Перейти к содержанию
Правила раздела

Код руткита в функции Wow64Transition, загрузка диска 100%

presha

Автор presha
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

presha Новичок

presha

Опубликовано
Опубликовано
Добрый вечер!

 

Поймал вирус, про сканировал вебом он его не обнаруживает, постоянно горит индикатор жеского диска в процессах нет загрузки диска а в производительности загружен 100%, в ходе проверки авз выдает:

Функция user32.dll:Wow64Transition (1503) перехвачена, метод CodeHijack (метод не определен  >>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита) Ошибка анализа библиотеки user32.dll

CollectionLog-2019.10.04-23.56.zip

Ссылка на комментарий
Поделиться на другие сайты
SQ Гигант мысли

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

Кроме сообщения от AVZ что-то беспокоит?

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)
- Подготовьте лог AdwCleaner и приложите его в теме.
Ссылка на комментарий
Поделиться на другие сайты
presha Новичок

presha

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

Кроме сообщения от AVZ что-то беспокоит?

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: (disabled) \Microsoft\Windows\Shell\FamilySafetyUpload - {EBF00FCB-0769-4B81-9BEC-6C05514111AA},4 - (no file)
O22 - Task: \Microsoft\Windows\NetCfg\BindingWorkItemQueueHandler - {5AA199A0-1CED-43A5-9B85-3226086738A3} - (no file)
O22 - Task: \Microsoft\Windows\PerfTrack\BackgroundConfigSurveyor - {EA9155A3-8A39-40B4-8963-D3C761B18371} - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Idle Sync Maintenance Task - {BF6C1E47-86EC-4194-9CE5-13C15DCB2001},IdleSyncMaintenance - (no file)
O22 - Task: \Microsoft\Windows\SkyDrive\Routine Maintenance Task - {1B1F472E-3221-4826-97DB-2C2324D389AE},RoutineMaintenance - (no file)
- Подготовьте лог AdwCleaner и приложите его в теме.

 

Нет ничего не беспокоит ...

AdwCleaner_Debug.log

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Насколько понимаю там AdwCleaner отработал корректно и даже удалили через него найденные угрозы. Просто дебаг надо в настройках отключить.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mashin
      Загрузка ЦП в диспетчере задач на 100% на секунду.
      Автор Mashin
    • Mashin
      Загрузка ЦП в диспетчере задач на 100% на секунду.
      Автор Mashin
      Уже месяц борюсь с этой проблемой. Много чего перепробовал. Проверял множеством антивирусов и каждый ничего не нашел.
    • wastezxc
      Встроенная видеокарта на 100
      Автор wastezxc
      Здравствуйте, встроенная видеокарта работает при рендере текстур, при этом когда много эффектов она работает на 90-100 % и начинает лагать
       
    • alexchernobylov
      Зашифровали диски на уровне разделов
      Автор alexchernobylov
      Добрый день.
      Windows Server 2019
      Зашифрованы целые раздел с системой. Файловая система RAW. При включении появляется окно ввести пароль. Диски как будто зашифрованы BitLocker-ом.
      Один сервер скорее всего пробили по RDP, а второй сервер был без доступа по RDP и в другом домене (но на нем была виртуальная машина с RDP).
      Написал в телеграмм - просят 5000 долларов за восстановление 2 гипервизоров.
      Они спросили имя домена, серверов или их айпишники.
      Доступа к диску нет и файлы никакие не получить.
      Подскажите, пожалуйста, как справиться с данной заразой.


    • sss28.05.2025
      Зашифрованы BitLocker не системные диски/
      Автор sss28.05.2025
      Добрый день.
      Зловред залетел моментом на многие сервера по спику из ремоут десктоп менеджера и на всем куда смог попасть зашифровал все диски кроме с:\
      вложил файл PLEASE READ.txt PLEASE READ_пароль_1111.7z на рабочий стол пользователя под которым попал на сервер.
      На одном из серверов удалось поймать файл в C:\Users\%username%\Documents\vc.txtvc_пароль_1111.7z
      Пособирал файлики которые менялись на компе в момент атаки - может чем-то поможет для анализа_файлы которые изменились в момент доступа_злодея_пароль_1111.7z
       
       
       
      PLEASE READ_пароль_1111.7z
×
×
  • Создать...