Перейти к содержанию
Правила раздела

Руткиты, стоит ли волноваться?

makes

Автор makes,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

makes

makes 0

Опубликовано
Опубликовано (изменено)

Собственно сабж.

Пишет нейтрализован, но при следующем сканировании та же картина. Прилагаю лог: 

avz_log.txt

Изменено пользователем makes
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Smolwar
      Нейтрализовать RootKit'ы не удаляемые функциями AVZ на Win10(x64)
      От Smolwar
      Господа! Прошу вашей помощи, и более компетентного опыта по проблеме, нежели имею я. А именно, несмотря на то, что стандартные антивирусники у меня ничего не ловят, а анти-малвары лишь периодически чекают, что умудрился цепануть, AVZ уже как год, стабильно каждый скан выдает список из перехватчиков API, работающих в UserMode: kernel32.dll user32.dll advapi32.dll ntdll.dll и т.д. и т.п., которые якобы нейтрализуются, но по факту походу...противодействуют. И вновь после резета там где были. И да, я знаю что на x64 avz не запускает свои 2-а основных сервиса "guard и pm"....Хоть, на производительность, вроде, как бы не влияет особо, но утечки своих данных, даже  пусть и "цифрового мусора" не хочется, однако. И даже своей делитантской интуицией, я чую что моя система дырая насквозь...(овер 30 sv-хостов в процессах явно не норма?!) А сегодня при попытке ручками вычистить 1-у из функций внедрившихся (новую!), словил shutdown в первые в жизни. Обделался легким испугом) Все файлы логов 4-мя разными сканерами прилагаю в ссылке. И прошу, или скрипт чтоб побороть это, или указать путь по которому рыть дальше, или помощь "пояснительной бригады" если я возможно (очень может быть) недопонимаю тонкостей, да и самой структуры методов в этих нюансах.              Логи <-тут! Или же сами txt здесь:                Буду крайне признателен за любую, даже теоретическую помощь! 
      Addition.txt avz_log.txt FRST.txt SecurityCheck.txt
    • Iam
      Ssd china
      От Iam
      Привет ребят, не гоните сочными тряпками. По общему описанию. Китайский зашитый бекдор, руткит в ssd goldenfir. Думаю встречались некоторые. Встраивается в ядро и железо походу. Полное зануление не помогает. Хвост - фиксит бсод. Tdss находит неподпис btha2dp.sys bthhfenum.sys Это сборка или есть название этому чуду(дальше пойду гуглить). Выкинуть в принципе не жалко. Мать прошивал по правилам. Сейчас роутер не пингуется. Так что накидывают мне по ситуации, но интересно
    • puki
      Заражение Rat
      От puki
      Здравствуйте, мой компьютер заражен rat(remote access trojan).
      Который выживает после переустановки операционной системы.
      Я думаю, что вирус активен перед загрузкой Windows.
       
      Симптомы:
      -закрытие процессов
      - скрыть иконки в трее
      - смена паролей
      -установка программ, даже не заметив -медленный интернет
       
      Какая информация была бы вам полезна?
       
      Извините, если есть ошибки. Но русский не мой родной язык.
      Спасибо.
    • Иван Иванов 671
      Помощь после взлома вай фай
      От Иван Иванов 671
      Добрый день, возникла проблема с пк. После установки впн, роутер подвергался взлому, пк сам по себе начал плохо работать, лагало интернет соединение. Как обнаружил проблему, сбросил все настройки роутера, корректно настроил и удалил программу впн. Проверял пк касперским, малварой,  но паранойя не отпускает, avz обнаружил странную активность. Так же пропал доступ к некоторым папкам.
       Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
      Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DA98->773CF710
      Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
      Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DACB->773CF740
      Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
       Анализ ntdll.dll, таблица экспорта найдена в секции .text
      Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
      Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
      Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
      Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
      Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
      Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
      Функция ntdll.dll:ZwCreateFile (1838) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
      Перехватчик ntdll.dll:ZwCreateFile (1838) нейтрализован
      Функция ntdll.dll:ZwSetInformationFile (2139) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
      Перехватчик ntdll.dll:ZwSetInformationFile (2139) нейтрализован
      Функция ntdll.dll:ZwSetValueKey (2171) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
      Перехватчик ntdll.dll:ZwSetValueKey (2171) нейтрализован
       Анализ user32.dll, таблица экспорта найдена в секции .text
      Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E1B4F0->6CDE1690
      Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
      Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E20740->6CDE19E0
      Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
       >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
      Ошибка анализа библиотеки user32.dll
       Анализ advapi32.dll, таблица экспорта найдена в секции .text
      Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D859E2->773D2110
      Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
      Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D86909->75FCC120
      Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
       Анализ ws2_32.dll, таблица экспорта найдена в секции .text
       Анализ wininet.dll, таблица экспорта найдена в секции .text
       Анализ rasapi32.dll, таблица экспорта найдена в секции .text
       Анализ urlmon.dll, таблица экспорта найдена в секции .text
       Анализ netapi32.dll, таблица экспорта найдена в секции .text
      Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF0A->6C59AA70
      Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
      Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF39->6C59ADF0
      Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован
       
      Помогите разобраться в чем дело, логи во вложении
      CollectionLog-2022.09.11-13.36.zip
    • raff77
      не уст. обновления, меню пуск не открывается
      От raff77
      не удается установить обновления, в событиях windows много ошибок.
      меню пуск не открывается .
      не удается установить компонент internet explorer 11 
      не удается установить надстройку с доверенного сайта.
      в avz подозрения на rootkit'ы, которые не устраняются.
      guard32.dll возможно это comodo antivirus.
      по возможности прошу оказать содействие.
      если повреждено много системных файлов, попробую восстанавливать вручную сам.
      CollectionLog-2022.05.28-19.52.zip
×
×
  • Создать...