Перейти к содержанию
Правила раздела
Летний корпоратив «Лаборатории Касперского» 2025. Как попасть?

Заражение Rat

puki

Автор puki
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

puki Новичок

puki

Опубликовано
Опубликовано

Здравствуйте, мой компьютер заражен rat(remote access trojan).

Который выживает после переустановки операционной системы.

Я думаю, что вирус активен перед загрузкой Windows.

 

Симптомы:

-закрытие процессов

- скрыть иконки в трее

- смена паролей

-установка программ, даже не заметив -медленный интернет

 

Какая информация была бы вам полезна?

 

Извините, если есть ошибки. Но русский не мой родной язык.

Спасибо.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Требуемые отчёты (логи) прикрепите к следующему сообщению в этой теме.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Насколько я понимаю, CureIt тоже ничего не нашел:

Цитата

There are no infected objects detected

 

И в логах не видно явных признаков заражения.

Из какой вы страны? Спрашиваю потому, что странные записи DNS.

 

У вас установлен Malwarebytes version 4.5.12.204. Сделайте полную проверку, результат сохраните в текстовый файл и прикрепите его к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

"Пофиксите" в HijackThis (только следующие строки): 

O17 - DHCP DNS 1: 76.76.19.19
O17 - DHCP DNS 2: 94.140.15.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{2631d501-1595-41ba-a828-60c54973e613}: [NameServer] = 76.76.19.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{2631d501-1595-41ba-a828-60c54973e613}: [NameServer] = 94.140.15.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{676c3249-699f-42ee-ac50-1561748d59bd}: [NameServer] = 76.76.19.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{676c3249-699f-42ee-ac50-1561748d59bd}: [NameServer] = 94.140.15.15
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayExcluded: (no name) - {4433A54A-1AC8-432F-90FC-85F045CF383C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayPending: (no name) - {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayProtected: (no name) - {476D0EA3-80F9-48B5-B70B-05E677C9C148} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayExcluded: (no name) - {4433A54A-1AC8-432F-90FC-85F045CF383C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayPending: (no name) - {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\  OverlayProtected: (no name) - {476D0EA3-80F9-48B5-B70B-05E677C9C148} - (no file)

 

 

 

Перезагрузите компьютер.

 

• Скачайте и запустите Malwarebytes Support Tool.
• Запустите, согласитесь с лицензионным соглашением, перейдите на вкладку Advanced Options и нажмите кнопку Clean.
• Перезагрузите компьютер при появлении запроса.
• После перезагрузки утилита запустится для окончательной очистки.

 

Пробуйте после этого ещё раз скачать антивирус и установить.

Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
puki Новичок

puki

Опубликовано
  • Автор
Опубликовано

Готово, кстати я еще раз просканировал с malwarebytes и он определил autologer как вирус - ''malware.sandbox 17'' Речь о файле - RSIT.exe Мне его тоже изолировать?

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Нет, не нужно. Это ложное срабатывание.

 

Давайте сделаем ещё одну проверку бесплатным сканером от Microsoft:

 

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от мощности компьютера, количества файлов и т.п.). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Давайте сейчас подробнее, пожалуйста:

12.10.2022 в 21:06, puki сказал:

-закрытие процессов

Какие именно процессы закрываются?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • User-01001
      [РЕШЕНО] Заражение
      Автор User-01001
      Здравствуйте!
      Все по классике. сидел без антивируса несколько лет, полагаясь на себя. погода дрянь, хандра уныние и безысходность.
      Захотел развлечь себя игрушкой с торрента (цивой) вот развлек.)
      Уже на этапе запуска (до "установить" и тд) открылись врата в чистилище и оттуда полезло зло. simplewall долбил о куче рвущихся душ во всемирную паутину.
      Активное противодействие любым AV, отнятые права на папки, закрывание диспетчера задач при попытке приблизиться и тд.
      К слову был активен RDP местами валялись логи.
       Uac был выставлен на максимум - молчал. выдернул провод, бегло пробежался переименованной авз и артой вроде AVbr и kvrt  в безопасном режиме +live cd.
      KVRT кстати в т.ч. ругался на майнер и файловый вирус. еще до активной борьбы сетап с подарком запер в архив под пароль (если нужен)
      Нужна помощь добить бяку и восстановить что она там еще порушить успела
      CollectionLog-2025.05.03-10.34.zip
    • asmonekus
      [РЕШЕНО] Подозрение на заражение системы
      Автор asmonekus
      В какой-то момент заметила, что в истории поиска Windows начали появляться запросы, иногда даже на английском, которых я не делала, даже если компьютер был выключен. В истории запросов аккаунта Microsoft, который я использую на ПК, ничего подобного нет, плюс я сменила пароль и на всякий случай сделала выход со всех устройств через управление аккаунтом.
       
      Проводила проверку ПК и Kaspersky Virus Removal Tool, и Dr.Web CureIt!, и Kaspersky Premium – ничего не обнаружено. Запускала Avbr – почистил кеш и тоже ничего не обнаружил. Единственное, узнала, что Windows активирован KMSAuto (ПК был куплен в сборке с уже установленным ПО), но, насколько я с ним сталкивалась, он проблем каких-либо не доставлял.

      Никакого другого подозрительного поведения не обнаружила, все сайты как были доступны, так и остались. Лишней нагрузки тоже нет. Но эти рандомные запросы уж очень меня смущают.
      CollectionLog-2025.05.16-22.38.zip
    • Kedri
      [РЕШЕНО] Заражение HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen
      Автор Kedri
      Добрый день.
       
      Kaspersky обнаружил HEUR:Trojan.Win64.Reflo.pef и MEM:Trojan.Win32.SEPEH.gen в ходе сканирования. При попытке излечить вылетает синий экран смерти, при попытке произвести полное или выборочное сканирование - резкое торможение, а затем почернение рабочего стола (пропадают панель управления, все значки и обои).
      CollectionLog-2025.01.21-12.48.zip
    • vlanzzy
      Вредоносное заражение с task.vbs
      Автор vlanzzy
      CollectionLog-2024.12.19-19.35.zip
      Произошло заражение вирусом, выполнял проверку через KVRT и смог удалить вирусы, но теперь запускается task.vbs
       
    • rottingcorpse
      [РЕШЕНО] заражение trojan.win32.sepeh и Trojan.Win32.Miner
      Автор rottingcorpse
      fff.zip
×
×
  • Создать...