Заражение Rat

[puki]

Здравствуйте, мой компьютер заражен rat(remote access trojan).

Который выживает после переустановки операционной системы.

Я думаю, что вирус активен перед загрузкой Windows.

 

Симптомы:

-закрытие процессов

- скрыть иконки в трее

- смена паролей

-установка программ, даже не заметив -медленный интернет

 

Какая информация была бы вам полезна?

 

Извините, если есть ошибки. Но русский не мой родной язык.

Спасибо.

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Требуемые отчёты (логи) прикрепите к следующему сообщению в этой теме.

[puki]

Вот журналы,касперский ничего не нашел:

 

CollectionLog-2022.10.13-16.48.zip cureit.log

[Sandor]

Насколько я понимаю, CureIt тоже ничего не нашел:

Цитата

There are no infected objects detected

 

И в логах не видно явных признаков заражения.

Из какой вы страны? Спрашиваю потому, что странные записи DNS.

 

У вас установлен Malwarebytes version 4.5.12.204. Сделайте полную проверку, результат сохраните в текстовый файл и прикрепите его к следующему сообщению.

[puki]

Я из Болгарии.

Я попытался открыть Malwarebytes, но получил следующую ошибку:

не удалось подключиться к услуге

 

[Sandor]

"Пофиксите" в HijackThis (только следующие строки):

O17 - DHCP DNS 1: 76.76.19.19
O17 - DHCP DNS 2: 94.140.15.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{2631d501-1595-41ba-a828-60c54973e613}: [NameServer] = 76.76.19.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{2631d501-1595-41ba-a828-60c54973e613}: [NameServer] = 94.140.15.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{676c3249-699f-42ee-ac50-1561748d59bd}: [NameServer] = 76.76.19.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{676c3249-699f-42ee-ac50-1561748d59bd}: [NameServer] = 94.140.15.15
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayExcluded: (no name) - {4433A54A-1AC8-432F-90FC-85F045CF383C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayPending: (no name) - {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayProtected: (no name) - {476D0EA3-80F9-48B5-B70B-05E677C9C148} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayExcluded: (no name) - {4433A54A-1AC8-432F-90FC-85F045CF383C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayPending: (no name) - {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayProtected: (no name) - {476D0EA3-80F9-48B5-B70B-05E677C9C148} - (no file)

 

 

 

Перезагрузите компьютер.

 

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

 

Пробуйте после этого ещё раз скачать антивирус и установить.

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[puki]

mb-scanlog.txt

[Sandor]

Всё найденное удалите (поместите в карантин).

[puki]

Готово, кстати я еще раз просканировал с malwarebytes и он определил autologer как вирус - ''malware.sandbox 17'' Речь о файле - RSIT.exe Мне его тоже изолировать?

[Sandor]

Нет, не нужно. Это ложное срабатывание.

 

Давайте сделаем ещё одну проверку бесплатным сканером от Microsoft:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от мощности компьютера, количества файлов и т.п.). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

[puki]

msert.log

[Sandor]

Отлично!

 

Цитата

Results Summary:
----------------
No infection found.

 

Какие-то проблемы ещё остались?

[puki]

Все то же самое.

[Sandor]

Давайте сейчас подробнее, пожалуйста:

12.10.2022 в 21:06, puki сказал:

-закрытие процессов

Какие именно процессы закрываются?

[puki]

LibreWolf (браузер),CyberHunter (игра),Discord,Steam и так далее.