимостей. Лучшо обновить установкой свежего билда с флэшки.

    Microsoft Office Профессиональный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
    Старый MS Office, также есть уязвимости, которые уже не будут закрыты.

    WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
    Уже писал, обновлять обязательно.
    WBR,
    Vadim

  20. Это понравилось:


  21. #16
    Junior Member Репутация
    Регистрация
    13.06.2024
    Сообщений
    12
    Вес репутации
    1
    Хорошо, еще раз спасибо вам большое за помощь!!!

  • Уважаемый(ая) Mila215, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 01.10.2015, 22:17
    2. Кто-то получил доступ к моему компьютеру
      От Kilgaden в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 01.12.2013, 23:07
    3. помощь ноутбуку
      От dima77774411 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 25.08.2013, 10:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00253 seconds with 20 queries