Помощь после взлома вай фай

[Иван Иванов 671]

Добрый день, возникла проблема с пк. После установки впн, роутер подвергался взлому, пк сам по себе начал плохо работать, лагало интернет соединение. Как обнаружил проблему, сбросил все настройки роутера, корректно настроил и удалил программу впн. Проверял пк касперским, малварой,  но паранойя не отпускает, avz обнаружил странную активность. Так же пропал доступ к некоторым папкам.
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DA98->773CF710
Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DACB->773CF740
Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
Функция ntdll.dll:ZwCreateFile (1838) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
Перехватчик ntdll.dll:ZwCreateFile (1838) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2139) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
Перехватчик ntdll.dll:ZwSetInformationFile (2139) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2171) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
Перехватчик ntdll.dll:ZwSetValueKey (2171) нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E1B4F0->6CDE1690
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E20740->6CDE19E0
Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D859E2->773D2110
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D86909->75FCC120
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF0A->6C59AA70
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF39->6C59ADF0
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован

 

Помогите разобраться в чем дело, логи во вложении

CollectionLog-2022.09.11-13.36.zip

[Sandor]

Здравствуйте!

 

Явных признаков заражения не видно. Перехватчики могут быть как вредными, так и полезными. В вашем случае - второе.

Видны следы бывшей установки Avast. Очистите следующим способом:

1. Скачайте утилиту aswclear.exe и сохраните ее на Вашем Рабочем столе;
2. Перезагрузите компьютер в безопасном режиме;
3. Запустите утилиту на выполнение;
4. Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. (Внимание: Содержимое данной папки будет полностью удалено!)
5. Нажмите REMOVE
6. Перезагрузите компьютер в нормальный режим

Можно воспользоваться несколькими советами с сайта Avast.

 

Затем:

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Иван Иванов 671]

Доброе, аваст ранее уже удалил данной программой, странно то что остались ее следы.
Логи во вложении

ClearLNK-2022.09.12_09.20.41.log Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  Task: {50EA41B2-3A65-4AA7-A696-D3D31CEEE854} - System32\Tasks\Avast Software\Avast Cleanup BugReport => C:\Program Files\Avast Software\Cleanup\AvBugReport.exe -> --send "dumps|report" --silent --product 62 --programpath "C:\Program Files\Avast Software\Cleanup\Setup\.." --configpath "C:\Program Files\Avast Software\Cleanup\Setup" --path "C:\ProgramData\Avast Software\Cleanup\log" --path "C:\ProgramData\Avast Software\Icarus\Logs" --guid ec62ef60-7f83-4bed-9446-df8e8aa10f08
  Task: {5117F792-9ED0-4112-9785-10959A0E5C8A} - System32\Tasks\Avast Software\Avast Cleanup Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-tu\icarus.exe /update:avast-tu /silent (Нет файла)
  Task: {57629BEB-AAC1-4709-AFD8-2DDF9A8BFB5B} - System32\Tasks\Avast Software\Avast SecureLine VPN Bug Report => C:\Program Files\Avast Software\SecureLine VPN\AvBugReport.exe -> --send "dumps|report" --silent --product 11 --programpath "C:\Program Files\Avast Software\SecureLine VPN" --configpath "C:\ProgramData\Avast Software\SecureLine VPN" --path "C:\ProgramData\Avast Software\SecureLine VPN\log" --path "C:\ProgramData\Avast Software\Icarus\Logs" --logpath "C:\ProgramData\Avast Software\SecureLine VPN\log" --guid e785f856-7998-4948-91bc-0618468cec5f
  Task: {5EB34BBB-45D8-4568-9CC1-498838E0BF01} - System32\Tasks\Avast Software\Avast Driver Updater Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-du\icarus.exe /update:avast-du /silent (Нет файла)
  Task: {8ADE85AD-4115-452C-ACAE-2238723683FF} - System32\Tasks\Avast Software\Avast SecureLine VPN Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-vpn\icarus.exe /update:avast-vpn /silent (Нет файла)
  Task: {9DE2658B-D3A7-47E9-BE74-959C0641404E} - System32\Tasks\Avast SecureLine VPN Update => C:\Program Files\Avast Software\SecureLine VPN\VpnUpdate.exe (Нет файла)
  Task: {AA657CE7-DBFC-4DFC-900C-6B1B2B338F33} - System32\Tasks\Avast Emergency Update => C:\Program Files\Avast Software\Avast\AvEmUpdate.exe (Нет файла)
  Task: {B1627114-6CCF-4C52-AD84-B83B2639BD79} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2250576 2022-09-08] (Avast Software s.r.o. -> Avast Software)
  Task: {BEB83D3E-D043-4038-A551-D616F60FFE20} - System32\Tasks\Avast Software\Avast Driver Updater BugReport => C:\Program Files\Avast Software\Driver Updater\AvBugReport.exe -> --send "dumps|report" --silent --product 148 --programpath "C:\Program Files\Avast Software\Driver Updater\Setup\.." --configpath "C:\Program Files\Avast Software\Driver Updater\Setup" --path "C:\ProgramData\Avast Software\Driver Updater\log" --path "C:\ProgramData\Avast Software\Icarus\Logs" --guid f00daba4-39ea-4a3d-93bc-403b857ab81d
  2022-09-08 13:12 - 2022-09-11 12:30 - 000004028 _____ C:\WINDOWS\system32\Tasks\Avast SecureLine VPN Update
  2022-09-08 13:11 - 2022-09-08 13:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
  2022-09-08 13:10 - 2022-09-11 13:31 - 000000000 ____D C:\Program Files\Common Files\Avast Software
  2022-09-08 13:10 - 2022-09-08 18:38 - 000004264 _____ C:\WINDOWS\system32\Tasks\Avast Emergency Update
  2022-09-08 13:09 - 2022-09-11 13:31 - 000000000 ____D C:\ProgramData\Avast Software
  S3 hitmanpro37; C:\WINDOWS\system32\drivers\hitmanpro37.sys [40960 2022-09-08] (Microsoft Windows Hardware Compatibility Publisher -> )
  2022-09-08 16:28 - 2022-07-25 09:53 - 000040960 _____ C:\WINDOWS\system32\Drivers\hitmanpro37.sys
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:48B2E43EA0 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk:4E42ED6D31 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4298]
  Hosts:
  FirewallRules: [{012F97F7-E235-487B-B837-AADFFA6DD423}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe => Нет файла
  FirewallRules: [{3770432A-64CD-46AF-9E38-EE36C858CAF9}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Иван Иванов 671]

Выполнено 

Fixlog.txt

[Sandor]

Как себя ведёт система сейчас?

[Иван Иванов 671]

Вроде бы все хорошо, но почему-то сетевой адаптер и мышь переодически не включаются при запуске. Помогает только физическое извлечение  юсб или отключение/включение в диспетчере устройств

Изменено 12 сентября, 2022 пользователем Иван Иванов 671

[Sandor]

Об этом посоветуйтесь в соседнем разделе, указав там ссылку на эту тему.

 

Тут в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Иван Иванов 671]

Спасибо за помощь!

SecurityCheck.txt

[Sandor]

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.10.4 (5035) Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Spotify v.1.1.81.604.gccacfc8c Внимание! Скачать обновления
 

По возможности исправьте указанное.

Читайте Рекомендации после удаления вредоносного ПО