Как-то ставят удалено софт на пк — как узнать через что и как?

Question

[herdmerd]

Добрый день - узнал об этом через ccleaner

ccleaner - tools - startup - context menu

эти два в регистре я так понял

1) enabled - yes key - directory program - открыть окно powershell publisher - file - powershell.exe -noexit -command set-location -literalpath '%v'
2)enabled - yes key - drive program - открыть окно powershell publisher - file - powershell.exe -noexit -command set-location -literalpath '%v'

ccleaner - tools - startup - windows services

1)enabled - no key - service program - openssh authentication agent publisher - file - c:/windows/system32/openSSH/ssh-agent.exe

у остальных файлов вроде бы все норм во всех разделах startup - там publisher nvidia google microsoft malwarebytes

вроде как даже переустановка винды не помогает - однажды смог вручную убрать первые два пункта через регистр там вроде ошибка была но как-то смог поставить себя как владельцем админ правами и удалил подпапку и папку перед ней у первого и второго - но потом появляется снова - антивирусы почему-то это все не обнаруживают dr web cureit malewarebytes

вот хотел узнать может кто сталкивался с таким или может помочь

ну и оч много мыслей в слух что нашел советы какие и вообще откуда может быть - так же тут пишу чтобы не заспамить ответы своими ответами - и буду тут писать когда кто-то пишет последними пунктами - да и пишу по пунктам чтобы если что проще было ответить если кто-то знает что-то по какому-то пункту

1)советуют закрыть порты роутера - тут я не шарю обычный роутер мтс даже в личный кабинет не заходил ниразу
2)советуют антивирус или что это clamAV
3)возможно через файлы какие-то
4)может ли быть если просто проги в папке лежат программы и я даже их не запускаю после переустановки винды - могут ли они что-то делать даже если их не трогать?
5)возможно роутер и что-то нужно сделать но я вообще не шарю как - роутер написал выше какой
6)антивирусы не видят и не обнаруживают ничего - ставил cureit malwarebytes и они не видят почему-то и не делают с этим хотя по идее должны ибо даже если я вижу это через ccleaner
7)я так понимаю человек видит куда я захожу и к примеру на твиче бегает за мной по трансляциям ну и на ютубе и проч - короче где может как-то показать себя - допустим в чате - однажды я написал другу по этому поводу и в чате чел начал спамить в таком духе кучу сообщений сразу же "вафаыфыафы" - вообщем чел преследует меня где только можно а может и не только он
8)из-за этого возможно так же грешу на расширения в хроме - adblock / betterttv / sth(steam inventory helper)
9)я уже не особо парюсь писать выше все это ибо чел видимо давно итак все на компе видел а мож и не тока он
10)если ccleaner тоже вредоностное по и малварь - то как мне удалять эти строки при автозапуске тогда ибо без него я о них не узню - запомнить папки расположения в регедит регистре и без ccleanera туда все время залазить и чекать и если они опять повяляются удалять?
11)так же вот по-поводу ssh-agent.exe - он не удаляется прав нет - но если я смогу опять как-то сделать права и удалить экзешник - решит ли это проблему с openssh authentication agent или екзешник вообще никак не повлияет хоть есть он хоть нет?
12)вот планировщик задач

spoiler

13)вот еще в просмотр событий - журнал приложений и служб - microsoft - windows - terminalservices-localsessionmanager - operational

spoiler

spoiler

spoiler

Comments

[Сергей delphinpro]

Начните вести себя прилично в сети - будьте сдержаны, вежливы и тактичны с собеседниками, и тогда через пару дней, максимум недельку, паранойя пройдёт.

[herdmerd]

вот нашел в другой теме ниже после абзаца - может мне попробовать переустановить винду и в таком духе сделать - а и кстати разве брендмауэр по стандарту изначально после установки винды не включен и не работает или что там включать надо? да отчасти я написал это дабы немного нового узнать и немножко просвятиться в этой теме - оно меня не напрягает скорее а просто интересно как устроено и что как делать можно - короче ради знаний каких-то новых - ну и отчасти для других людей ибо видел много таких тем у кого такого же рода проблема была - может кому поможет ибо особо эта проблема не гуглится

Переутановить винду на чистую
Включить встроенный антивирус и брендмауэр
Написать список софта который Вы ставите

Проверить роутер на пердмет удаленного доступа - мож там ВПН работает о него или типа того. Роутер чей? (как вариант сделать сброс роутера)

Ну и на самом деле после переустановки винды, врят ли кто то залезет, если только Вы не ставите какой то софт для удаленки

[Drno]

ну это я писал.. такому же параноику.. ))

судя по ccleaner dcвсё у тебя норм в системе.... а то что за тобой в игре кто то бегает - так это фигня

с чего ты вообще взял что за тобой кто то бегает по трансляции? или имеется ввиду что ты смотришь трансляцию твитч - и кто то переключается вслед за тобой по трансляциям?
попробуй посмотреть их в режиме "инкогнито" браузера и скажи результаты...
но как по мне - тебя тупо прикалывает кто то, находящийся с тобой в одной комнате)

[herdmerd]

Drno, даа в одной комнате ага - ну логично если я пишу другу в личку что смори чел рофлит типо и как-то видит куда я перехожу - и чел резко начинает спамить в чате стрима - знач он получается не тока твич видит но и личные переписки ибо мгновенно активизировался после того как я описал что заметил чела

не знаю там у чела такая же проблема - но интересно найдется ли решение все же - действительно хотелось бы такой микро гайд для неопытных людей кто сталкнулся с такого рода проблемой чтобы они не паниковали и не развивали там свои псих болезни а спокойно натыкались на решение - ну либо если решения не найдется пускай хотя бы почитают и знают что это не их фантазия а такое действительно бывает и имеет место быть - ну и возможные пункты из-за чего такое может быть

[Drno]

herdmerd, так как дать решения - если нет проблемы. Если Вы поставили чистую винду - ничего там нет внутри. никаких удаленных доступов.
Вас или троллят или друг сливает куда Вы идёте.. вот и всё

[herdmerd]

Drno, это был единственный раз когда я с другом поделился этим - обычно мне как-то пофиг но любопытство гложит - чувака хотел спросить в чате но он наврятли ответит мне через что он мониторит - да даже если и скажет по рофлу я наврятли что-то с этой инфой смогу сделать ибо не шарю)

[Drno]

herdmerd, давайте еще раз.
Вы переустановили винду. Если ничего левого Вы не ставили - никто к Вам залезть не может, только через окно))) ну или имея физический доступ к ПК...
Тем более Вы через мобильный инет сидите. Ну нет тут вариантов...

[herdmerd]

Drno, не мобильный интернет - а роутер от мтс - поэтому вариант еще роутер - в темке прошлой советовали порты закрывать - а как это сделать и какие закрывать и как не знаю

[Drno]

herdmerd,
у меня МТС ассоциируется только с мобильными... ибо в зравом уме подключаться к нему дома - такое себе))) разве что нет нормальных провайдеров других
если Вы не лазили в роутер - они уже закрыты. обычно так от провайдера идет оборудование

[herdmerd]

Сергей delphinpro, да никому ниче такого и не делаю - так то можно к каждому так прицепиться лиж бы повод был - тут скорее человек это делает от скуки дабы повеселиться и я это понимаю отчасти - но для людей которые сильно беспокоятся должна быть такая темка и чтобы она легко гуглилась

[Сергей delphinpro]

herdmerd, Я имел ввиду, что вам показалось

[herdmerd]

Сергей delphinpro, не показалось - ну в любом случае ничего такого - человеку скучно себя развлечь не может сам видимо просто

[herdmerd]

Irven76 , кстати как сюда присумонить - у человека похожая проблема но он не знал как искать откуда могло возникнуть

Answer 1

[Василий Банников]

Добрый день - узнал об этом через ccleaner

Ну для начала нужно удалить ccleaner - это тот ещё малварь.

Обе записи что про powershell, что про OpenSSH выглядят нормально. Но данных не достаточно - приложи сюда скрин из планировщика задач/автозапуска со всеми опциями.

антивирусы почему-то это все не обнаруживают

Потому что это и не вирусы вовсе.

Comments

[herdmerd]

буду отвечать выше через пункты чтобы не заспамить тут - в 12 скрин приложил

[Василий Банников]

herdmerd, всё что начинается на Nv - это nvidia насоздавала. Это можно спокойно удалить.

11)так же вот по-поводу ssh-agent.exe - он не удаляется прав нет - но если я смогу опять как-то сделать права и удалить экзешник - решит ли это проблему с openssh authentication agent или екзешник вообще никак не повлияет хоть есть он хоть нет?

За ssh-аутентификацию именно ssh-agent и отвечает. Без него сломается.

[herdmerd]

Василий Банников, благодарю - а по-поводу того что человек везде следует в чатах и не только - все же это скорее всего расширения эти в хроме из 8 пункта или возможна эта удаленка ssh или рмтшник какой-то - хотя может ssh это и есть рмт по своим функциям? что вообще вероятнее из этого может быть - мне просто даже интересно скорее узнать как это работает и за счет чего из этого человек такое может - было бы забавно еслиб он из-за расширений выше описаных делает такое

[Василий Банников]

herdmerd,

а по-поводу того что человек везде следует в чатах и не только

Если во время стрима - это не обязательно преследования.
Если в чате - вполне может просто клавиатура барахлит.

Answer 2

[kalapanga]

Пока (включая пункт 12) не видно ничего криминального. Совсем.
Что касается ccleaner-а, то не так страшна эта программа, как её пользователи! :)
Кто хорошо понимает, что и как она делает, тот и без неё обойтись может. А кто не понимает, тому лучше ей не пользоваться. Удалите её - спокойнее будет.

Comments

[herdmerd]

kalapanga, а что в этой программе опасного если не уметь - в неправильных руках она как малварь работает и вредит? она предложила подчистить реестр и что-то в пк я просто нажал щас и вроде ничего не произошло плохого - ну в любом случае я ее 3 или 4 раз ставлю чисто посмотреть startup поподробнее и все после удаляю - а malwarebytes или drweb cureit безопасны и их можно ставить обычн пользователю?

[Drno]

herdmerd, startup по другому легко смотрится, а сломать ccleaner систему можно запросто

лично я считаю malwarebytes если не вирусом, то гамном еще тем

drweb cureit - нормик

[kalapanga]

herdmerd, в принципе, без всех этих "чисток", "починок реестра" и т.п. можно вполне обойтись. А вот все ли пользователи создают резервную копию перед внесением изменений? Здесь регулярно появляются вопросы типа запустил CCleaner, теперь не работает это. Справедливости ради добавлю, у меня никогда никаких проблем от CCleaner не было.
И ещё один общий момент. В основном касающийся бесплатных программ, но и с платными тоже такое бывает. Многие программы начинают как добротные, компактные, полезные утилиты. Я сам тройкой этого производителя - CCleaner, Recuva и Speccy часто пользовался. Но постепенно (иногда со сменой владельцев) превращаются в какие-то комбайны-монстры, с кучей навязываемой рекламы чего попало, сомнительными функциями, и т.п. Лично у меня в этом случае доверие к таким программам начинает падать. Тот же Malwarebytes Antimalware в своё время очень неплохо отстреливал всякую дрянь, но сейчас - ну его нафиг!
CureIT - программа немного другого плана. Она хотя бы работает без установки. Скачали, проверились, забыли. Вполне годно. Опять же если у Вас нет паранои на счёт собираемых программой сведений :)

[herdmerd]

kalapanga, да особо нет паранои и не прям сильно беспокоит - но думаю все же кому-то будет полезно - вдруг кого-то такое беспокоит и вот у человека действительно развивается паранойя - вот пусть некоторые узнают что такое имеет место быть

[Вадим]

CCleaner в своё время чисткой реестра ломал запуск AutoCAD.
Была с ним нехорошая история.
Ну и...
Хотя сам им пользуюсь иногда, с CCEnhancer.