Перейти к содержанию

Похоже руткит


Тарас333

Рекомендуемые сообщения

По каким признакам пришли к выводу о возможном проживании руткита в вашей системе?

 

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+ образ автозапуска в uVS

 

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

@Тарас333, определитесь где будете продолжать, здесь или на Вирусинфо?

Одновременное лечение на разных ресурсах может вам же повредить и только запутает консультанта.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Jafar_e
      От Jafar_e
      Поймали паразита который зашифровал все файлы кроме программ и скриптов. С помощью ПО отловили нахождение.
      К компьютеру в был подключен NAS - результат зашифрован весь архив рабочий.
      В приложении образцы зашифрованных файлов, зловреда, отчет FRST и письмо счастья, в котом на удивление нет уникального ID и обои не были сменены на рабочем столе.
      pass: virus
      Mimik.zip
    • Шевченко Максим
      От Шевченко Максим
      Сработал ночью в 5.50, на сервере стоял блок на пользователя при 3х попытках ввода пароля и блокировок по политике не было, но вирус затер все журналы винды до момента его отработки поэтому точно не могу сказать, остался *.hta файл может чем то поможет, но понимаю  чт Addition.txtо врятли. Стоял КЕС 12 эта бяка его снесла.
      FRST.txt Вирус.zip
    • Oleg S
      От Oleg S
      Здравствуйте! 24/01/2022 в 19-41 переименованы и зашифрованы папки и многие программы на сервере 1С с доступом через RDP
      Win2008 Server R2, базы файл-серверные. Обнаружено в 22часа того же дня.

      Зашифрованы также архивы баз 1С на отдельном диске.
      PDF файлы сканов в общедоступных папках, на которые передаются с МФУ остались целыми (не шифровались).
      После лечения несколькими приложениями сервер подвис и не перезапустился. При загрузке ссылается на недоступность загрузочной записи. Похоже на проблемы рэйда. Диск с базами и диск с архивами вынуты и подключены к другому пк на Вин10.
      Диск с исходными базами не копируется, часть его папок открыть можно легко, часть нет - при попытке скопировать или прочесть отсоединяется внешний диск.
      Диск с зашифрованными архивами открывается и копируется штатно.
       
      Логи с пк, на котором открывались диски сервера. Этот ПК не подвергался заражению-шифровке. Вирус к моменту потери работоспособности сервером был отловлен антивирусом и обезврежен.
       
      Прошу помочь в расшифровке!

       
      Addition.txt FRST.txt Downloads.zip
    • Arturr
      От Arturr
      Нарвался на вирус майнера, почистил прогой AVB, это решило проблему, но винда стала работать гораздо хуже многие службы просто не работают из-за ошибок. Просканировал farbar recovery scan tool. Создайте пожалуйста fix list по логам или подскажите, что нужно делать?
      Addition.txt FRST.txt Addition_26-11-2023 02.06.01.txt FRST_26-11-2023 02.06.01.txt
    • user69696969
      От user69696969
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
       >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
      Ошибка анализа библиотеки user32.dll   
      аvz выдает ну там еще нейтрализует что то постоянно при чем при след скане.возобновляеться вообщем мне кажеться дело в эом коде подскажите плз как удалить его?не получаеться вообще
×
×
  • Создать...