Перейти к содержанию
Правила раздела

Заражение (руткит)

BAHEK1987

От BAHEK1987
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

BAHEK1987 Опытный

BAHEK1987

Опубликовано
Опубликовано

Еще у одного знакомого заражение ПК

Антивирус обнаружил рут кит

(проверял авз - авз писал что не мог этот файл переместить - вроде бы так)

 

в общем компьютер Адски зависает :)

 

(игорь)

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Ссылка на комментарий
Поделиться на другие сайты
snifer67 Ветеран

snifer67

Опубликовано
Опубликовано

Выполните скрипт в avz в безопасном режиме

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\locale.exe');
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe','');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\sysrda32.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\PCIDump.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(9);
RebootWindows(true);
end.

ПК перезагрузится.

 

Выполнить скрипт в AVZ.

var
 qfolder: string;
 qname: string;
begin
 qname := GetAVZDirectory + '..\Quarantine\quarantine.zip';
 qfolder := ExtractFilePath(qname);
 if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder);
 CreateQurantineArchive(qname);
 ExecuteFile('explorer.exe', qfolder, 1, 0, false);
end.

Вы увидите папку с архивом. Это - карантин.

Карантин отправьте на newvirus@kaspersky.com

 

Сделайте новые логи в обычном режиме.

Ссылка на комментарий
Поделиться на другие сайты
BAHEK1987 Опытный

BAHEK1987

Опубликовано
  • Автор
Опубликовано

отослал карантин - sysrda32.exe - Backdoor.Win32.Bredolab.hmt

 

все равно аваст пишет обнаружен руткит

 

c/windows/system32/mnmdd.sys

компьютер виснет

 

вот свеженькие логи

virusinfo_syscheck.zip

virusinfo_syscure.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по mnmdd и выберите "Turn Run Off", потом подтвердите перезагрузку.

 

Сохраните html-лог работы утилиты, заархивируйте его и прикрепите к своему сообщению

 

Выполните скрипт в AVZ

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\mnmdd.SYS','');
DeleteFile('C:\WINDOWS\System32\Drivers\mnmdd.SYS');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('mnmdd');
BC_DeleteSvcReg('mnmdd');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте через данную форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь.

 

Сделайте новые логи

Ссылка на комментарий
Поделиться на другие сайты
Roman_Five Корифей

Roman_Five

Опубликовано
Опубликовано (изменено)

выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\wudfrd.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\WudfPf.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\WDICA.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PDRFRAME.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PDRELI.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PDFRAME.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\PDCOMP.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\Monfilt.sys','');
BC_ImportAll;
BC_QrFile('C:\WINDOWS\system32\DRIVERS\WudfPf.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\WDICA.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\PDRFRAME.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\PDRELI.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\PDFRAME.sys');
BC_QrFile('C:\WINDOWS\system32\Drivers\PDCOMP.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\Monfilt.sys');
BC_QrFile('C:\WINDOWS\System32\DRIVERS\wudfrd.sys');
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится.

выполните скрипт:

begin
CreateQurantineArchive('quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму.

1. Выберите тип запроса "Запрос на исследование вредоносного файла".

2. В окне "Подробное описание возникшей ситуации" наберите "Пароль: virus".

3. Прикрепите файл карантина

4. Введите изображенное на картинке число и нажмите "Далее".

5. Если размер карантина превышает 1,5 Мб, то карантин отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ с этого и прошлого карантина сообщите здесь.

Изменено пользователем Roman_Five
Ссылка на комментарий
Поделиться на другие сайты
BAHEK1987 Опытный

BAHEK1987

Опубликовано
  • Автор
Опубликовано

bcqr00001.dat,

bcqr00002.dat,

bcqr00003.dat,

bcqr00004.dat,

bcqr00005.dat,

bcqr00006.dat,

bcqr00007.dat,

bcqr00008.dat,

bcqr00009.dat,

bcqr00010.dat,

bcqr00011.dat,

bcqr00012.dat,

bcqr00013.dat,

bcqr00014.dat,

bcqr00015.dat,

bcqr00016.dat,

bcqr00017.dat,

bcqr00018.dat,

bcqr00019.dat,

bcqr00020.dat,

bcqr00021.dat,

bcqr00022.dat,

bcqr00023.dat,

bcqr00024.dat,

Monfilt.sys,

PDCOMP.sys,

PDFRAME.sys,

PDRELI.sys,

PDRFRAME.sys,

WDICA.sys,

WudfPf.sys,

wudfrd.sys - Rootkit.Win32.Agent.biiu

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Asya
      Возможное заражение трояном
      От Asya
      Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
      Ситуация следующая:
      На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 
      27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 
      20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
      Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     
      Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
      15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 
      Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

      Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 
       
      И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
      Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 
      CollectionLog-2024.11.02-23.04.zip
    • Dwight
      Возможное заражение компьютера
      От Dwight
      Думаю заразил Пк вирусами, так-как при банальном открытии браузера вентиляторы начинают активно набирать обороты, а работать в программах для монтажа стало просто невозможно, но все проблемы меня покидают после открытия диспетчера задач
       
      CollectionLog-2024.10.24-13.20.zip
    • Alexandr_XML
      [РЕШЕНО] Активное заражение Win64.SEPEH
      От Alexandr_XML
      Добрый день. Сегодня с утра запустил полную проверку системы и обнаружил Trojan.Win32.SEPEH.gen и никак не могу удалить. После попытки удаления выбрасывает в BSOD и система перезагружается. Судя по отчёту Касперского, этот вирус заразил более 84 программ.
      CollectionLog-2024.11.12-07.12.zip
    • Александр Лаптев
      [РЕШЕНО] Заражение трояном MEM:Trojan.Win32.SEPEH.gen
      От Александр Лаптев
      Добрый день ноутбук заразился трояном
      После попытки полечить с помощью kaspersky и последующей перезагрузкой троян появился снова

      Читал темы на форуме, сразу приложу отчетыAddition.txtFRST.txt
      сделанные с помощью программы Farbar Recovery Scan Tool
    • chebroller
      [РЕШЕНО] Заражение трояном MEM:Trojan.Win32.SEPEH.gen
      От chebroller
      Здравствуйте! Kaspersky Internet Security нашел на компьютере троян MEM:Trojan.Win32.SEPEH.gen. Лечение с перезагрузкой не помогает. Очень надеюсь на вашу помощь.
      CollectionLog-2024.09.23-21.42.zip
×
×
  • Создать...