Перейти к содержанию
Правила раздела

Руткиты, стоит ли волноваться?

makes

Автор makes
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

makes

makes

Опубликовано
Опубликовано (изменено)

Собственно сабж.

Пишет нейтрализован, но при следующем сканировании та же картина. Прилагаю лог: 

avz_log.txt

Изменено пользователем makes

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Tofu12
      Удаление bootkit/rootkit и остальных бэкдоров
      Автор Tofu12
      Нужна информация по удалению bootkit/rootkit и в частности о том как еще прошить клавиатуру и мышку, для удаления вредоносного кода на уровне прошивки, а так же ссылки на прошивку. Результаты в гугле на эту тему нулевые почти. Есть какие нибудь физические организации которые помогаю с устранение взломанных устройств 

      клавиатура: ardor gaming wakizashi - Как ее перевести в режим прошивки 
      мышь: ardor gaming exile - Как ее перевести в режим прошивки 
      Сообщение от модератора thyrex Переехали в более подходящий раздел
    • Smolwar
      Нейтрализовать RootKit'ы не удаляемые функциями AVZ на Win10(x64)
      Автор Smolwar
      Господа! Прошу вашей помощи, и более компетентного опыта по проблеме, нежели имею я. А именно, несмотря на то, что стандартные антивирусники у меня ничего не ловят, а анти-малвары лишь периодически чекают, что умудрился цепануть, AVZ уже как год, стабильно каждый скан выдает список из перехватчиков API, работающих в UserMode: kernel32.dll user32.dll advapi32.dll ntdll.dll и т.д. и т.п., которые якобы нейтрализуются, но по факту походу...противодействуют. И вновь после резета там где были. И да, я знаю что на x64 avz не запускает свои 2-а основных сервиса "guard и pm"....Хоть, на производительность, вроде, как бы не влияет особо, но утечки своих данных, даже  пусть и "цифрового мусора" не хочется, однако. И даже своей делитантской интуицией, я чую что моя система дырая насквозь...(овер 30 sv-хостов в процессах явно не норма?!) А сегодня при попытке ручками вычистить 1-у из функций внедрившихся (новую!), словил shutdown в первые в жизни. Обделался легким испугом) Все файлы логов 4-мя разными сканерами прилагаю в ссылке. И прошу, или скрипт чтоб побороть это, или указать путь по которому рыть дальше, или помощь "пояснительной бригады" если я возможно (очень может быть) недопонимаю тонкостей, да и самой структуры методов в этих нюансах.              Логи <-тут! Или же сами txt здесь:                Буду крайне признателен за любую, даже теоретическую помощь! 
      Addition.txt avz_log.txt FRST.txt SecurityCheck.txt
    • Iam
      Ssd china
      Автор Iam
      Привет ребят, не гоните сочными тряпками. По общему описанию. Китайский зашитый бекдор, руткит в ssd goldenfir. Думаю встречались некоторые. Встраивается в ядро и железо походу. Полное зануление не помогает. Хвост - фиксит бсод. Tdss находит неподпис btha2dp.sys bthhfenum.sys Это сборка или есть название этому чуду(дальше пойду гуглить). Выкинуть в принципе не жалко. Мать прошивал по правилам. Сейчас роутер не пингуется. Так что накидывают мне по ситуации, но интересно
    • puki
      Заражение Rat
      Автор puki
      Здравствуйте, мой компьютер заражен rat(remote access trojan).
      Который выживает после переустановки операционной системы.
      Я думаю, что вирус активен перед загрузкой Windows.
       
      Симптомы:
      -закрытие процессов
      - скрыть иконки в трее
      - смена паролей
      -установка программ, даже не заметив -медленный интернет
       
      Какая информация была бы вам полезна?
       
      Извините, если есть ошибки. Но русский не мой родной язык.
      Спасибо.
    • Иван Иванов 671
      Помощь после взлома вай фай
      Автор Иван Иванов 671
      Добрый день, возникла проблема с пк. После установки впн, роутер подвергался взлому, пк сам по себе начал плохо работать, лагало интернет соединение. Как обнаружил проблему, сбросил все настройки роутера, корректно настроил и удалил программу впн. Проверял пк касперским, малварой,  но паранойя не отпускает, avz обнаружил странную активность. Так же пропал доступ к некоторым папкам.
       Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
      Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DA98->773CF710
      Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
      Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DACB->773CF740
      Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
       Анализ ntdll.dll, таблица экспорта найдена в секции .text
      Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
      Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
      Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
      Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
      Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
      Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
      Функция ntdll.dll:ZwCreateFile (1838) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
      Перехватчик ntdll.dll:ZwCreateFile (1838) нейтрализован
      Функция ntdll.dll:ZwSetInformationFile (2139) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
      Перехватчик ntdll.dll:ZwSetInformationFile (2139) нейтрализован
      Функция ntdll.dll:ZwSetValueKey (2171) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
      Перехватчик ntdll.dll:ZwSetValueKey (2171) нейтрализован
       Анализ user32.dll, таблица экспорта найдена в секции .text
      Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E1B4F0->6CDE1690
      Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
      Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E20740->6CDE19E0
      Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
       >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
      Ошибка анализа библиотеки user32.dll
       Анализ advapi32.dll, таблица экспорта найдена в секции .text
      Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D859E2->773D2110
      Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
      Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D86909->75FCC120
      Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
       Анализ ws2_32.dll, таблица экспорта найдена в секции .text
       Анализ wininet.dll, таблица экспорта найдена в секции .text
       Анализ rasapi32.dll, таблица экспорта найдена в секции .text
       Анализ urlmon.dll, таблица экспорта найдена в секции .text
       Анализ netapi32.dll, таблица экспорта найдена в секции .text
      Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF0A->6C59AA70
      Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
      Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF39->6C59ADF0
      Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован
       
      Помогите разобраться в чем дело, логи во вложении
      CollectionLog-2022.09.11-13.36.zip
×
×
  • Создать...