Перейти к содержанию
Правила раздела
Конкурс буквы "К"

[РЕШЕНО] Возможно руткит, Касперский не определяет

Андрей С

Автор Андрей С,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Андрей С

Андрей С 0

Опубликовано
Опубликовано (изменено)

Добрый день.

 

Windows 10 на запуски системных/административных программ начала ругаться на "неизвестный издатель" (cmd.exe например). 

Касперский антивирус с последними базами и tdsskiller ничего не находит (в т.ч. в Безопасном режиме).

GMER (не спец, просто нашел в интернете - "готовить" не умею :( ) говорит про hidden сервисы. При попытке их "Disable" там же приложение GMER закрывается. При попытке полного сканирования GMER'ом Windows вываливается в BSOD.

Есть дамп диска ~150ГБ, созданный клонзиллой перед попыткой что-то сделать.

gmer_scrnsht.jpg

Прочитав соседние темы прикладываю файлы сгенерированные FRST, чтобы сократить время переписок (если я всё правильно понял)

FRST.txt Addition.txt

И еще логи AutoLogger впридачу

CollectionLog-2021.11.23-01.15.zip

В логах есть 9vprzkdk.exe - это GMER

Изменено пользователем Андрей С
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 927

Опубликовано
Опубликовано

Здравствуйте!

 

Система оригинальная или сборка?

Спрашиваю потому, что это могло произойти после некоего патча, активации и т.п. Большинство системных файлов изменены.

Можем попробовать восстановить, но это чревато сбоем.

 

GMER к сожалению перестал обновляться и на Win 10 он не работает. А скрытый файл еще не значит плохой.

Ссылка на сообщение
Поделиться на другие сайты
Андрей С

Андрей С 0

Опубликовано
  • Автор
Опубликовано (изменено)

Там точно что-то есть.
На любой запуск чего-то системного или административного Windows контроль учетных записей спрашивает разрешения на запуск приложения которое хочет изменять данные на диске. Причем имя файла оригинальное (например cmd.exe), но издатель "Нет данных", а не Microsoft.

Система оригинальная. OEM вместе с компом шла от ASUS. Лицензионная. 

В целом сбой и переустановка если других вариантов не останется лучше чем руткит который пароли от почты или не дай бог онлайн банкинга воровать будет :( 

Изменено пользователем Андрей С
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 927

Опубликовано
Опубликовано

Хорошо, попробуем.

Перед выполнением отключите и выгрузите все работающие приложения, в том числе антивирус.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\Никита\Desktop\картинка1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\Никита\Desktop\картинка1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Никита\Desktop\картинка2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\Никита\Desktop\картинка2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Никита\Desktop\р...3.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\Никита\Desktop\р...3.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
AlternateDataStreams: C:\Users\Никита\Desktop\р...4.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
AlternateDataStreams: C:\Users\Никита\Desktop\р...4.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
cmd: sfc /scannow
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 927

Опубликовано
Опубликовано

Ещё один скрипт, пожалуйста:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
cmd: DISM.exe /Online /Cleanup-image /Restorehealth
cmd: sfc /scannow
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 927

Опубликовано
Опубликовано

Если проблема сохраняется, пробуйте обновить систему без переустановки, предварительно сохранив важные данные.

Ссылка на сообщение
Поделиться на другие сайты
Андрей С

Андрей С 0

Опубликовано
  • Автор
Опубликовано

Проблема сохраняется. 

Буду пробовать апдейтить Винду.

Что еще странно, если загрузиться с флэшки с линуксом - ни один системный exe или dll, которые указаны как "[Файл не подписан]" в FRST.txt - не виден. 

IMG_1922.jpg

Ссылка на сообщение
Поделиться на другие сайты
Андрей С

Андрей С 0

Опубликовано
  • Автор
Опубликовано

После обновления проблема ушла. Прошелся Касперским - ничего не нашел. Хотя я взял первые несколько неподписанных файлов из FRST.txt и virustotal говорит там что-то есть :(

https://www.virustotal.com/gui/file/0b0002cb0fca92561165458ed261dfeed6393a26f79b994db9aee0c6af3f3b94

https://www.virustotal.com/gui/file/c1f546a11c25f365b4a0b0f19a5c3cb732d9d01aadc23aad46411972facb8a60/detection

https://www.virustotal.com/gui/file/7dab35bd430711506f1c5c1f8f82b07db0e1235b1977cdd25d765d27f767c932

 

 

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 927

Опубликовано
Опубликовано

Один детект не самого известного вендора говорит скорее о ложном срабатывании.

 

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 927

Опубликовано
Опубликовано

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8 Внимание! Скачать обновления
PuTTY release 0.70 (64-bit) v.0.70.0.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.41212.0 Данная программа больше не поддерживается разработчиком.
WinSCP 5.15.9 v.5.15.9 Внимание! Скачать обновления
Microsoft Silverlight 5.1 v.5.1.5001 Данная программа больше не поддерживается разработчиком.
Evernote v. 5.8.6 v.5.8.6.7519 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Backup and Sync from Google v.3.57.4043.4118 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Google Drive.
Яндекс.Диск v.3.2.13.4258 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.52 v.8.52 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.6 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.94.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
ASUS Manager - PC Cleanup v.2.01.18 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Примите к сведению и читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 927

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Катам
      [РЕШЕНО] Nout AVZ и Rootkit в Windows 10 после чистки от заражения
      От Катам
      Добрый день.
       
      Эта тема касается ноутбука. первые два компа в других темах.
      Множество rootkit обнаруженных утилитой AVZ
       
      Провел проверку, Kaspersky Virus Removal Tool 2015; - чисто
      Cureit - чисто
      Отчет AutoLogger.exe - прилагаю
       
       
      CollectionLog-2020.08.20-22.09.zip
    • Катам
      [РЕШЕНО] AVZ и Rootkit в Windows 10 после чистки от заражения
      От Катам
      Добрый день. 
      Пугает меня такое количество rootkit обнаруженных утилитой AVZ (отчет прилагаю).
      Помогите справиться. У меня 3 компа, по отчетам AVZ все примерно в одинаковом состоянии. И все 3 рабочие. После того как сегодня пытались взломать инстаграм, решил все проверить подробно.
      На всех компах установлен лицензионный ESET. 
      Какие то вирусы были найдены и вылечены.
       
      My_avz_log_28.07.2020.txt
    • Steel Rain
      Не дает устанавливать приложения и обновления.
      От Steel Rain
      Доброго всем времени суток!
       
      Судя по всему, поймали какого-то зловреда. Не дает устанавливать приложения и обновления.

       
      Установлен Kaspersky Endpoint Security 11.3.0.773 - работает, обновляется. На полной проверке ничего не находит.
      Прогнал полной проверкой avz, первый лог во вложении.
      Собранные Autologger'ом данные прилагаю.
      Прошу помочь в решении проблемы, заранее признателен.
      CollectionLog-2020.07.06-09.54.zip avz_log_060720.txt
    • Руслан Степанов
      rootkit +rat
      От Руслан Степанов
      Перенаправили отсюда к вам=)
      https://forum.kasperskyclub.ru/index.php?showtopic=62639&page=1
    • Руслан Степанов
      RAT+rootkit
      От Руслан Степанов
      Привет. 
      Препод подкинул мне в учебных целях вирус через вайфай. Объясню суть: некая интеллектуальная система гуляет по компу, постоянно меняя директории, достоверно известно, что программа забирает примерно 10-30мб оперативной памяти, что отражается при подключении интернета в виде возрстания потребления оперативы и скачков скорости передачи данных, даже после некоторого времени подключения. Антивирусы и утилиты результата не дали.

      добавил логи
      CollectionLog-2019.04.24-10.19.zip
×
×
  • Создать...