Перейти к содержанию

Нейтрализовать RootKit'ы не удаляемые функциями AVZ на Win10(x64)


Рекомендуемые сообщения

Господа! Прошу вашей помощи, и более компетентного опыта по проблеме, нежели имею я. А именно, несмотря на то, что стандартные антивирусники у меня ничего не ловят, а анти-малвары лишь периодически чекают, что умудрился цепануть, AVZ уже как год, стабильно каждый скан выдает список из перехватчиков API, работающих в UserMode: kernel32.dll user32.dll advapi32.dll ntdll.dll и т.д. и т.п., которые якобы нейтрализуются, но по факту походу...противодействуют. И вновь после резета там где были. И да, я знаю что на x64 avz не запускает свои 2-а основных сервиса "guard и pm"....Хоть, на производительность, вроде, как бы не влияет особо, но утечки своих данных, даже  пусть и "цифрового мусора" не хочется, однако. И даже своей делитантской интуицией, я чую что моя система дырая насквозь...(овер 30 sv-хостов в процессах явно не норма?!) А сегодня при попытке ручками вычистить 1-у из функций внедрившихся (новую!), словил shutdown в первые в жизни. Обделался легким испугом) Все файлы логов 4-мя разными сканерами прилагаю в ссылке. И прошу, или скрипт чтоб побороть это, или указать путь по которому рыть дальше, или помощь "пояснительной бригады" если я возможно (очень может быть) недопонимаю тонкостей, да и самой структуры методов в этих нюансах.              Логи <-тут! Или же сами txt здесь:                Буду крайне признателен за любую, даже теоретическую помощь! 

Addition.txt avz_log.txt FRST.txt SecurityCheck.txt

Ссылка на комментарий
Поделиться на другие сайты

UPD: юзнул AV_block_remover, он тут же отписался, что поймал какой то майнер...и фиксанул его. Однако проблема в целом не решена еще. Логи по ссылке/тут дополнены. 

AV_block_remove_2023.06.17-21.47.log

 

10 часов назад, Smolwar сказал:

UPD: юзнул AV_block_remover, он тут же отписался, что поймал какой то майнер...и фиксанул его. Однако проблема в целом не решена еще. Логи по ссылке/тут дополнены. 

AV_block_remove_2023.06.17-21.47.log 6 kB · 0 загрузок

ну и  это, до кучи, всей инфы, которая быть может понадобиться для постановки диагноза

HiJackThis.log

Ссылка на комментарий
Поделиться на другие сайты

Никаких руткитов, майнеров в системе нет. Зато есть приступ паранойи, который всегда одолевает тех, кто не разбирается в логах.

 

Цитата

AV: COMODO Antivirus (Enabled - Up to date) {05BC7AB5-FF0E-71EC-1054-15DA19B62DC7}
AV: Kaspersky Total Security (Enabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
AV: Malwarebytes (Disabled - Up to date) {23007AD3-69FE-687C-2629-D584AFFAF72B}

антивирусное решение должно быть какое-то одно, а не гора сражающихся за ресурсы системы.

 

В системе только мусор, который мы и почистим.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-462056480-3917229040-1268397937-1000\...\MountPoints2: {f392bbc5-9ba4-11ec-b3c7-00214fbc7439} - "E:\OnePlus_setup.exe" /s
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {117E2D01-1275-4560-90E9-A34BB4EE69A3} - \Microsoft\Windows\DiskFootprint\StorageSense -> Нет файла <==== ВНИМАНИЕ
Task: {12514C9A-1DE5-40CE-B66C-D6838DA9A169} - \Microsoft\Windows\CloudExperienceHost\CreateObjectTask -> Нет файла <==== ВНИМАНИЕ
Task: {36A78C3E-A142-4F86-903E-AE26291F646C} - \Microsoft\Windows\Autochk\Proxy -> Нет файла <==== ВНИМАНИЕ
Task: {3A4032F6-6063-4D54-BAE3-F8A4A5110CDA} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver -> Нет файла <==== ВНИМАНИЕ
Task: {3D363385-64B8-4207-AC46-3EE180DD87F2} - \Microsoft\Windows\Application Experience\StartupAppTask -> Нет файла <==== ВНИМАНИЕ
Task: {53FE559C-30AB-4515-B492-C8B30F409C83} - \Microsoft\Windows\Application Experience\AitAgent -> Нет файла <==== ВНИМАНИЕ
Task: {54D4D29C-744B-42E7-AD2C-11F44FB5A509} - \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask -> Нет файла <==== ВНИМАНИЕ
Task: {69D15B8E-729C-4C1C-A0E7-6DCA5E963E60} - \Microsoft\Windows\DUSM\dusmtask -> Нет файла <==== ВНИМАНИЕ
Task: {701473A3-4C61-4063-AAC6-871E22A29FE7} - \Microsoft\Windows\Maps\MapsToastTask -> Нет файла <==== ВНИМАНИЕ
Task: {73469C3A-0B60-4A11-AD8A-FC67A901B741} - \Microsoft\Windows\Application Experience\ProgramDataUpdater -> Нет файла <==== ВНИМАНИЕ
Task: {7572B7F9-BE9D-43BF-9A4E-F82023EDBD33} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip -> Нет файла <==== ВНИМАНИЕ
Task: {7617E03F-109E-435B-9B4C-0282CD5BE4A9} - \Microsoft\Windows\Feedback\Siuf\DmClientOnScenarioDownload -> Нет файла <==== ВНИМАНИЕ
Task: {7A5AFDB2-56EC-4352-AB44-069E7BF253A8} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Нет файла <==== ВНИМАНИЕ
Task: {92FFE795-C628-4324-AB97-06F804352DB6} - \Microsoft\Windows\Feedback\Siuf\DmClient -> Нет файла <==== ВНИМАНИЕ
Task: {B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector -> Нет файла <==== ВНИМАНИЕ
Task: {C9EC268B-1D36-4AF0-A1EB-2C1BC3B455D9} - \Microsoft\Windows\DiskFootprint\Diagnostics -> Нет файла <==== ВНИМАНИЕ
Task: {E577C99D-E5DD-43E8-9E9F-2D291B431572} - \Microsoft\Windows\Maps\MapsUpdateTask -> Нет файла <==== ВНИМАНИЕ
Task: {ED77AEE0-EAFB-4133-B544-9E7C5632D902} - \Microsoft\Windows\Customer Experience Improvement Program\Consolidator -> Нет файла <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-462056480-3917229040-1268397937-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-462056480-3917229040-1268397937-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S3 Browser; %SystemRoot%\System32\browser.dll [X]
S4 楗敳潂瑯獁楳瑳湡t; 㩃停潲牧浡䘠汩獥⠠㡸⤶坜獩履楗敳䌠牡⁥㘳尵潂瑯楔敭攮數Ȁ" [X]
ContextMenuHandlers1: [Comodo Antivirus] -> [CC]{4255A182-CAD9-4214-A19B-7BA7FB633BBD} =>  -> Нет файла
ContextMenuHandlers1: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers1: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers2: [Comodo Antivirus] -> [CC]{4255A182-CAD9-4214-A19B-7BA7FB633BBD} =>  -> Нет файла
ContextMenuHandlers2: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers2: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers6: [Comodo Antivirus] -> [CC]{4255A182-CAD9-4214-A19B-7BA7FB633BBD} =>  -> Нет файла
ContextMenuHandlers6: [SDECon32] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
ContextMenuHandlers6: [SDECon64] -> {44176360-2BBF-4EC1-93CE-384B8681A0BC} =>  -> Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.


  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

19 минут назад, thyrex сказал:

антивирусное решение должно быть какое-то одно, а не гора сражающихся за ресурсы системы.

 

 

 


 

Спасибо за оперативность. Выполнил что требовалось. Логи тоже. А вот самое интересное что ни одной из этих прог на ПК нет, и все стандартные пути вычищены были...А этот COMODO, к примеру, после удаления оставил активными все свои службы, которые я с горем пополам пытался выключить, но видать не прокнуло если в строке "Enable" все еще значится)  И хочу так же полюбопытствовать, как все же реагировать и относится к данным на изображении(фото), которые откровенно напрягают все еще)?

Снимок экрана 2023-06-17 231925.jpg

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты

50 минут назад, Smolwar сказал:

И хочу так же полюбопытствовать, как все же реагировать и относится к данным на изображении(фото), которые откровенно напрягают все еще)?

Для непонятливых - ничего опасного в этих записях нет.

 

51 минуту назад, Smolwar сказал:

А этот COMODO, к примеру, после удаления

в установленных программах в логе Addition.txt он присутствует

Ссылка на комментарий
Поделиться на другие сайты

8 минут назад, thyrex сказал:

Для непонятливых - ничего опасного в этих записях нет.

 

 

Понял. Принял. Учту. И благодарю за потраченное время на этот пост. Я не Эдвард Сноуден конечно, но лучше всегда 10 раз перестрахуюсь) Тем более, что наконец то повод нашелся на это) Железо типовое дохлое, циски нет...а в дебрях deep deep deep web на любое адовое г*вно можно случайно нарваться инжектом в ядра камня)))) Но это лирика. Еще раз спс за информативное просвещение!

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Vyacheslav_G
      От Vyacheslav_G
      CollectionLog-2024.12.25-10.09.zip Точно сказать когда вирус появился не могу,называется chromium:page.malware.url. Проводил сканирование через Dr web,вроде бы вылечил,но при повторном сканировании dr web опять нашел его,и так еще несколько раз. По итогу мне надоело и я переустановил винду,  решил повторно проверить через dr web,он опять нашел его,я опять переустановил винду.Первые несколько программ которые я установил были google,dr web,telegram и steam. Опять делаю проверку на вирусы, и он опять находит его. Как его удалить?
    • wwewww
      От wwewww
      Доброго времени суток, никак не выходит удалить вирус "CHROMIUM:PAGE.MALWARE.URL". При запуске хрома с включенной синхронизацией, вирус повторно появляется после обезвреживания. Возможно ли избавится от него?

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • paradise
      От paradise
      В один день решил скачать читы для игры, естественно с левых сайтов, понимая что наверное будут вирусы, перед открытием первого файла установил dr web cureit, тк раньше им пользовался и он помогал. После скачивания и открытия примерно 3 файлов одного приложения с рахзных сайтов (одного приложения, потому что оно не работало после скачивания) решил проверить с помощью drweb cureit. Выдал 4 вируса, в том числе этот неудаляемый, все обезвредил. Перезагружаю ПК, сканирую cureit'ом опять вылазит этот же вирус. Наверное подхватил с этих левых сайтов, может раньше, это знать не могу потому что не проверял комп на вирусы
      CollectionLog-2024.10.17-08.19.zip
       
       
    • Ири27
      От Ири27
      На компьютере Касперским был обнаружен  MEM: Trojan.Win32.SEPEH.gen.
      Пять раз его удаляла, но он появляется снова. Логи прикрепляю.CollectionLog-2024.11.27-10.20.zip 
    • Bernardo
      От Bernardo
      Друзья привет. 
      Вот несколько дней уже у меня в ноутбуке живет троян, Касперский удаляет его, а позже вирус появляется вновь. Комп стал тормозить(
       
      Логи загрузил. 
      Спасибо
      CollectionLog-2024.10.30-10.31.zip
×
×
  • Создать...