EvgRts 0 Опубликовано 21 июня, 2021 Share Опубликовано 21 июня, 2021 Доброго времени суток! Подцепили данную гадость, судя по всему расползается по сети, т. к. изначально проблема проявлялась в высокой нагрузке на ЦП на другом ПК, в диспетчере задач процесса с большой нагрузкой на ЦП не нашел, решил просканировать ПК KVRT - в результате утилита нашла руткиты в файлах Winmon.sys, winmonfs.sys, подтвердил удаление с перезагрузкой, но при повторном сканировании они определяются вновь. Сейчас аналогичная проблема на ПК с которого пишу, лог с Autologger'a приложить не могу - AVZ виснет после начала сканирования (после этапа, когда нужно свернуть запустившиеся IE и Chrome), ждал 40 минут - без изменений. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 21 июня, 2021 Share Опубликовано 21 июня, 2021 Здравствуйте! Только что, EvgRts сказал: AVZ виснет после начала сканирования Сеть (локальная или внешняя) в это время отключена? Пробуйте собрать в безопасном режиме. Ссылка на сообщение Поделиться на другие сайты
EvgRts 0 Опубликовано 21 июня, 2021 Автор Share Опубликовано 21 июня, 2021 Сеть подключена, получилось снять логи в безопасном режиме CollectionLog-2021.06.21-16.12.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 21 июня, 2021 Share Опубликовано 21 июня, 2021 7 минут назад, EvgRts сказал: Сеть подключена На время лечения отключите и попробуйте собрать логи без сети в нормальном режиме (не в безопасном). Ссылка на сообщение Поделиться на другие сайты
EvgRts 0 Опубликовано 21 июня, 2021 Автор Share Опубликовано 21 июня, 2021 Отключение сети не помогло, все так же виснет Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 21 июня, 2021 Share Опубликовано 21 июня, 2021 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS). Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме. Подробнее читайте в руководстве Как подготовить лог UVS. Ссылка на сообщение Поделиться на другие сайты
EvgRts 0 Опубликовано 21 июня, 2021 Автор Share Опубликовано 21 июня, 2021 все файлы из автозагрузки были проверены на VirusTotal. По поводу uVS - зависает на этапе формирования списка Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 июня, 2021 Share Опубликовано 22 июня, 2021 Соберите этот лог из под WinPE или из среды восстановления. Ссылка на сообщение Поделиться на другие сайты
EvgRts 0 Опубликовано 22 июня, 2021 Автор Share Опубликовано 22 июня, 2021 Снял лог через PE ADM_2021-06-22_12-10-02_v4.1.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 июня, 2021 Share Опубликовано 22 июня, 2021 Выполните следующий скрипт: ;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c ;---------command-block--------- delref %SystemRoot%\RSS\CSRSS.EXE delref %SystemDrive%\USERS\7272~1\APPDATA\LOCAL\TEMP\HALENG.EXE delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\TEMP\V8_1DA0_16.TMP apply Войдите в нормальный режим. Если файл Цитата C:\TOOLKIT-LE_2\渥矮璢ャ・ュ粱 -LE_2\X527-渥矮璢ャ・ュ粱.CMD известен, упакуйте всю папку в архив с перемещением. Если не известен, просто удалите и пробуйте собрать CollectionLog Автологером. Ссылка на сообщение Поделиться на другие сайты
EvgRts 0 Опубликовано 22 июня, 2021 Автор Share Опубликовано 22 июня, 2021 Скрипт выполнил, папка известная, но на всякий случай удалил, загрузился в обычный режим. Запустил Autologger - тоже самое что и в предыдщий раз, за исключением того, что теперь виснет вся система, а не только AVZ Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 июня, 2021 Share Опубликовано 22 июня, 2021 По логам особо плохого больше не видно. Давайте попробуем выяснить причину зависания: которая скорее всего кроется в сторонней службе или программе. В этом случае выполните следующие действия. Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft. Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб. Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит. Аналогичным образом можно поступить на вкладке Автозагрузка. Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь. Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление. Подробнее об этой диагностике читайте здесь. Ссылка на сообщение Поделиться на другие сайты
EvgRts 0 Опубликовано 22 июня, 2021 Автор Share Опубликовано 22 июня, 2021 Отключил все не майкрософтовские службы кроме Nvidia - лог удалось снять, в автозагрузке тоже все поотключал CollectionLog-2021.06.22-13.18.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 22 июня, 2021 Share Опубликовано 22 июня, 2021 По предложенной выше методике попробуйте теперь определить кто "вешает" систему. В логах порядок. Проверьте уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
EvgRts 0 Опубликовано 22 июня, 2021 Автор Share Опубликовано 22 июня, 2021 Пытаюсь отследить службу, лог от SecurityCheck прилагаю SecurityCheck.txt со службой разобрался - это были 3 службы программы ViTerminal, пользовались ей давно, поэтому отключил за ненадобностью, теперь логи снимаются нормально Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения