Перейти к содержанию

[РЕШЕНО] Nout AVZ и Rootkit в Windows 10 после чистки от заражения


Рекомендуемые сообщения

Добрый день.

 

Эта тема касается ноутбука. первые два компа в других темах.

Множество rootkit обнаруженных утилитой AVZ

 

Провел проверку, Kaspersky Virus Removal Tool 2015; - чисто

Cureit - чисто

Отчет AutoLogger.exe - прилагаю

 

 

CollectionLog-2020.08.20-22.09.zip

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" и "90 Days Files".
  3. Нажмите кнопку Scan.
  4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


3munStB.png
Ссылка на сообщение
Поделиться на другие сайты

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

  1. Временно выгрузите антивирус, файрволл и прочее защитное ПО
  2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл в кодировке Юникод как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    CreateRestorePoint:
    CloseProcesses:
    
    virustotal: C:\Users\Kot\Desktop\DTS.WIN\DTS.exe
    
    HKU\S-1-5-21-737526216-1760971788-2168355532-1000\...\Policies\Explorer: [] 
    GroupPolicy: Restriction ? <==== ATTENTION
    FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    Task: {1E99867B-1FE3-4B94-ABBE-15C0576495F1} - System32\Tasks\Pbrowserupd => C:\Users\Kot\AppData\Local\Pbrowserupd\Pbrowserupd.exe <==== ATTENTION
    Task: {4BC09F7A-1782-40D4-B215-411AD14B7D46} - \Microsoft\Windows\Setup\EOSNotify2 -> No File <==== ATTENTION
    Task: {CA1EA9B5-DF70-426E-B596-46429690F354} - \Microsoft\Windows\Setup\EOSNotify -> No File <==== ATTENTION
    Task: {F894623A-B90F-4787-8F7F-8814CE8CBA51} - System32\Tasks\Hewlett-Packard\HP Support Assistant\HP Support Assistant printer driver installation => C:\Windows\TEMP\DJ6520_1315-1.exe <==== ATTENTION
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    
  3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  4. Обратите внимание, что компьютер будет перезагружен.
  5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

  • Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24  отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите отчет в вашей теме


 

Ссылка на сообщение
Поделиться на другие сайты

По логам больше плохого не видно.

 

Обновите:

 

VLC media player v.3.0.5 Внимание! Скачать обновления
Microsoft .NET Framework 4.8 v.4.8.03761
Microsoft Silverlight v.5.1.50918.0
NVIDIA GeForce Experience 3.20.0.118 v.3.20.0.118 Внимание! Скачать обновления
Intel® Driver Update Utility v.2.0.0.29 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
WhatsApp v.2.2031.4 Внимание! Скачать обновления
Skype, версия 8.63 v.8.63
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u261-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
Bonjour v.3.1.0.1
iTunes v.12.9.3.3 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
 

На этом все. 

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Smolwar
      От Smolwar
      Господа! Прошу вашей помощи, и более компетентного опыта по проблеме, нежели имею я. А именно, несмотря на то, что стандартные антивирусники у меня ничего не ловят, а анти-малвары лишь периодически чекают, что умудрился цепануть, AVZ уже как год, стабильно каждый скан выдает список из перехватчиков API, работающих в UserMode: kernel32.dll user32.dll advapi32.dll ntdll.dll и т.д. и т.п., которые якобы нейтрализуются, но по факту походу...противодействуют. И вновь после резета там где были. И да, я знаю что на x64 avz не запускает свои 2-а основных сервиса "guard и pm"....Хоть, на производительность, вроде, как бы не влияет особо, но утечки своих данных, даже  пусть и "цифрового мусора" не хочется, однако. И даже своей делитантской интуицией, я чую что моя система дырая насквозь...(овер 30 sv-хостов в процессах явно не норма?!) А сегодня при попытке ручками вычистить 1-у из функций внедрившихся (новую!), словил shutdown в первые в жизни. Обделался легким испугом) Все файлы логов 4-мя разными сканерами прилагаю в ссылке. И прошу, или скрипт чтоб побороть это, или указать путь по которому рыть дальше, или помощь "пояснительной бригады" если я возможно (очень может быть) недопонимаю тонкостей, да и самой структуры методов в этих нюансах.              Логи <-тут! Или же сами txt здесь:                Буду крайне признателен за любую, даже теоретическую помощь! 
      Addition.txt avz_log.txt FRST.txt SecurityCheck.txt
    • Iam
      От Iam
      Привет ребят, не гоните сочными тряпками. По общему описанию. Китайский зашитый бекдор, руткит в ssd goldenfir. Думаю встречались некоторые. Встраивается в ядро и железо походу. Полное зануление не помогает. Хвост - фиксит бсод. Tdss находит неподпис btha2dp.sys bthhfenum.sys Это сборка или есть название этому чуду(дальше пойду гуглить). Выкинуть в принципе не жалко. Мать прошивал по правилам. Сейчас роутер не пингуется. Так что накидывают мне по ситуации, но интересно
    • puki
      От puki
      Здравствуйте, мой компьютер заражен rat(remote access trojan).
      Который выживает после переустановки операционной системы.
      Я думаю, что вирус активен перед загрузкой Windows.
       
      Симптомы:
      -закрытие процессов
      - скрыть иконки в трее
      - смена паролей
      -установка программ, даже не заметив -медленный интернет
       
      Какая информация была бы вам полезна?
       
      Извините, если есть ошибки. Но русский не мой родной язык.
      Спасибо.
    • makes
      От makes
      Собственно сабж.
      Пишет нейтрализован, но при следующем сканировании та же картина. Прилагаю лог: 
      avz_log.txt
    • raff77
      От raff77
      не удается установить обновления, в событиях windows много ошибок.
      меню пуск не открывается .
      не удается установить компонент internet explorer 11 
      не удается установить надстройку с доверенного сайта.
      в avz подозрения на rootkit'ы, которые не устраняются.
      guard32.dll возможно это comodo antivirus.
      по возможности прошу оказать содействие.
      если повреждено много системных файлов, попробую восстанавливать вручную сам.
      CollectionLog-2022.05.28-19.52.zip
×
×
  • Создать...