[РЕШЕНО] AVZ и Rootkit в Windows 10 после чистки от заражения

[Катам]

Добрый день. 

Пугает меня такое количество rootkit обнаруженных утилитой AVZ (отчет прилагаю).

Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.

На всех компах установлен лицензионный ESET. 

Какие то вирусы были найдены и вылечены.

 

My_avz_log_28.07.2020.txt

[mike 1]

 

[Катам]

Добрый день. 

Пугает меня такое количество rootkit обнаруженных утилитой AVZ

Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.

На всех компах установлен лицензионный ESET. 

Какие то вирусы были найдены и вылечены.

 

Dr.Web CureIt! - проверка производилась

Логи сборщика логов AutoLogger.exe - во вложении.

 

Заранее спасибо!

PC1 - CollectionLog-2020.07.28-21.54.zip Mary - CollectionLog-2020.07.28-22.08.zip Nout - CollectionLog-2020.07.28-22.10.zip

[Sandor]

Здравствуйте!

 

Работаем по принципу один ПК - одна тема. Здесь продолжаем с PC1, для остальных создайте отдельные темы.

 

1. Как видите, в актуальной версии AVZ никаких руткитов не видно.

2. 

13 часов назад, Катам сказал:

На всех компах установлен лицензионный ESET

Почему же обратились к нам, а не на их форум?

 

3. 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

Auslogics BoostSpeed

 

4.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Катам]

Отчет.

AdwCleaner[S01].txt

[Sandor]

1. Предустановленное ПО не трогайте, остальное чистим:

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Катам]

30.07.2020 в 08:04, Sandor сказал:

 

• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра)
• После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

При попытке загрузить данные файлы, форум выдает ошибку

[thyrex]

Загружайте пока на какой-нибудь файлообменник и присылайте ссылку на скачивание.

[Катам]

Файлы загружены сюда

 

https://cloud.mail.ru/public/4GBM/3ma9d78v3

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  CHR HKU\S-1-5-21-140261806-1226091059-2818375961-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
  ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
  ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
  ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
  ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
  ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
  ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
  ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[Катам]

Файл.

Fixlog.txt

[regist]

28.07.2020 в 19:15, Катам сказал:

Пугает меня такое количество rootkit обнаруженных утилитой AVZ

Это нормальное являние. Там перехваты и от самой системы, а тем более от win10 и от антивируса.

 

Плохого ничего не видно.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var

	LogPath : string;

	ScriptPath : string;



	begin

	 LogPath := GetAVZDirectory + 'log\avz_log.txt';

	 if FileExists(LogPath) Then DeleteFile(LogPath);

	 ScriptPath := GetAVZDirectory +'ScanVuln.txt';



	  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin

	    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin

	       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');

	       exit;

	      end;

	  end;

	 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)

	end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните [url=https://safezone.cc/threads/16715/]рекомендации после лечения[/url].

 

[Катам]

Скрипт выполнил. Уязвимостей не найдено. Спасибо

[regist]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".