Перейти к содержанию

Помощь после взлома вай фай


Иван Иванов 671

Рекомендуемые сообщения

Добрый день, возникла проблема с пк. После установки впн, роутер подвергался взлому, пк сам по себе начал плохо работать, лагало интернет соединение. Как обнаружил проблему, сбросил все настройки роутера, корректно настроил и удалил программу впн. Проверял пк касперским, малварой,  но паранойя не отпускает, avz обнаружил странную активность. Так же пропал доступ к некоторым папкам.
 Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DA98->773CF710
Перехватчик kernel32.dll:ReadConsoleInputExA (1132) нейтрализован
Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->75D2DACB->773CF740
Перехватчик kernel32.dll:ReadConsoleInputExW (1133) нейтрализован
 Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
Перехватчик ntdll.dll:NtCreateFile (295) нейтрализован
Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
Перехватчик ntdll.dll:NtSetInformationFile (598) нейтрализован
Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
Перехватчик ntdll.dll:NtSetValueKey (630) нейтрализован
Функция ntdll.dll:ZwCreateFile (1838) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2F20->6CDE17A0
Перехватчик ntdll.dll:ZwCreateFile (1838) нейтрализован
Функция ntdll.dll:ZwSetInformationFile (2139) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2C40->6CDE1900
Перехватчик ntdll.dll:ZwSetInformationFile (2139) нейтрализован
Функция ntdll.dll:ZwSetValueKey (2171) перехвачена, метод ProcAddressHijack.GetProcAddress ->775D2FD0->6CDE1970
Перехватчик ntdll.dll:ZwSetValueKey (2171) нейтрализован
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E1B4F0->6CDE1690
Перехватчик user32.dll:CallNextHookEx (1536) нейтрализован
Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->75E20740->6CDE19E0
Перехватчик user32.dll:SetWindowsHookExW (2399) нейтрализован
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
 >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
 Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D859E2->773D2110
Перехватчик advapi32.dll:CveEventWrite (1234) нейтрализован
Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->76D86909->75FCC120
Перехватчик advapi32.dll:I_ScRegisterPreshutdownRestart (1387) нейтрализован
 Анализ ws2_32.dll, таблица экспорта найдена в секции .text
 Анализ wininet.dll, таблица экспорта найдена в секции .text
 Анализ rasapi32.dll, таблица экспорта найдена в секции .text
 Анализ urlmon.dll, таблица экспорта найдена в секции .text
 Анализ netapi32.dll, таблица экспорта найдена в секции .text
Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF0A->6C59AA70
Перехватчик netapi32.dll:NetFreeAadJoinInformation (130) нейтрализован
Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->6C95DF39->6C59ADF0
Перехватчик netapi32.dll:NetGetAadJoinInformation (131) нейтрализован

 

Помогите разобраться в чем дело, логи во вложении

CollectionLog-2022.09.11-13.36.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Явных признаков заражения не видно. Перехватчики могут быть как вредными, так и полезными. В вашем случае - второе.

Видны следы бывшей установки Avast. Очистите следующим способом:

  1. Скачайте утилиту aswclear.exe и сохраните ее на Вашем Рабочем столе;
  2. Перезагрузите компьютер в безопасном режиме;
  3. Запустите утилиту на выполнение;
  4. Если продукт avast! был установлен не в папку по умолчанию, укажите путь к ней. (Внимание: Содержимое данной папки будет полностью удалено!)
  5. Нажмите REMOVE
  6. Перезагрузите компьютер в нормальный режим

Можно воспользоваться несколькими советами с сайта Avast.

 

Затем:

 

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

Ссылка на сообщение
Поделиться на другие сайты

Доброе, аваст ранее уже удалил данной программой, странно то что остались ее следы.
Логи во вложении

ClearLNK-2022.09.12_09.20.41.log Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    Task: {50EA41B2-3A65-4AA7-A696-D3D31CEEE854} - System32\Tasks\Avast Software\Avast Cleanup BugReport => C:\Program Files\Avast Software\Cleanup\AvBugReport.exe -> --send "dumps|report" --silent --product 62 --programpath "C:\Program Files\Avast Software\Cleanup\Setup\.." --configpath "C:\Program Files\Avast Software\Cleanup\Setup" --path "C:\ProgramData\Avast Software\Cleanup\log" --path "C:\ProgramData\Avast Software\Icarus\Logs" --guid ec62ef60-7f83-4bed-9446-df8e8aa10f08
    Task: {5117F792-9ED0-4112-9785-10959A0E5C8A} - System32\Tasks\Avast Software\Avast Cleanup Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-tu\icarus.exe /update:avast-tu /silent (Нет файла)
    Task: {57629BEB-AAC1-4709-AFD8-2DDF9A8BFB5B} - System32\Tasks\Avast Software\Avast SecureLine VPN Bug Report => C:\Program Files\Avast Software\SecureLine VPN\AvBugReport.exe -> --send "dumps|report" --silent --product 11 --programpath "C:\Program Files\Avast Software\SecureLine VPN" --configpath "C:\ProgramData\Avast Software\SecureLine VPN" --path "C:\ProgramData\Avast Software\SecureLine VPN\log" --path "C:\ProgramData\Avast Software\Icarus\Logs" --logpath "C:\ProgramData\Avast Software\SecureLine VPN\log" --guid e785f856-7998-4948-91bc-0618468cec5f
    Task: {5EB34BBB-45D8-4568-9CC1-498838E0BF01} - System32\Tasks\Avast Software\Avast Driver Updater Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-du\icarus.exe /update:avast-du /silent (Нет файла)
    Task: {8ADE85AD-4115-452C-ACAE-2238723683FF} - System32\Tasks\Avast Software\Avast SecureLine VPN Update => C:\Program Files\Common Files\Avast Software\Icarus\avast-vpn\icarus.exe /update:avast-vpn /silent (Нет файла)
    Task: {9DE2658B-D3A7-47E9-BE74-959C0641404E} - System32\Tasks\Avast SecureLine VPN Update => C:\Program Files\Avast Software\SecureLine VPN\VpnUpdate.exe (Нет файла)
    Task: {AA657CE7-DBFC-4DFC-900C-6B1B2B338F33} - System32\Tasks\Avast Emergency Update => C:\Program Files\Avast Software\Avast\AvEmUpdate.exe (Нет файла)
    Task: {B1627114-6CCF-4C52-AD84-B83B2639BD79} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2250576 2022-09-08] (Avast Software s.r.o. -> Avast Software)
    Task: {BEB83D3E-D043-4038-A551-D616F60FFE20} - System32\Tasks\Avast Software\Avast Driver Updater BugReport => C:\Program Files\Avast Software\Driver Updater\AvBugReport.exe -> --send "dumps|report" --silent --product 148 --programpath "C:\Program Files\Avast Software\Driver Updater\Setup\.." --configpath "C:\Program Files\Avast Software\Driver Updater\Setup" --path "C:\ProgramData\Avast Software\Driver Updater\log" --path "C:\ProgramData\Avast Software\Icarus\Logs" --guid f00daba4-39ea-4a3d-93bc-403b857ab81d
    2022-09-08 13:12 - 2022-09-11 12:30 - 000004028 _____ C:\WINDOWS\system32\Tasks\Avast SecureLine VPN Update
    2022-09-08 13:11 - 2022-09-08 13:12 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
    2022-09-08 13:10 - 2022-09-11 13:31 - 000000000 ____D C:\Program Files\Common Files\Avast Software
    2022-09-08 13:10 - 2022-09-08 18:38 - 000004264 _____ C:\WINDOWS\system32\Tasks\Avast Emergency Update
    2022-09-08 13:09 - 2022-09-11 13:31 - 000000000 ____D C:\ProgramData\Avast Software
    S3 hitmanpro37; C:\WINDOWS\system32\drivers\hitmanpro37.sys [40960 2022-09-08] (Microsoft Windows Hardware Compatibility Publisher -> )
    2022-09-08 16:28 - 2022-07-25 09:53 - 000040960 _____ C:\WINDOWS\system32\Drivers\hitmanpro37.sys
    AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:48B2E43EA0 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk:4E42ED6D31 [4298]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [4298]
    Hosts:
    FirewallRules: [{012F97F7-E235-487B-B837-AADFFA6DD423}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe => Нет файла
    FirewallRules: [{3770432A-64CD-46AF-9E38-EE36C858CAF9}] => (Block) C:\Program Files\Avast Software\Avast\AvastUI.exe => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Вроде бы все хорошо, но почему-то сетевой адаптер и мышь переодически не включаются при запуске. Помогает только физическое извлечение  юсб или отключение/включение в диспетчере устройств

Изменено пользователем Иван Иванов 671
Ссылка на сообщение
Поделиться на другие сайты

Об этом посоветуйтесь в соседнем разделе, указав там ссылку на эту тему.

 

Тут в завершение:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.02 (64-разрядная) v.6.02.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9002 Внимание! Скачать обновления
Zoom v.5.10.4 (5035) Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
Spotify v.1.1.81.604.gccacfc8c Внимание! Скачать обновления
 

По возможности исправьте указанное.

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • GlockKatana
      От GlockKatana
      PowerShell в командной строке открывал файл .steam и какой-то код. Я его удалил, но он все же включается на несколько секунд и пытается найти и активировать этот файл.
      успел поймать
    • Pupsik228
      От Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Александр Соколов
      От Александр Соколов
      В интернете словил майнер,грузит процессор на 100 и видеокарту на 100,прошу помощи
    • swagoutbaby
      От swagoutbaby
      Начал играть в PUBG стал замечать сильные фризы и просадок фпс до 20-40 при стабильном 140, просканировал комп dr.web'ом обычным, нашлось 3 трояна и chromium:page.malware.url, просто нажал обезвредить и всё. 1, 2 дня так поиграл без лагов, потом всё по новой, просканировал ещё раз chromium:page.malware.url опять нашёлся. Здесь же на форуме пытался так сказать вылечить комп, сначала помогло, потом по новой. Переустановил винду, всё тоже самое, вирус никуда не делся.
      cureit.log CollectionLog-2024.03.19-17.14.zip report1.log report2.log
    • depston
      От depston
      Доброго времени суток.
      Поймал что-то, doctor web cureit ругается на C:\Users\depston\AppData\Local\Microsoft\Edge\User Data\Default\Secure Preferences , но не лечиться. adwcleaner_8.4.2 же видит browser hijack, но при последующей перезагрузки все по новой.
      Прикрепил логи с adwcleaner и от First64 Addition.txtFRST.txt
      AdwCleaner[S00].txt AdwCleaner[C00].txt AdwCleaner_Debug.log
×
×
  • Создать...