8 ответов в этой теме

[eterlity]

Здравствуйте.  https://drive.google.com/file/d/1DFUxXmdYb9riOjUFtN1BqbrcvCwAUG3Z/view?usp=sharing

Подозреваю, что на устройстве (ноутбук) есть вирус - позавчера была ошибка 403 на https://ua.store.asus.com/20660-cnf.html, на телефонах открывалась нормально. В безопасности виндовс заметил, что "защита от подделки" была отключена и сверху надпись "этим параметром управляет ваш администратор", еще был включен удаленный рабочий стол, который я не включал (по умолчанию он же выключен должен быть?)

https://imgur.com/a/gpKgeQL https://imgur.com/a/pCprSvW

, из программ только myasus и разер синапс, винда с офф сайта, чистая установка
И еще вот, asusl2502 и alina мои имена компьютера:

https://imgur.com/a/4t1cdAc

. Через время сам включил удаленный рабочий стол, в "просмотре событий" заметил следующее

https://imgur.com/a/WJFtkGh

Это почти 100% вирусы?  Заранее благодарю за помощь

Прикрепленные файлы:

•  cureit.7z   3,23Мб   0 Скачано раз

[Dr.Robot]

1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,

Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.

2. Если у Вас зашифрованы файлы,

Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.

Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.

Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];

[Dmitry_rus]

Учетную запись гостя обычно отключают (и не включают без необходимости), равно как и удаленный помощник с удаленным раб. столом. Это азы безопасности.

[eterlity]

Учетную запись гостя обычно отключают (и не включают без необходимости), равно как и удаленный помощник с удаленным раб. столом. Это азы безопасности.

Спасибо за ответ. Она и была отключена (по умолчанию), я в настройках виндовс ничего не менял, кроме, может быть, выключение удаленного помощника (по умолчанию он включен). Удаленный рабочий стол ведь по умолчанию тоже выключен должен быть...

 

А насчет моего вопроса - заражен ли пк? Сама по себе винда не могла включить удаленный рабочий стол и выключить защиту от подделки

[Dmitry_rus]

На 1-й взгляд симптомов заражения не видно. Понаблюдайте еще, если есть подозрения.

[eterlity]

На 1-й взгляд симптомов заражения не видно. Понаблюдайте еще, если есть подозрения.

Добрый вечер. Вчера заметил уведомление, что "интеллектуальное управление приложениями" заблокировало "wmic.exe". Сегодня при запуске виндовс появилась следующая ошибка  https://imgur.com/a/U0ToJcc. И еще после повторной переустановки винды на долю секунды открылась командная строка.

 

Можно ли как-то задетектить badusb?

Не знаю, нормально ли, что мышь отображается как 4 отдельных устройства в биосе асус и как 2 клавиатуры в диспетчере устройств (мышь razer basilisk v3).

 

 

 

 

 

Уже был когда-то давно случай проникновения в квартиру и использования badusb, и последующее преследование...

Сообщение было изменено eterlity: 22 Июль 2023 - 18:53

[VVS]

 

На 1-й взгляд симптомов заражения не видно. Понаблюдайте еще, если есть подозрения.

Добрый вечер. Вчера заметил уведомление, что "интеллектуальное управление приложениями" заблокировало "wmic.exe". Сегодня при запуске виндовс появилась следующая ошибка  https://imgur.com/a/U0ToJcc.

 

Скорее всего Вы поменяли конфигурацию железа во время хибернейта или у Вас проблемы с диском C:
 

И еще после повторной переустановки винды на долю секунды открылась командная строка.
 
Можно ли как-то задетектить badusb?
Не знаю, нормально ли, что мышь отображается как 4 отдельных устройства в биосе асус и как 2 клавиатуры в диспетчере устройств (мышь razer basilisk v3).

Вполне может быть.

[Konstantin Yudin]

защиту от badusb можно включить в настройках защиты устройств.

[eterlity]

Всех благодарю за помощь. Еще из "странностей": была отключена целостность памяти вчера и сегодня заметил, что каждые 5 мин ноутбук выходил из спящего режима (мышь и клавиатуру в это время я не трогал) https://imgur.com/a/01KKCdp

Сообщение было изменено eterlity: 25 Июль 2023 - 22:55