Перейти к содержанию

скомпрометированный комп, какие действия?


Рекомендуемые сообщения

Доброго дня, если кратко -

на ПК стоят несколько Вин10-32 с каспером и несколько линуксов на нешифрованной ехт4, после начала онлайн занятий на микрософт.тюнс (малый учится дистанционно) рухнул виндовс, перешли на другой, проверка каспером на вирусы ничего не дала, на втором перестает работать каспер (требует фрамеворк4), затем перестаёт работать отключение адаптера (сети), затем блокируются мои какие-либо действия по восстановлению -  система ссылается на неправильную подпись служб, или на отсутствие прав. С переустановкой винды в т.ч. на новый логический диск проблемы с загрузкой начинаются с момента установки каспера - перестают грузиться. Линуксы ещё работают, но как-то кривовато (периодически ошибки фск и граба). Материнка GA-F2A78M-D3H 

Ссылка на сообщение
Поделиться на другие сайты

Вопрос-то какой?

13 часов назад, Олегл сказал:

на втором перестает работать каспер (требует фрамеворк4)

потому что версия Касперского старая. Кстати какая? Возможно проблемы именно из-за этого.

 

Ссылка на сообщение
Поделиться на другие сайты

по смарту и версии каспера позже, оси стоят на разных дисках, одному менее года, сейчас эти два на которых стояли вин10-32 отключил, на третьем поставил редос и вин10-32, настраиваю, наполняю

 

Ссылка на сообщение
Поделиться на другие сайты
13.12.2023 в 22:53, Олегл сказал:

по смарту и версии каспера позже, оси стоят на разных дисках, одному менее года, сейчас эти два на которых стояли вин10-32 отключил, на третьем поставил редос и вин10-32, настраиваю, наполняю

 

прогнал короткую самодиагностику всех трёх дисков gnome-disk-utility 3.38.0 UDisks 2.8.4 (сборка от 2.8.4), без замечаний, каспер у которого виновс фрамеворк потерял - Kaspersky Security Cloud 21.3 (21.3.10.391) с обновлениями, свежепоставленный вид10-32 пока работает нормально, за исключением его требования разрешить вносить изменения в сетевые подключения  при моей попытке программно отключить сеть, свежеустановленный касперфри 21.15.8.493 угроз не видит, в т.ч. при проверке диска с той виндой где всё криво

Снимок экрана от 2023-12-14 02-01-36.png

Снимок экрана от 2023-12-14 01-59-41.png

Снимок экрана от 2023-12-14 01-56-43.png

 

 Отчет GSI , с свежей вин10-32 при 2х подключенных дисках 

 

GSI6_12_14_2023_01_16_56.zip

Ссылка на сообщение
Поделиться на другие сайты

Ссылка на ваш отчет: https://www.getsysteminfo.com/report/7d9947c635bada1f2a8f63a5580f1450?wl=load

Стоит проверить состояние дисков:
 

{Восстановленный куст реестра} Куст реестра (файл) "\??\C:\Users\Святослав\AppData\Local\Microsoft\Windows\UsrClass.dat" был поврежден и восстановлен. Возможно, некоторые данные были утеряны.

Сбой операции ввода-вывода по адресу логического блока 0x8f7b6e8 для диска 5 (имя PDO: \Device\00000052) из-за ошибки оборудования. 

Используемый по умолчанию диспетчер ресурсов транзакций на томе L: обнаружил неповторяемую ошибку, и его запуск невозможен. Данные содержат код ошибки. 

Структура файловой системы тома D: восстановлена. 

 

Ссылка на сообщение
Поделиться на другие сайты
15.12.2023 в 09:45, Friend сказал:

Ссылка на ваш отчет: https://www.getsysteminfo.com/report/7d9947c635bada1f2a8f63a5580f1450?wl=load

Стоит проверить состояние дисков:
 


{Восстановленный куст реестра} Куст реестра (файл) "\??\C:\Users\Святослав\AppData\Local\Microsoft\Windows\UsrClass.dat" был поврежден и восстановлен. Возможно, некоторые данные были утеряны.

Сбой операции ввода-вывода по адресу логического блока 0x8f7b6e8 для диска 5 (имя PDO: \Device\00000052) из-за ошибки оборудования. 

Используемый по умолчанию диспетчер ресурсов транзакций на томе L: обнаружил неповторяемую ошибку, и его запуск невозможен. Данные содержат код ошибки. 

Структура файловой системы тома D: восстановлена. 

 

это всё конечно здорово, вот прогнал кламавом чудную винду про которую писал вначале

/Users/Public/Desktop/StartMenu/StartIsBack-2.0.1.exe       РUA.Win.Trojan.Casino-141 

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/cache2/entries/21B5D561B5BBFA15DEC83FCC8CD5B8D01C47D7C9          PUA.Html.Exploit.CVE_2012_0469-1 

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/cache2/entries/19013B6D46AAB5A7D75DB66608FDFB018461694C          PUA.Win.Exploit.CVE_2012_1461-1

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/cache2/entries/120DBCE93E40C8AFF133D7418459CAAF9D174E73          PUA.Html.Exploit.CVE_2012_0469-1

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/cache2/entries/50D50DDDA8E978139AC1900ED3A65F368F7D68AF          PUA.Win.Exploit.CVE_2012_1461-1

/AppData/Local/Mozilla/Firefox/Profiles/jydurmo3.default-release/OfflineCache/0/D/2290B114039AD4-0         PUA.Html.Exploit.CVE_2012_0469-1 

/AppData/Local/Temp/40bf99b9-6c04-414b-b456-ba7544988d82.tmp                                                                PUA.Win.Exploit.CVE_2012_1461-1

/AppData/Roaming/Microsoft/Teams/Cache/Cache_Data/f_000013                                                                    PUA.Html.Exploit.CVE_2012_0469-1

итп.  PUA соответственно потому, что из под линукса

 

 

 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...