Перейти к содержанию
Катам

AVZ и Rootkit в Windows 10 после чистки от заражения

Рекомендуемые сообщения

Добрый день. 

Пугает меня такое количество rootkit обнаруженных утилитой AVZ (отчет прилагаю).

Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.

На всех компах установлен лицензионный ESET. 

Какие то вирусы были найдены и вылечены.

 

My_avz_log_28.07.2020.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день. 

Пугает меня такое количество rootkit обнаруженных утилитой AVZ

Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.

На всех компах установлен лицензионный ESET. 

Какие то вирусы были найдены и вылечены.

 

Dr.Web CureIt! - проверка производилась

Логи сборщика логов AutoLogger.exe - во вложении.

 

Заранее спасибо!

PC1 - CollectionLog-2020.07.28-21.54.zip Mary - CollectionLog-2020.07.28-22.08.zip Nout - CollectionLog-2020.07.28-22.10.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Работаем по принципу один ПК - одна тема. Здесь продолжаем с PC1, для остальных создайте отдельные темы.

 

1. Как видите, в актуальной версии AVZ никаких руткитов не видно.

2. 

13 часов назад, Катам сказал:

На всех компах установлен лицензионный ESET

Почему же обратились к нам, а не на их форум? :)

 

3. 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

Auslogics BoostSpeed

 

4.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Предустановленное ПО не трогайте, остальное чистим:

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
30.07.2020 в 08:04, Sandor сказал:

 

  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра)
  • После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

При попытке загрузить данные файлы, форум выдает ошибку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Загружайте пока на какой-нибудь файлообменник и присылайте ссылку на скачивание.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    CHR HKU\S-1-5-21-140261806-1226091059-2818375961-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


  • Похожий контент

    • От Steel Rain
      Доброго всем времени суток!
       
      Судя по всему, поймали какого-то зловреда. Не дает устанавливать приложения и обновления.

       
      Установлен Kaspersky Endpoint Security 11.3.0.773 - работает, обновляется. На полной проверке ничего не находит.
      Прогнал полной проверкой avz, первый лог во вложении.
      Собранные Autologger'ом данные прилагаю.
      Прошу помочь в решении проблемы, заранее признателен.
      CollectionLog-2020.07.06-09.54.zip avz_log_060720.txt
    • От Руслан Степанов
      Перенаправили отсюда к вам=)
      https://forum.kasperskyclub.ru/index.php?showtopic=62639&page=1
    • От Руслан Степанов
      Привет. 
      Препод подкинул мне в учебных целях вирус через вайфай. Объясню суть: некая интеллектуальная система гуляет по компу, постоянно меняя директории, достоверно известно, что программа забирает примерно 10-30мб оперативной памяти, что отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных, даже после некоторого времени подключения. Антивирусы и утилиты результата не дали.

      добавил логи
      CollectionLog-2019.04.24-10.19.zip
    • От Шилов
      День добрый.
       
      Что-то сидит. Работает с размахом. Создает массу папок. Несколько служб. Не поленились сделать то, чего обычно не делают - "нормальные" названия, описания и авторство служб, зарезервированные ключи в реестре, настройки ацлек, "нормальные" пути и т.п. Не каждый заметит.
      CollectionLog-2018.09.19-11.58.zip
    • От wynr
      Здравствуете. Наткнуся на проблему
      "Функция ntdll.dll:NtMakeTemporaryObject (345) перехвачена, метод CodeHijack (метод не определен)
      Функция ntdll.dll:NtSetSystemTime (533) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwMakeTemporaryObject (1595) перехвачена, метод CodeHijack (метод не определен) Функция ntdll.dll:ZwSetSystemTime (1783) перехвачена, метод CodeHijack (метод не определен)  Анализ user32.dll, таблица экспорта найдена в секции .text Функция user32.dll:SendInput (2143) перехвачена, метод CodeHijack (метод не определен) Функция user32.dll:SetParent (2191) перехвачена, метод CodeHijack (метод не определен)"
      Прогон Dr.Web CureIt и KVRT ничего не показал.
      Логи AutoLogger и AVZ прилагаю
      Plhfdcndetn CollectionLog-2017.04.18-21.22.zip
      avz_log.txt
×
×
  • Создать...