Буткит, Майнер, Ратник в одном флаконе

[49advan]

Заражался раньше майнером и раткой в одном флаконе, после переустановки винды он типо удалился но мне кажется что там все ещё есть часть от ратника или даже ещё там keylogger ведь кто то все время заходит ко мне в Стим хотя я не вводил нигде свои данные Стима. Каждые 2 недели заходят на акк без Steam Guard и без Email 3 чела с Питера. Есть Native Shell (нативный режим NT до запуска Win32, обычно все вирусы работают на Win32), могу записать LiveCD, Kaspersky Rescue Disk не работает, Dr. Web LiveCD тоже. Но установщик убунту прекрасно запускается.

[49advan]

Да и ещё к тому же если зайти в историю посещения в Appdata то проводник сразу перезапускается. Был ещё любимый наш John. При открытии сайтов антивирусных до удаления либо закрывался браузер либо открывался сайт google и писал что то типо такого.

Изменено 16 мая пользователем 49advan

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[49advan]

1 минуту назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Я просто сейчас не дома, решил создать тему заранее.

[49advan]

11 часов назад, Sandor сказал:

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

 

CollectionLog-2025.05.17-02.00.zip

[Sandor]

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[49advan]

4 часа назад, Sandor сказал:

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

у меня frst не работает, уходит в цикличный перезапуск, пишет что нашел обновление

 

Addition.txt FRST.txt

[Sandor]

Пожалуйста, не цитируйте полностью предыдущее сообщение. Пишите в нижнем поле быстрого ответа.

 

Сообщите как сейчас себя ведёт система. Про то, что было ранее, до переустановки системы, говорить не нужно, чтобы было меньше путаницы.

Программу Radmin VPN 1.4.1 ставили себе самостоятельно?

[49advan]

17 часов назад, Sandor сказал:

Сообщите как сейчас себя ведёт система. Про то, что было ранее, до переустановки системы, говорить не нужно, чтобы было меньше путаницы.

Программу Radmin VPN 1.4.1 ставили себе самостоятельно?

Ведёт нормально, порой зависает, отвисает только после отключения и включения звуковой карты. Радмин сам ставил, потом забил и просто открыл порты (27015, 25565 и 3389 вроде).

[Sandor]

22 часа назад, Sandor сказал:

Пожалуйста, не цитируйте полностью предыдущее сообщение

Не заметили?

 

4 часа назад, 49advan сказал:

просто открыл порты (27015, 25565 и 3389 вроде)

Всё равно, что открыть дверь и крупными буквами написать - ЗАХОДИТЕ!

 

4 часа назад, 49advan сказал:

отвисает только после отключения и включения звуковой карты.

Пробуйте переустановить драйвер звуковой платы. Впрочем, об этом лучше посоветоваться в соседнем разделе.

 

По нашей части больше ничего плохого не видно.

Соберите такой отчёт:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[49advan]

А как мне на время отключить прослушивание портов с компа? Просто с роутера не хочется отрубать, порой нужен этот порт (27015), ост. закрою 

[Sandor]

8 часов назад, Sandor сказал:

об этом лучше посоветоваться в соседнем разделе.

Создайте там тему и ссылку на текущую там укажите.

 

 

[49advan]

SecurityCheck.txt

[49advan]

В 19.05.2025 в 18:46, Sandor сказал:

Создайте там тему и ссылку на текущую там укажите.

 

 

Sandor, вы тут?

[Sandor]

Да. По логу - только устаревшая система:

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^