Перейти к содержанию

Заражение Rat


Рекомендуемые сообщения

Здравствуйте, мой компьютер заражен rat(remote access trojan).

Который выживает после переустановки операционной системы.

Я думаю, что вирус активен перед загрузкой Windows.

 

Симптомы:

-закрытие процессов

- скрыть иконки в трее

- смена паролей

-установка программ, даже не заметив -медленный интернет

 

Какая информация была бы вам полезна?

 

Извините, если есть ошибки. Но русский не мой родной язык.

Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Требуемые отчёты (логи) прикрепите к следующему сообщению в этой теме.

Ссылка на сообщение
Поделиться на другие сайты

Насколько я понимаю, CureIt тоже ничего не нашел:

Цитата

There are no infected objects detected

 

И в логах не видно явных признаков заражения.

Из какой вы страны? Спрашиваю потому, что странные записи DNS.

 

У вас установлен Malwarebytes version 4.5.12.204. Сделайте полную проверку, результат сохраните в текстовый файл и прикрепите его к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

"Пофиксите" в HijackThis (только следующие строки):

O17 - DHCP DNS 1: 76.76.19.19
O17 - DHCP DNS 2: 94.140.15.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{2631d501-1595-41ba-a828-60c54973e613}: [NameServer] = 76.76.19.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{2631d501-1595-41ba-a828-60c54973e613}: [NameServer] = 94.140.15.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{676c3249-699f-42ee-ac50-1561748d59bd}: [NameServer] = 76.76.19.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{676c3249-699f-42ee-ac50-1561748d59bd}: [NameServer] = 94.140.15.15
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayExcluded: (no name) - {4433A54A-1AC8-432F-90FC-85F045CF383C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayPending: (no name) - {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayProtected: (no name) - {476D0EA3-80F9-48B5-B70B-05E677C9C148} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayExcluded: (no name) - {4433A54A-1AC8-432F-90FC-85F045CF383C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayPending: (no name) - {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayProtected: (no name) - {476D0EA3-80F9-48B5-B70B-05E677C9C148} - (no file)

 

 

 

Перезагрузите компьютер.

 

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

 

Пробуйте после этого ещё раз скачать антивирус и установить.

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

Ссылка на сообщение
Поделиться на другие сайты

Готово, кстати я еще раз просканировал с malwarebytes и он определил autologer как вирус - ''malware.sandbox 17'' Речь о файле - RSIT.exe Мне его тоже изолировать?

Ссылка на сообщение
Поделиться на другие сайты

Нет, не нужно. Это ложное срабатывание.

 

Давайте сделаем ещё одну проверку бесплатным сканером от Microsoft:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от мощности компьютера, количества файлов и т.п.). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Давайте сейчас подробнее, пожалуйста:

12.10.2022 в 21:06, puki сказал:

-закрытие процессов

Какие именно процессы закрываются?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Smolwar
      От Smolwar
      Господа! Прошу вашей помощи, и более компетентного опыта по проблеме, нежели имею я. А именно, несмотря на то, что стандартные антивирусники у меня ничего не ловят, а анти-малвары лишь периодически чекают, что умудрился цепануть, AVZ уже как год, стабильно каждый скан выдает список из перехватчиков API, работающих в UserMode: kernel32.dll user32.dll advapi32.dll ntdll.dll и т.д. и т.п., которые якобы нейтрализуются, но по факту походу...противодействуют. И вновь после резета там где были. И да, я знаю что на x64 avz не запускает свои 2-а основных сервиса "guard и pm"....Хоть, на производительность, вроде, как бы не влияет особо, но утечки своих данных, даже  пусть и "цифрового мусора" не хочется, однако. И даже своей делитантской интуицией, я чую что моя система дырая насквозь...(овер 30 sv-хостов в процессах явно не норма?!) А сегодня при попытке ручками вычистить 1-у из функций внедрившихся (новую!), словил shutdown в первые в жизни. Обделался легким испугом) Все файлы логов 4-мя разными сканерами прилагаю в ссылке. И прошу, или скрипт чтоб побороть это, или указать путь по которому рыть дальше, или помощь "пояснительной бригады" если я возможно (очень может быть) недопонимаю тонкостей, да и самой структуры методов в этих нюансах.              Логи <-тут! Или же сами txt здесь:                Буду крайне признателен за любую, даже теоретическую помощь! 
      Addition.txt avz_log.txt FRST.txt SecurityCheck.txt
    • Iam
      От Iam
      Привет ребят, не гоните сочными тряпками. По общему описанию. Китайский зашитый бекдор, руткит в ssd goldenfir. Думаю встречались некоторые. Встраивается в ядро и железо походу. Полное зануление не помогает. Хвост - фиксит бсод. Tdss находит неподпис btha2dp.sys bthhfenum.sys Это сборка или есть название этому чуду(дальше пойду гуглить). Выкинуть в принципе не жалко. Мать прошивал по правилам. Сейчас роутер не пингуется. Так что накидывают мне по ситуации, но интересно
    • makes
      От makes
      Собственно сабж.
      Пишет нейтрализован, но при следующем сканировании та же картина. Прилагаю лог: 
      avz_log.txt
    • raff77
      От raff77
      не удается установить обновления, в событиях windows много ошибок.
      меню пуск не открывается .
      не удается установить компонент internet explorer 11 
      не удается установить надстройку с доверенного сайта.
      в avz подозрения на rootkit'ы, которые не устраняются.
      guard32.dll возможно это comodo antivirus.
      по возможности прошу оказать содействие.
      если повреждено много системных файлов, попробую восстанавливать вручную сам.
      CollectionLog-2022.05.28-19.52.zip
    • Андрей С
      От Андрей С
      Добрый день.
       
      Windows 10 на запуски системных/административных программ начала ругаться на "неизвестный издатель" (cmd.exe например). 
      Касперский антивирус с последними базами и tdsskiller ничего не находит (в т.ч. в Безопасном режиме).
      GMER (не спец, просто нашел в интернете - "готовить" не умею ) говорит про hidden сервисы. При попытке их "Disable" там же приложение GMER закрывается. При попытке полного сканирования GMER'ом Windows вываливается в BSOD.
      Есть дамп диска ~150ГБ, созданный клонзиллой перед попыткой что-то сделать.

      Прочитав соседние темы прикладываю файлы сгенерированные FRST, чтобы сократить время переписок (если я всё правильно понял)
      FRST.txt Addition.txt
      И еще логи AutoLogger впридачу
      CollectionLog-2021.11.23-01.15.zip
      В логах есть 9vprzkdk.exe - это GMER
×
×
  • Создать...