Перейти к содержанию

Помощь после взлома вай фай


Иван Иванов 671

Рекомендуемые сообщения

Добрый день, возникла проблема с пк. После установки впн, роутер подвергался взлому, пк сам по себе начал плохо работать, лагало интернет соединение. Как обнаружил проблему, сбросил все настройки роутера, корректно настроил и удалил программу впн. Проверял пк касперским, малварой,  но паранойя не отпускает, avz обнаружил странную активность. Так же пропал доступ к некоторым папкам.
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DA98->773CF710
Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DACB->773CF740
Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
Функция ntdll.dll:ZwCreateFile (1838) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
Перехватчик ntdll.dll:ZwCreateFile (1838) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2139) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
Перехватчик ntdll.dll:ZwSetInformationFile (2139) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2171) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
Перехватчик ntdll.dll:ZwSetValueKey (2171) нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E1B4F0->6CDE1690
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E20740->6CDE19E0
Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D859E2->773D2110
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D86909->75FCC120
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF0A->6C59AA70
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF39->6C59ADF0
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован

 

Помогите разобраться в чем дело, логи во вложении

CollectionLog-2022.09.11-13.36.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Явных признаков заражения не видно. Перехватчики могут быть как вредными, так и полезными. В вашем случае - второе.

Видны следы бывшей установки Avast. Очистите следующим способом:

  1. Скачайте утилиту aswclear.exe и сохраните ее на Вашем Рабочем столе;
  2. Перезагрузите компьютер в безопасном режиме;
  3. Запустите утилиту на выполнение;
  4. Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. (Внимание: Содержимое данной папки будет полностью удалено!)
  5. Нажмите REMOVE
  6. Перезагрузите компьютер в нормальный режим

Можно воспользоваться несколькими советами с сайта Avast.

 

Затем:

 

Файл CheckBrowserLnk.log
 из папки

  Цитата
...\AutoLogger\CheckBrowserLnk
Показать  
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Ссылка на комментарий
Поделиться на другие сайты

Доброе, аваст ранее уже удалил данной программой, странно то что остались ее следы.
Логи во вложении

ClearLNK-2022.09.12_09.20.41.logПолучение информации... Addition.txtПолучение информации... FRST.txtПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {50EA41B2-3A65-4AA7-A696-D3D31CEEE854} - System32\Tasks\Avast Software\Avast Cleanup BugReport => C:\Program Files\Avast Software\Cleanup\AvBugReport.exe -> --send "dumps|report" --silent --product 62 --programpath "C:\Program Files\Avast Software\Cleanup\Setup\.." --configpath "C:\Program Files\Avast Software\Cleanup\Setup" --path "C:\ProgramData\Avast Software\Cleanup\log" --path "C:\ProgramData\Avast Software\Icarus\Logs" --guid ec62ef60-7f83-4bed-9446-df8e8aa10f08
    Task: {5117F792-9ED0-4112-9785-10959A0E5C8A} - System32\Tasks\Avast Software\Avast Cleanup Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-tu\icarus.exe /update:avast-tu /silent (Нет файла)
    Task: {57629BEB-AAC1-4709-AFD8-2DDF9A8BFB5B} - System32\Tasks\Avast Software\Avast SecureLine VPN Bug Report => C:\Program Files\Avast Software\SecureLine VPN\AvBugReport.exe -> --send "dumps|report" --silent --product 11 --programpath "C:\Program Files\Avast Software\SecureLine VPN" --configpath "C:\ProgramData\Avast Software\SecureLine VPN" --path "C:\ProgramData\Avast Software\SecureLine VPN\log" --path "C:\ProgramData\Avast Software\Icarus\Logs" --logpath "C:\ProgramData\Avast Software\SecureLine VPN\log" --guid e785f856-7998-4948-91bc-0618468cec5f
    Task: {5EB34BBB-45D8-4568-9CC1-498838E0BF01} - System32\Tasks\Avast Software\Avast Driver Updater Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-du\icarus.exe /update:avast-du /silent (Нет файла)
    Task: {8ADE85AD-4115-452C-ACAE-2238723683FF} - System32\Tasks\Avast Software\Avast SecureLine VPN Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-vpn\icarus.exe /update:avast-vpn /silent (Нет файла)
    Task: {9DE2658B-D3A7-47E9-BE74-959C0641404E} - System32\Tasks\Avast SecureLine VPN Update => C:\Program Files\Avast Software\SecureLine VPN\VpnUpdate.exe (Нет файла)
    Task: {AA657CE7-DBFC-4DFC-900C-6B1B2B338F33} - System32\Tasks\Avast Emergency Update => C:\Program Files\Avast Software\Avast\AvEmUpdate.exe (Нет файла)
    Task: {B1627114-6CCF-4C52-AD84-B83B2639BD79} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2250576 2022-09-08] (Avast Software s.r.o. -> Avast Software)
    Task: {BEB83D3E-D043-4038-A551-D616F60FFE20} - System32\Tasks\Avast Software\Avast Driver Updater BugReport => C:\Program Files\Avast Software\Driver Updater\AvBugReport.exe -> --send "dumps|report" --silent --product 148 --programpath "C:\Program Files\Avast Software\Driver Updater\Setup\.." --configpath "C:\Program Files\Avast Software\Driver Updater\Setup" --path "C:\ProgramData\Avast Software\Driver Updater\log" --path "C:\ProgramData\Avast Software\Icarus\Logs" --guid f00daba4-39ea-4a3d-93bc-403b857ab81d
    2022-09-08 13:12 - 2022-09-11 12:30 - 000004028 _____ C:\WINDOWS\system32\Tasks\Avast SecureLine VPN Update
    2022-09-08 13:11 - 2022-09-08 13:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
    2022-09-08 13:10 - 2022-09-11 13:31 - 000000000 ____D C:\Program Files\Common Files\Avast Software
    2022-09-08 13:10 - 2022-09-08 18:38 - 000004264 _____ C:\WINDOWS\system32\Tasks\Avast Emergency Update
    2022-09-08 13:09 - 2022-09-11 13:31 - 000000000 ____D C:\ProgramData\Avast Software
    S3 hitmanpro37; C:\WINDOWS\system32\drivers\hitmanpro37.sys [40960 2022-09-08] (Microsoft Windows Hardware Compatibility Publisher -> )
    2022-09-08 16:28 - 2022-07-25 09:53 - 000040960 _____ C:\WINDOWS\system32\Drivers\hitmanpro37.sys
    AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:48B2E43EA0 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk:4E42ED6D31 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4298]
    Hosts:
    FirewallRules: [{012F97F7-E235-487B-B837-AADFFA6DD423}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe => Нет файла
    FirewallRules: [{3770432A-64CD-46AF-9E38-EE36C858CAF9}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Вроде бы все хорошо, но почему-то сетевой адаптер и мышь переодически не включаются при запуске. Помогает только физическое извлечение  юсб или отключение/включение в диспетчере устройств

Изменено пользователем Иван Иванов 671
Ссылка на комментарий
Поделиться на другие сайты

Об этом посоветуйтесь в соседнем разделе, указав там ссылку на эту тему.

 

Тут в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.10.4 (5035) Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Spotify v.1.1.81.604.gccacfc8c Внимание! Скачать обновления
 

По возможности исправьте указанное.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      21 февраля стало черным днем крипторынка из-за крупнейшего в истории взлома криптобиржи. Злоумышленники смогли вывести из второй по величине криптобиржи Bybit около $1,5 млрд. Ряд экспертов считает этот случай вообще крупнейшим ограблением всех времен. И хотя ни эта потеря, ни вывод еще пяти миллиардов долларов паникующими пользователями не являются фатальными для Bybit, этот инцидент ярко демонстрирует фундаментальные недостатки современной криптовалютной экосистемы и позволяет извлечь несколько ценных уроков для обычных владельцев крипты.
      Как обокрали Bybit
      Как и все крупные криптобиржи, Bybit использует многоуровневую защиту хранимой криптовалюты. Основные ее запасы хранятся на «холодных» кошельках, отключенных от онлайн-систем. При необходимости пополнить оборотные средства нужная сумма переводится с «холодного» кошелька на «горячий» вручную, и эту операцию подписывают несколько сотрудников одновременно. Для этого в Bybit используется решение со множественной подписью (multi-signature, multisig) от разработчика Safe{Wallet}, и каждый вовлеченный в транзакцию сотрудник ставит свою подпись при помощи личного аппаратного криптоключа Ledger.
      Злоумышленники детально изучили эту систему и, по мнению независимых исследователей, скомпрометировали одного из разработчиков Safe{Wallet}. Код, который отображает страницы веб-приложения Safe{Wallet}, был, предположительно, заменен на вредоносный. Но логическая бомба в нем срабатывала, только если адрес отправителя совпадал с адресом Bybit — в остальных случаях Safe{Wallet} работал как обычно. Владельцы Safe{Wallet}, впрочем, провели собственное расследование и не соглашаются с заключением двух независимых ИБ-компаний, утверждая, что их инфраструктуру никто не взламывал.
       
      View the full article
    • vasili_rb
      Автор vasili_rb
      Добрый день.
      Очень нужна помощь. Хватанул какого то трояна скорее всего.
      Не запускаются виртуальные машины в Hyper-V, перестали работать обновления 
      SRVMAIN_2025-02-12_11-59-20_v4.99.8v x64.7z
       
      HyperV восcтановил путем удаления роли и установкой по новому.
    • naxio11
      Автор naxio11
      Здравствуйте!
      После нескольких месяцев подозрений на вирусы, решился на проверку
      Всё было по классике - dr web curiet нельзя было скачать. Любые попытки скачать и/или найти информацию о нём - Закрывался браузер. Если все-же получалось зайти на сайт, то вдруг оказывалось что сайт не работает ( Удивительно )

      В общем:
      Скачал cureit через телефон
      Запустил проверку без интернета
      Нашёл 22 вируса
      cureit Удалил не всё ( Пришлось переходить по путям, и самостоятельно удалять файлы )
      Перезагрузил пк
      Нашёл ещё 1 вирус, удалил
      Перезагрузил пк
      Подключил Ethernet
      Запустил проверку, нашёл NET.MALWARE.URL
      Почистил расширения, угроза ушла
      Почитал ваш форум, решил запустить FRST
      В логах нашёл пользователя John ( По прошлым темам понял что это майнер )
      В логах есть ещё другие подозрительные моменты

      Итог:
      Пк работает нормально, не греется как раньше
      Хочу для спокойствия удалить остатки фигни с вашей помощью ( Используя FRST )
      Логи прикрепил снизу
      Надеюсь на скорейший ответ


      Addition.txtFRST.txt  Логов с curiet не будет, так как логи с вирусами я не сохранил ( дурак ), а последние логи - Чистые

       
    • primely
      Автор primely
      Добрый день. У меня сегодня взломали сервер  с 1С.  Все файлы зашифровались в .PE32S. Огромная просьба помочь с решением данной проблемы. Прикрепляю скрины с зашифрованными файлами. Во вложении несколько зашифрованных файлов и записка о выкупе в архиве без пароля, а также логи FRST.

      PE32S.rar
    • Sergey Bondarev
      Автор Sergey Bondarev
      Здравствуйте! Нас взломали, пока не пойму как, разбираюсь. После себя хакеры подчистили все файлы и логи. Отправляю Вам: на пробу несколько зашифрованных файлов, результаты работы программы Farbar Recovery Scan Tool И письмо от хакеров. Спасибо _files.rar
×
×
  • Создать...