Перейти к содержанию

[РЕШЕНО] Nout AVZ и Rootkit в Windows 10 после чистки от заражения


Рекомендуемые сообщения

Добрый день.

 

Эта тема касается ноутбука. первые два компа в других темах.

Множество rootkit обнаруженных утилитой AVZ

 

Провел проверку, Kaspersky Virus Removal Tool 2015; - чисто

Cureit - чисто

Отчет AutoLogger.exe - прилагаю

 

 

CollectionLog-2020.08.20-22.09.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    
    virustotal: C:\Users\Kot\Desktop\DTS.WIN\DTS.exe
    
    HKU\S-1-5-21-737526216-1760971788-2168355532-1000\...\Policies\Explorer: [] 
    GroupPolicy: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {1E99867B-1FE3-4B94-ABBE-15C0576495F1} - System32\Tasks\Pbrowserupd => C:\Users\Kot\AppData\Local\Pbrowserupd\Pbrowserupd.exe <==== ATTENTION
    Task: {4BC09F7A-1782-40D4-B215-411AD14B7D46} - \Microsoft\Windows\Setup\EOSNotify2 -> No File <==== ATTENTION
    Task: {CA1EA9B5-DF70-426E-B596-46429690F354} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
    Task: {F894623A-B90F-4787-8F7F-8814CE8CBA51} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant printer driver installation => C:\Windows\TEMP\DJ6520_1315-1.exe <==== ATTENTION
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты

По логам больше плохого не видно.

 

Обновите:

 

VLC media player v.3.0.5 Внимание! Скачать обновления
Microsoft .NET Framework 4.8 v.4.8.03761
Microsoft Silverlight v.5.1.50918.0
NVIDIA GeForce Experience 3.20.0.118 v.3.20.0.118 Внимание! Скачать обновления
Intel® Driver Update Utility v.2.0.0.29 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
WhatsApp v.2.2031.4 Внимание! Скачать обновления
Skype, версия 8.63 v.8.63
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.1.0.1
iTunes v.12.9.3.3 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
 

На этом все. 

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Катам
      Добрый день. 
      Пугает меня такое количество rootkit обнаруженных утилитой AVZ (отчет прилагаю).
      Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.
      На всех компах установлен лицензионный ESET. 
      Какие то вирусы были найдены и вылечены.
       
      My_avz_log_28.07.2020.txt
    • От Steel Rain
      Доброго всем времени суток!
       
      Судя по всему, поймали какого-то зловреда. Не дает устанавливать приложения и обновления.

       
      Установлен Kaspersky Endpoint Security 11.3.0.773 - работает, обновляется. На полной проверке ничего не находит.
      Прогнал полной проверкой avz, первый лог во вложении.
      Собранные Autologger'ом данные прилагаю.
      Прошу помочь в решении проблемы, заранее признателен.
      CollectionLog-2020.07.06-09.54.zip avz_log_060720.txt
    • От Руслан Степанов
      Перенаправили отсюда к вам=)
      https://forum.kasperskyclub.ru/index.php?showtopic=62639&page=1
    • От Руслан Степанов
      Привет. 
      Препод подкинул мне в учебных целях вирус через вайфай. Объясню суть: некая интеллектуальная система гуляет по компу, постоянно меняя директории, достоверно известно, что программа забирает примерно 10-30мб оперативной памяти, что отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных, даже после некоторого времени подключения. Антивирусы и утилиты результата не дали.

      добавил логи
      CollectionLog-2019.04.24-10.19.zip
    • От Шилов
      День добрый.
       
      Что-то сидит. Работает с размахом. Создает массу папок. Несколько служб. Не поленились сделать то, чего обычно не делают - "нормальные" названия, описания и авторство служб, зарезервированные ключи в реестре, настройки ацлек, "нормальные" пути и т.п. Не каждый заметит.
      CollectionLog-2018.09.19-11.58.zip
×
×
  • Создать...