Перейти к содержанию

[РЕШЕНО] AVZ и Rootkit в Windows 10 после чистки от заражения


Рекомендуемые сообщения

Добрый день. 

Пугает меня такое количество rootkit обнаруженных утилитой AVZ (отчет прилагаю).

Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.

На всех компах установлен лицензионный ESET. 

Какие то вирусы были найдены и вылечены.

 

My_avz_log_28.07.2020.txt

Ссылка на сообщение
Поделиться на другие сайты

Добрый день. 

Пугает меня такое количество rootkit обнаруженных утилитой AVZ

Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.

На всех компах установлен лицензионный ESET. 

Какие то вирусы были найдены и вылечены.

 

Dr.Web CureIt! - проверка производилась

Логи сборщика логов AutoLogger.exe - во вложении.

 

Заранее спасибо!

PC1 - CollectionLog-2020.07.28-21.54.zip Mary - CollectionLog-2020.07.28-22.08.zip Nout - CollectionLog-2020.07.28-22.10.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Работаем по принципу один ПК - одна тема. Здесь продолжаем с PC1, для остальных создайте отдельные темы.

 

1. Как видите, в актуальной версии AVZ никаких руткитов не видно.

2. 

13 часов назад, Катам сказал:

На всех компах установлен лицензионный ESET

Почему же обратились к нам, а не на их форум? :)

 

3. 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

Auslogics BoostSpeed

 

4.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Предустановленное ПО не трогайте, остальное чистим:

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
30.07.2020 в 08:04, Sandor сказал:

 

  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра)
  • После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

При попытке загрузить данные файлы, форум выдает ошибку

Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    CHR HKU\S-1-5-21-140261806-1226091059-2818375961-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты
  • 3 weeks later...
28.07.2020 в 19:15, Катам сказал:

Пугает меня такое количество rootkit обнаруженных утилитой AVZ

Это нормальное являние. Там перехваты и от самой системы, а тем более от win10 и от антивируса.

 

Плохого ничего не видно.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните [url=https://safezone.cc/threads/16715/]рекомендации после лечения[/url].

 

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Smolwar
      От Smolwar
      Господа! Прошу вашей помощи, и более компетентного опыта по проблеме, нежели имею я. А именно, несмотря на то, что стандартные антивирусники у меня ничего не ловят, а анти-малвары лишь периодически чекают, что умудрился цепануть, AVZ уже как год, стабильно каждый скан выдает список из перехватчиков API, работающих в UserMode: kernel32.dll user32.dll advapi32.dll ntdll.dll и т.д. и т.п., которые якобы нейтрализуются, но по факту походу...противодействуют. И вновь после резета там где были. И да, я знаю что на x64 avz не запускает свои 2-а основных сервиса "guard и pm"....Хоть, на производительность, вроде, как бы не влияет особо, но утечки своих данных, даже  пусть и "цифрового мусора" не хочется, однако. И даже своей делитантской интуицией, я чую что моя система дырая насквозь...(овер 30 sv-хостов в процессах явно не норма?!) А сегодня при попытке ручками вычистить 1-у из функций внедрившихся (новую!), словил shutdown в первые в жизни. Обделался легким испугом) Все файлы логов 4-мя разными сканерами прилагаю в ссылке. И прошу, или скрипт чтоб побороть это, или указать путь по которому рыть дальше, или помощь "пояснительной бригады" если я возможно (очень может быть) недопонимаю тонкостей, да и самой структуры методов в этих нюансах.              Логи <-тут! Или же сами txt здесь:                Буду крайне признателен за любую, даже теоретическую помощь! 
      Addition.txt avz_log.txt FRST.txt SecurityCheck.txt
    • Iam
      От Iam
      Привет ребят, не гоните сочными тряпками. По общему описанию. Китайский зашитый бекдор, руткит в ssd goldenfir. Думаю встречались некоторые. Встраивается в ядро и железо походу. Полное зануление не помогает. Хвост - фиксит бсод. Tdss находит неподпис btha2dp.sys bthhfenum.sys Это сборка или есть название этому чуду(дальше пойду гуглить). Выкинуть в принципе не жалко. Мать прошивал по правилам. Сейчас роутер не пингуется. Так что накидывают мне по ситуации, но интересно
    • puki
      От puki
      Здравствуйте, мой компьютер заражен rat(remote access trojan).
      Который выживает после переустановки операционной системы.
      Я думаю, что вирус активен перед загрузкой Windows.
       
      Симптомы:
      -закрытие процессов
      - скрыть иконки в трее
      - смена паролей
      -установка программ, даже не заметив -медленный интернет
       
      Какая информация была бы вам полезна?
       
      Извините, если есть ошибки. Но русский не мой родной язык.
      Спасибо.
    • makes
      От makes
      Собственно сабж.
      Пишет нейтрализован, но при следующем сканировании та же картина. Прилагаю лог: 
      avz_log.txt
    • raff77
      От raff77
      не удается установить обновления, в событиях windows много ошибок.
      меню пуск не открывается .
      не удается установить компонент internet explorer 11 
      не удается установить надстройку с доверенного сайта.
      в avz подозрения на rootkit'ы, которые не устраняются.
      guard32.dll возможно это comodo antivirus.
      по возможности прошу оказать содействие.
      если повреждено много системных файлов, попробую восстанавливать вручную сам.
      CollectionLog-2022.05.28-19.52.zip
×
×
  • Создать...