Перейти к содержанию
Катам

[РЕШЕНО] AVZ и Rootkit в Windows 10 после чистки от заражения

Рекомендуемые сообщения

Добрый день. 

Пугает меня такое количество rootkit обнаруженных утилитой AVZ (отчет прилагаю).

Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.

На всех компах установлен лицензионный ESET. 

Какие то вирусы были найдены и вылечены.

 

My_avz_log_28.07.2020.txt

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

  • Like (+1) 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Добрый день. 

Пугает меня такое количество rootkit обнаруженных утилитой AVZ

Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.

На всех компах установлен лицензионный ESET. 

Какие то вирусы были найдены и вылечены.

 

Dr.Web CureIt! - проверка производилась

Логи сборщика логов AutoLogger.exe - во вложении.

 

Заранее спасибо!

PC1 - CollectionLog-2020.07.28-21.54.zip Mary - CollectionLog-2020.07.28-22.08.zip Nout - CollectionLog-2020.07.28-22.10.zip

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Работаем по принципу один ПК - одна тема. Здесь продолжаем с PC1, для остальных создайте отдельные темы.

 

1. Как видите, в актуальной версии AVZ никаких руткитов не видно.

2. 

13 часов назад, Катам сказал:

На всех компах установлен лицензионный ESET

Почему же обратились к нам, а не на их форум? :)

 

3. 

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Цитата

Auslogics BoostSpeed

 

4.

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1. Предустановленное ПО не трогайте, остальное чистим:

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2. 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
30.07.2020 в 08:04, Sandor сказал:

 

  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра)
  • После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

При попытке загрузить данные файлы, форум выдает ошибку

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Загружайте пока на какой-нибудь файлообменник и присылайте ссылку на скачивание.

  • Спасибо (+1) 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    
    CHR HKU\S-1-5-21-140261806-1226091059-2818375961-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
    ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
    ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} =>  -> No File
    ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
    ContextMenuHandlers4: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} =>  -> No File
    ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} =>  -> No File
    Reboot:
    End::

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
28.07.2020 в 19:15, Катам сказал:

Пугает меня такое количество rootkit обнаруженных утилитой AVZ

Это нормальное являние. Там перехваты и от самой системы, а тем более от win10 и от антивируса.

 

Плохого ничего не видно.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните [url=https://safezone.cc/threads/16715/]рекомендации после лечения[/url].

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Скрипт выполнил. Уязвимостей не найдено. Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Похожий контент

    • От Катам
      Добрый день.
       
      Эта тема касается ноутбука. первые два компа в других темах.
      Множество rootkit обнаруженных утилитой AVZ
       
      Провел проверку, Kaspersky Virus Removal Tool 2015; - чисто
      Cureit - чисто
      Отчет AutoLogger.exe - прилагаю
       
       
      CollectionLog-2020.08.20-22.09.zip
    • От Steel Rain
      Доброго всем времени суток!
       
      Судя по всему, поймали какого-то зловреда. Не дает устанавливать приложения и обновления.

       
      Установлен Kaspersky Endpoint Security 11.3.0.773 - работает, обновляется. На полной проверке ничего не находит.
      Прогнал полной проверкой avz, первый лог во вложении.
      Собранные Autologger'ом данные прилагаю.
      Прошу помочь в решении проблемы, заранее признателен.
      CollectionLog-2020.07.06-09.54.zip avz_log_060720.txt
    • От Руслан Степанов
      Перенаправили отсюда к вам=)
      https://forum.kasperskyclub.ru/index.php?showtopic=62639&page=1
    • От Руслан Степанов
      Привет. 
      Препод подкинул мне в учебных целях вирус через вайфай. Объясню суть: некая интеллектуальная система гуляет по компу, постоянно меняя директории, достоверно известно, что программа забирает примерно 10-30мб оперативной памяти, что отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных, даже после некоторого времени подключения. Антивирусы и утилиты результата не дали.

      добавил логи
      CollectionLog-2019.04.24-10.19.zip
    • От Шилов
      День добрый.
       
      Что-то сидит. Работает с размахом. Создает массу папок. Несколько служб. Не поленились сделать то, чего обычно не делают - "нормальные" названия, описания и авторство служб, зарезервированные ключи в реестре, настройки ацлек, "нормальные" пути и т.п. Не каждый заметит.
      CollectionLog-2018.09.19-11.58.zip
×
×
  • Создать...