Нейтрализовать RootKit'ы не удаляемые функциями AVZ на Win10(x64)

17 июня, 2023

Господа! Прошу вашей помощи, и более компетентного опыта по проблеме, нежели имею я. А именно, несмотря на то, что стандартные антивирусники у меня ничего не ловят, а анти-малвары лишь периодически чекают, что умудрился цепануть, AVZ уже как год, стабильно каждый скан выдает список из перехватчиков API, работающих в UserMode: kernel32.dll user32.dll advapi32.dll ntdll.dll и т.д. и т.п., которые якобы нейтрализуются, но по факту походу...противодействуют. И вновь после резета там где были. И да, я знаю что на x64 avz не запускает свои 2-а основных сервиса "guard и pm"....Хоть, на производительность, вроде, как бы не влияет особо, но утечки своих данных, даже пусть и "цифрового мусора" не хочется, однако. И даже своей делитантской интуицией, я чую что моя система дырая насквозь...(овер 30 sv-хостов в процессах явно не норма?!) А сегодня при попытке ручками вычистить 1-у из функций внедрившихся (новую!), словил shutdown в первые в жизни. Обделался легким испугом) Все файлы логов 4-мя разными сканерами прилагаю в ссылке. И прошу, или скрипт чтоб побороть это, или указать путь по которому рыть дальше, или помощь "пояснительной бригады" если я возможно (очень может быть) недопонимаю тонкостей, да и самой структуры методов в этих нюансах. Логи <-тут! Или же сами txt здесь: Буду крайне признателен за любую, даже теоретическую помощь!

Addition.txt avz_log.txt FRST.txt SecurityCheck.txt

17 июня, 2023

UPD: юзнул AV_block_remover, он тут же отписался, что поймал какой то майнер...и фиксанул его. Однако проблема в целом не решена еще. Логи по ссылке/тут дополнены.

AV_block_remove_2023.06.17-21.47.log

10 часов назад, Smolwar сказал:

UPD: юзнул AV_block_remover, он тут же отписался, что поймал какой то майнер...и фиксанул его. Однако проблема в целом не решена еще. Логи по ссылке/тут дополнены.

AV_block_remove_2023.06.17-21.47.log 6 kB · 0 загрузок

ну и ➕ это, до кучи, всей инфы, которая быть может понадобиться для постановки диагноза

HiJackThis.log

17 июня, 2023

Никаких руткитов, майнеров в системе нет. Зато есть приступ паранойи, который всегда одолевает тех, кто не разбирается в логах.

Цитата

AV: COMODO Antivirus (Enabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Malwarebytes (Disabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}

антивирусное решение должно быть какое-то одно, а не гора сражающихся за ресурсы системы.

В системе только мусор, который мы и почистим.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-462056480-3917229040-1268397937-1000\...\MountPoints2: {f392bbc5-9ba4-11ec-b3c7-00214fbc7439} - "E:\OnePlus_setup.exe" /s
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {117E2D01-1275-4560-90E9-A34BB4EE69A3} - \Microsoft\Windows\DiskFootprint\StorageSense -> Нет файла <==== ВНИМАНИЕ
Task: {12514C9A-1DE5-40CE-B66C-D6838DA9A169} - \Microsoft\Windows\CloudExperienceHost\CreateObjectTask -> Нет файла <==== ВНИМАНИЕ
Task: {36A78C3E-A142-4F86-903E-AE26291F646C} - \Microsoft\Windows\Autochk\Proxy -> Нет файла <==== ВНИМАНИЕ
Task: {3A4032F6-6063-4D54-BAE3-F8A4A5110CDA} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver -> Нет файла <==== ВНИМАНИЕ
Task: {3D363385-64B8-4207-AC46-3EE180DD87F2} - \Microsoft\Windows\Application Experience\StartupAppTask -> Нет файла <==== ВНИМАНИЕ
Task: {53FE559C-30AB-4515-B492-C8B30F409C83} - \Microsoft\Windows\Application Experience\AitAgent -> Нет файла <==== ВНИМАНИЕ
Task: {54D4D29C-744B-42E7-AD2C-11F44FB5A509} - \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask -> Нет файла <==== ВНИМАНИЕ
Task: {69D15B8E-729C-4C1C-A0E7-6DCA5E963E60} - \Microsoft\Windows\DUSM\dusmtask -> Нет файла <==== ВНИМАНИЕ
Task: {701473A3-4C61-4063-AAC6-871E22A29FE7} - \Microsoft\Windows\Maps\MapsToastTask -> Нет файла <==== ВНИМАНИЕ
Task: {73469C3A-0B60-4A11-AD8A-FC67A901B741} - \Microsoft\Windows\Application Experience\ProgramDataUpdater -> Нет файла <==== ВНИМАНИЕ
Task: {7572B7F9-BE9D-43BF-9A4E-F82023EDBD33} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> Нет файла <==== ВНИМАНИЕ
Task: {7617E03F-109E-435B-9B4C-0282CD5BE4A9} - \Microsoft\Windows\Feedback\Siuf\DmClientOnScenarioDownload -> Нет файла <==== ВНИМАНИЕ
Task: {7A5AFDB2-56EC-4352-AB44-069E7BF253A8} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Нет файла <==== ВНИМАНИЕ
Task: {92FFE795-C628-4324-AB97-06F804352DB6} - \Microsoft\Windows\Feedback\Siuf\DmClient -> Нет файла <==== ВНИМАНИЕ
Task: {B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ
Task: {C9EC268B-1D36-4AF0-A1EB-2C1BC3B455D9} - \Microsoft\Windows\DiskFootprint\Diagnostics -> Нет файла <==== ВНИМАНИЕ
Task: {E577C99D-E5DD-43E8-9E9F-2D291B431572} - \Microsoft\Windows\Maps\MapsUpdateTask -> Нет файла <==== ВНИМАНИЕ
Task: {ED77AEE0-EAFB-4133-B544-9E7C5632D902} - \Microsoft\Windows\Customer Experience Improvement Program\Consolidator -> Нет файла <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-462056480-3917229040-1268397937-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-462056480-3917229040-1268397937-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 Browser; %SystemRoot%\System32\browser.dll [X]
S4 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數Ȁ" [X]
ContextMenuHandlers1: [Comodo Antivirus] -> [CC]{4255A182-CAD9-4214-A19B-7BA7FB633BBD} =>  -> Нет файла
ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers2: [Comodo Antivirus] -> [CC]{4255A182-CAD9-4214-A19B-7BA7FB633BBD} =>  -> Нет файла
ContextMenuHandlers2: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers2: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers6: [Comodo Antivirus] -> [CC]{4255A182-CAD9-4214-A19B-7BA7FB633BBD} =>  -> Нет файла
ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers6: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

17 июня, 2023

19 минут назад, thyrex сказал:

антивирусное решение должно быть какое-то одно, а не гора сражающихся за ресурсы системы.

Спасибо за оперативность. Выполнил что требовалось. Логи тоже. А вот самое интересное что ни одной из этих прог на ПК нет, и все стандартные пути вычищены были...А этот COMODO, к примеру, после удаления оставил активными все свои службы, которые я с горем пополам пытался выключить, но видать не прокнуло если в строке "Enable" все еще значится) И хочу так же полюбопытствовать, как все же реагировать и относится к данным на изображении(фото), которые откровенно напрягают все еще)?

Fixlog.txt

17 июня, 2023

50 минут назад, Smolwar сказал:

И хочу так же полюбопытствовать, как все же реагировать и относится к данным на изображении(фото), которые откровенно напрягают все еще)?

Для непонятливых - ничего опасного в этих записях нет.

51 минуту назад, Smolwar сказал:

А этот COMODO, к примеру, после удаления

в установленных программах в логе Addition.txt он присутствует

17 июня, 2023

8 минут назад, thyrex сказал:

Для непонятливых - ничего опасного в этих записях нет.

Понял. Принял. Учту. И благодарю за потраченное время на этот пост. Я не Эдвард Сноуден конечно, но лучше всегда 10 раз перестрахуюсь) Тем более, что наконец то повод нашелся на это) Железо типовое дохлое, циски нет...а в дебрях deep deep deep web на любое адовое ~~г*вно~~ можно случайно нарваться инжектом в ядра камня)))) Но это лирика. Еще раз спс за информативное просвещение!

19 июня, 2023

+

Чистка системы после некорректного удаления антивируса.

Нейтрализовать RootKit'ы не удаляемые функциями AVZ на Win10(x64)

Рекомендуемые сообщения

Smolwar

Ссылка на комментарий

Поделиться на другие сайты

Smolwar

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Smolwar

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Smolwar

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum