Перейти к содержанию
Правила раздела

Подозрения на rootkit

wynr

Автор wynr
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

wynr

wynr

Опубликовано
Опубликовано

Здравствуете. Наткнуся на проблему

"Функция ntdll.dll:NtMakeTemporaryObject (345) перехвачена, метод CodeHijack (метод не определен)

Функция ntdll.dll:NtSetSystemTime (533) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwMakeTemporaryObject (1595) перехвачена, метод CodeHijack (метод не определен)
Функция ntdll.dll:ZwSetSystemTime (1783) перехвачена, метод CodeHijack (метод не определен)
 Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SendInput (2143) перехвачена, метод CodeHijack (метод не определен)

Функция user32.dll:SetParent (2191) перехвачена, метод CodeHijack (метод не определен)"

Прогон Dr.Web CureIt и KVRT ничего не показал.

Логи AutoLogger и AVZ прилагаю

Plhfdcndetn

CollectionLog-2017.04.18-21.22.zip

avz_log.txt

regist

regist

Опубликовано
Опубликовано

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 
2)

Ace Stream Media 3.1.2 [2016/04/03 23:47:34]-->C:\Users\shunya\AppData\Roaming\ACEStream\Uninstall.exe
AS Magic Player 1.0.3 [2015/06/06 22:00:55]-->C:\Users\shunya\AppData\Roaming\ASMagicPlayer\Uninstall.exe
UC Browser [20161202]-->"D:\Program Files (x86)\UCBrowser\Application\Uninstall.exe" --uninstall --system-level --verbose-logging

деинсталируйте.

 

3)

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
  • Прикрепите отчет к своему следующему сообщению.

regist

regist

Опубликовано
Опубликовано

  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome

    [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 

regist

regist

Опубликовано
Опубликовано

Кроме описанного в первом посте, что-то беспокоит?

wynr

wynr

Опубликовано
  • Автор
Опубликовано

Кроме описанного в первом посте, что-то беспокоит?

Не запускается ULauncher_build_2.191.exe в папке d:\Game\Battlefield 2\. Начали разбор полетов и вышел на ошибки в AVZ

regist

regist

Опубликовано
Опубликовано

вышел на ошибки в AVZ

Это не ошибки, это нормальное поведение.

  • Пожалуйста, запустите adwcleaner.exe
  • Нажмите File (Файл) Uninstall (Деинсталлировать).
  • Подтвердите удаление нажав кнопку: Да.

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

 

wynr

wynr

Опубликовано
  • Автор
Опубликовано

Ок, выполнил. Обновил что выпало.

Рекомендации тоже. Спс

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Tofu12
      Удаление bootkit/rootkit и остальных бэкдоров
      Автор Tofu12
      Нужна информация по удалению bootkit/rootkit и в частности о том как еще прошить клавиатуру и мышку, для удаления вредоносного кода на уровне прошивки, а так же ссылки на прошивку. Результаты в гугле на эту тему нулевые почти. Есть какие нибудь физические организации которые помогаю с устранение взломанных устройств 

      клавиатура: ardor gaming wakizashi - Как ее перевести в режим прошивки 
      мышь: ardor gaming exile - Как ее перевести в режим прошивки 
      Сообщение от модератора thyrex Переехали в более подходящий раздел
    • Vovkaproshka
      Подозрение на майнер
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • GlibZabiv
      Подозрение на майнер
      Автор GlibZabiv
      Здравствуйте, ЦП AMD Ryzen 5 3600 в простое греется до 65-75 градусов, ГП AMD Radeon RX 570 Series до 48-50 градусов. Насколько я знаю, в простое такая температура ненормальна. По диспетчеру задач нагрузка небольшая. Kaspersky Internet Security, Dr.Web CurIt! майнера не видят. Прошу вас сказать, заражен ли мой компьютер (данные брал из программы AIDA 64).
      CollectionLog-2025.05.31-12.01.zip
    • ShadowIce449
      Подозрение на майнер
      Автор ShadowIce449
      игры упали в производ, вертушки начали шуметь просто так, испол drweb ничего не обнаружил, а также запустил avz. Cкачивал игры с торрент игрухе и т.д
       
      CollectionLog-2025.06.12-21.38.zip
    • Isik
      Подозрение на майнер
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
×
×
  • Создать...