скомпрометированный комп, какие действия?

[Олегл]

Доброго дня, если кратко -

на ПК стоят несколько Вин10-32 с каспером и несколько линуксов на нешифрованной ехт4, после начала онлайн занятий на микрософт.тюнс (малый учится дистанционно) рухнул виндовс, перешли на другой, проверка каспером на вирусы ничего не дала, на втором перестает работать каспер (требует фрамеворк4), затем перестаёт работать отключение адаптера (сети), затем блокируются мои какие-либо действия по восстановлению -  система ссылается на неправильную подпись служб, или на отсутствие прав. С переустановкой винды в т.ч. на новый логический диск проблемы с загрузкой начинаются с момента установки каспера - перестают грузиться. Линуксы ещё работают, но как-то кривовато (периодически ошибки фск и граба). Материнка GA-F2A78M-D3H 

[andrew75]

Вопрос-то какой?

13 часов назад, Олегл сказал:

на втором перестает работать каспер (требует фрамеворк4)

потому что версия Касперского старая. Кстати какая? Возможно проблемы именно из-за этого.

 

[ska79]

Покажите параметры смарт возможно жесткий диск умирает https://crystalmark.info/en/software/crystaldiskinfo/

[Олегл]

по смарту и версии каспера позже, оси стоят на разных дисках, одному менее года, сейчас эти два на которых стояли вин10-32 отключил, на третьем поставил редос и вин10-32, настраиваю, наполняю

 

[Олегл]

13.12.2023 в 22:53, Олегл сказал:

по смарту и версии каспера позже, оси стоят на разных дисках, одному менее года, сейчас эти два на которых стояли вин10-32 отключил, на третьем поставил редос и вин10-32, настраиваю, наполняю

 

прогнал короткую самодиагностику всех трёх дисков gnome-disk-utility 3.38.0 UDisks 2.8.4 (сборка от 2.8.4), без замечаний, каспер у которого виновс фрамеворк потерял - Kaspersky Security Cloud 21.3 (21.3.10.391) с обновлениями, свежепоставленный вид10-32 пока работает нормально, за исключением его требования разрешить вносить изменения в сетевые подключения  при моей попытке программно отключить сеть, свежеустановленный касперфри 21.15.8.493 угроз не видит, в т.ч. при проверке диска с той виндой где всё криво

 

 Отчет GSI , с свежей вин10-32 при 2х подключенных дисках 

 

GSI6_12_14_2023_01_16_56.zip

[Friend]

Ссылка на ваш отчет: https://www.getsysteminfo.com/report/7d9947c635bada1f2a8f63a5580f1450?wl=load

Стоит проверить состояние дисков:
 

{Восстановленный куст реестра} Куст реестра (файл) "\??\C:\Users\Святослав\AppData\Local\Microsoft\Windows\UsrClass.dat" был поврежден и восстановлен. Возможно, некоторые данные были утеряны.

Сбой операции ввода-вывода по адресу логического блока 0x8f7b6e8 для диска 5 (имя PDO: \Device\00000052) из-за ошибки оборудования. 

Используемый по умолчанию диспетчер ресурсов транзакций на томе L: обнаружил неповторяемую ошибку, и его запуск невозможен. Данные содержат код ошибки. 

Структура файловой системы тома D: восстановлена. 

 

[Олегл]

15.12.2023 в 09:45, Friend сказал:

Ссылка на ваш отчет: https://www.getsysteminfo.com/report/7d9947c635bada1f2a8f63a5580f1450?wl=load

Стоит проверить состояние дисков:
 

{Восстановленный куст реестра} Куст реестра (файл) "\??\C:\Users\Святослав\AppData\Local\Microsoft\Windows\UsrClass.dat" был поврежден и восстановлен. Возможно, некоторые данные были утеряны.

Сбой операции ввода-вывода по адресу логического блока 0x8f7b6e8 для диска 5 (имя PDO: \Device\00000052) из-за ошибки оборудования. 

Используемый по умолчанию диспетчер ресурсов транзакций на томе L: обнаружил неповторяемую ошибку, и его запуск невозможен. Данные содержат код ошибки. 

Структура файловой системы тома D: восстановлена. 

 

это всё конечно здорово, вот прогнал кламавом чудную винду про которую писал вначале

/Users/Public/Desktop/StartMenu/StartIsBack-2.0.1.exe       РUA.Win.Trojan.Casino-141 

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/cache2/entries/21B5D561B5BBFA15DEC83FCC8CD5B8D01C47D7C9          PUA.Html.Exploit.CVE_2012_0469-1 

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/cache2/entries/19013B6D46AAB5A7D75DB66608FDFB018461694C          PUA.Win.Exploit.CVE_2012_1461-1

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/cache2/entries/120DBCE93E40C8AFF133D7418459CAAF9D174E73          PUA.Html.Exploit.CVE_2012_0469-1

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/cache2/entries/50D50DDDA8E978139AC1900ED3A65F368F7D68AF          PUA.Win.Exploit.CVE_2012_1461-1

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/OfflineCache/0/D/2290B114039AD4-0         PUA.Html.Exploit.CVE_2012_0469-1 

/AppData/Local/Temp/40bf99b9-6c04-414b-b456-ba7544988d82.tmp                                                                PUA.Win.Exploit.CVE_2012_1461-1

/AppData/Roaming/Microsoft/Teams/Cache/Cache_Data/f_000013                                                                    PUA.Html.Exploit.CVE_2012_0469-1

итп.  PUA соответственно потому, что из под линукса

 

 

 

[Олегл]

возможно в продолжение темы, обнаружил некоторые распухшие .mp3 файлы, в конце например присутствует текст

endstream
endobj

8 0 obj
<<
/Type /StructTreeRoot
>>
endobj

7 0 obj
<<
/Length 44
>>
stream
q
612.000000 0 0 852.000000 0 0 cm
/Im0 Do
Q
endstream
endobj

4 0 obj
<<
/Creator (Simple Scan 3.38.5)
>>
endobj

xref
0 9
0000000000 65535 f 
0000000015 00000 n 
0000000132 00000 n 
0000000925 00000 n 
0005327091 00000 n 
0000000985 00000 n 
0000001124 00000 n 
0005326996 00000 n 
0005326952 00000 n 

trailer
<<
/Size 9
/Info 4 0 R
/Root 1 0 R
/ID [<53cc4c35f1defb53ce4a1c8cd09d0713> <53cc4c35f1defb53ce4a1c8cd09d0713>]
>>
startxref
5327143
%%EOF
 

кто что может сказать? фс на логическом диске ntfs