Здравейте да направим една контролна проверка за вируси тъй като се случи нещо странно?.

Включвам лаптопа и получавам известие , че outlook трябва да се актуализира а аз попринцип нямам спомен да съм го добавял да стартира автоматично и не е зададен като стартиращ, за това е странно освен ако уиндоуса не го е направил

Отварям пощата поглеждам нежелана поща и там има заплашителен мейл ,че пощата е хакната и че ако не изпратя крипто щели да ми хакнат всичко . Лично не съм влизал в съмнителни сайтове нито съм свалял съмнителни файлове. 
Напълно е възможно всичйо да е фалшиво , но писмото беше изпратено като от мен ,за това ако може да сканираме за всеки случай а вируса бил с име Pegusus до колкото разбрах за телефони .

Addition.txt FRST.txt

Чист спам. Получавах го постоянно. Като видяха,че не се хващам и всичко спря! Даже го получавах и на български.

Не е като да няма какво да се чисти... Изчакай някой от екипа да ти напише фикс.

преди 12 часа, Емил Костов написа:

Чист спам. Получавах го постоянно. Като видяха,че не се хващам и всичко спря! Даже го получавах и на български.

Как тъй спряха? За тях няма спирка,постоянно пращат и който се хване.

Привет.

Извинявам се, но съм забравил да пиша. Аз още тогава прегледах лог файловете и не открих зловредни елементи. Излишни остатъци да, но активни зловредни не.

Все пак ако искате пуснете нови лог файлове и ще ги прегледам отново.

Поздрави!

на 20.07.2024 г. в 20:42, B-boy/StyLe/ написа:

Все пак ако искате пуснете нови лог файлове и ще ги прегледам отново.

Поздрави!

Пуснах и един malwareBytes там намери някакви backdoor.agent i trojan.stolendata а папките където са били са съмнителни понеже са съставени от букви и цифри . CCleaner ще свърши ли работа ?

Addition.txt FRST.txt Malwarebytes Scan Report 2024-07-16 155402.txt

Здрайвете,

По-късно ще проверя лог файловете. Това, което е намерено не се видя в логовете на FRST предишния път, защото са неактивни остатъци (или поне записи без loading points). Лошото е, че гадината може или да се е самоизтрила или антивирусната ви да я премахнала, но тя може да си е свършила вече работата и да е пратила данните ви до C&C контролен сървър. Затова е желателно да смените паролите си. А като огледам после лог файловете и ако се налага ново чистене, после ще ги смените и още веднъж ако се наложи. Но за мен системата продължава да е чиста, защото освен тези 2 остатъка - останалите неща са потенциално нежелано приложение (за utorrent е нормално да го засичат), както и активатора ви за Windows. Та, не мисля, че става въпрос за наличие на активен зловреден софтуер на този етап, но ще кажа после със сигурност като проверя лог файловете обстойно.

Поздрави!

С тази система съм от началото на годината някъде, реално антивирусна не ползвам освен вградения дефендър на Windows. Нямам спомен да е засичал нещо нетипично а може и точно тези да не ги засича. Като цяло при една предишна кражба на пароли освен смяна добавих, и двуфакторна защита на всички важни сайтове. Така мисля, че и да имат парола няма как да влязат в сайтовете (поне така мисля аз защото след време се отказаха да опитват), но все пак ако трябва ще направя контолна смяна на паролите. 

Не надценявайте двуфакторната оторизация. В смисъл тя помага определено, но не е панацея. И зависи каква е тя. Ако е с SMS или e-mail е по-слаба една идея (защото не е невъзможно да се направи SIM SWAP attack или cookies hijacking attack). Но да, по-добре с 2FA, отколкото с без. Засега сякаш най-добре са приложенията като Google Authenticator (но не всеки сайт го поддържа).

Иначе има и услуги като:

https://haveibeenpwned.com/

Съжалявам за снощи, но бачкам по един проект и бях скапан. Ще се опитам днес да се включа и да прегледам логовете.

Най-после стигнах до логовете (свърших с проекта пфууу). Извинявам се за забавянето, но в момента явно съм сам в раздела (колегите явно и те са заети) и така.

Като хапна ще пиша.

Привет отново.

Прегледах лог файловете. Не видях зловреден софтуер, а само безобидни остатъци.

Следните 2 обекта няма да ги включа за триене:

C:\Users\Aspire 7\AppData\Roaming\K.J_121026.exe => кофти активатор. Аз бих го заменил с по-читав ако не можете да си позволите лиценз (дори тези от сивата зона, които са по няколко долара са за предпочитане от актоватори, но ако ще се ползват такива поне използвайте читави и чисти).

R3 ThrottleStop; C:\Users\Aspire 7\AppData\Local\Temp\ThrottleStop.sys [50216 2024-07-16] (TechPowerUp LLC -> ) <==== ATTENTION

Това не е за триене. Засича се, защото стартира от папката с временно съдържание.

 

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe.

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - Fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Прикачете лог файла Fixlog.txt в следващия си коментар.

Поздрави!

Здрасти изпълних фикса.

Fixlog.txt

Изглежда наред. Мисля си обаче, че Malwarebytes, която е активната в момента:

AV: Malwarebytes (Enabled - Up to date) {0D452135-A081-B000-D6B6-132E52638543}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

е попречила на активирането на Windows Defender-a.

HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION

HKLM\SOFTWARE\Microsoft\Windows Defender\\DisableAntiSpyware => Error setting value.
HKLM\SOFTWARE\Microsoft\Windows Defender\\DisableAntiVirus => Error setting value.

Моята препоръка е да спрете защитата в реално време на Malwarebytes и да си я оставите само като второстепенен скенер, а Windows Defender-a да ви е програмата от първа линия.

Но това вече си е ваш избор разбира се. Ако ще оставите WD, тя най-лесно се конфигурира с инструменти като:

https://www.defenderui.com/

или

https://github.com/AndyFul/ConfigureDefender

Виждам, че имате и AppCheck, което е чудесно допълнение към Windows Defender. Може да се замислите и за Windows Firewall Control за да извлечете максимума от вградената стена:

https://www.binisoft.org/wfc

И разбира се, навика за създаване на бекъп на важните документи поне веднъж седмично (и Image на системния дял) с програми като Macrium Reflect Free, Aomei Backkuper или Hasleo.

https://www.kaldata.com/софтуер/macrium-reflect-free-93304.html

https://www.kaldata.com/софтуер/aomei-backupper-standard-92866.html

https://www.kaldata.com/forums/topic/321425-hasleo-backup-suite-free/

 

Можете да деинсталирате FRST по следния начин:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

     =>    

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_2.17.exe и изберете Run as administrator. 
• Когато инструментът се отвори сложете всички отметки без тази пред "Delete in 7 days" и натиснете бутона Run.

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

Поздрави!

 

на 28.07.2024 г. в 14:48, B-boy/StyLe/ написа:

В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

# Run at 29.7.2024 'г.' 16:17:35
# KpRm (Kernel-panik) version 2.17.0
# Website https://kernel-panik.me/tool/kprm/
# Run by Aspire 7 from C:\Users\Aspire 7\Downloads
# Computer Name: DESKTOP-3EL2C8Q
# OS: Windows 10 X64 (19045) (10.0.19045.4651) 
# Number of passes: 1

- Checked options -

    ~ Registry Backup
    ~ Delete Tools
    ~ Restore System Settings
    ~ UAC Restore
    ~ Delete Restore Points
    ~ Create Restore Point
    ~ Delete Quarantines

- Create Registry Backup -

   ~ [OK] Hive C:\Windows\System32\config\SOFTWARE backed up
   ~ [OK] Hive C:\Users\Aspire 7\NTUSER.dat backed up

     [OK] Registry Backup: C:\KPRM\backup\2024-07-29-16-17-35

- Delete Tools -

  ## AdwCleaner
     [OK] C:\AdwCleaner deleted

  ## CrystalDiskInfo (portable)
     [OK] C:\Users\Aspire 7\Downloads\CrystalDiskInfo9_1_1 deleted

- Restore System Settings -

     [OK] Reset WinSock
     [OK] FLUSHDNS
     [OK] Hide Hidden file.
     [OK] Show Extensions for known file types
     [OK] Hide protected operating system files

- Restore UAC -

     [OK] Set EnableLUA with default (1) value
     [OK] Set ConsentPromptBehaviorAdmin with default (5) value
     [OK] Set ConsentPromptBehaviorUser with default (3) value
     [OK] Set EnableInstallerDetection with default (0) value
     [OK] Set EnableSecureUIAPaths with default (1) value
     [OK] Set EnableUIADesktopToggle with default (0) value
     [OK] Set EnableVirtualization with default (1) value
     [OK] Set FilterAdministratorToken with default (0) value
     [OK] Set PromptOnSecureDesktop with default (1) value
     [OK] Set ValidateAdminCodeSignatures with default (0) value

- Clear Restore Points -

   ~ [OK] RP named paint.net 5.0.13 created at 07/16/2024 13:20:59 deleted
     [OK] All system restore points have been successfully deleted

- Create Restore Point -

     [OK] System Restore Point created

- Display System Restore Point -

   ~ [I] RP named KpRm created at 07/29/2024 13:17:45

-- KPRM finished in 20.67s --

 

Ами май сме готови. Забелязах обаче, че KPRM е изтрил CrystalDiskInfo. Ще споделя с автора като се върне от лятна ваканция (че в момента е в такава) дали това е преднамерено или бъг. Защото инструмента обикновено трие само почистващи тулчета. Та можете да си го изтеглите отново:

## CrystalDiskInfo (portable)
     [OK] C:\Users\Aspire 7\Downloads\CrystalDiskInfo9_1_1 deleted