[РЕШЕНО] Возможно руткит, Касперский не определяет

[Андрей С]

Добрый день.

 

Windows 10 на запуски системных/административных программ начала ругаться на "неизвестный издатель" (cmd.exe например). 

Касперский антивирус с последними базами и tdsskiller ничего не находит (в т.ч. в Безопасном режиме).

GMER (не спец, просто нашел в интернете - "готовить" не умею ) говорит про hidden сервисы. При попытке их "Disable" там же приложение GMER закрывается. При попытке полного сканирования GMER'ом Windows вываливается в BSOD.

Есть дамп диска ~150ГБ, созданный клонзиллой перед попыткой что-то сделать.

Прочитав соседние темы прикладываю файлы сгенерированные FRST, чтобы сократить время переписок (если я всё правильно понял)

FRST.txt Addition.txt

И еще логи AutoLogger впридачу

CollectionLog-2021.11.23-01.15.zip

В логах есть 9vprzkdk.exe - это GMER

Изменено 22 ноября, 2021 пользователем Андрей С

[Sandor]

Здравствуйте!

 

Система оригинальная или сборка?

Спрашиваю потому, что это могло произойти после некоего патча, активации и т.п. Большинство системных файлов изменены.

Можем попробовать восстановить, но это чревато сбоем.

 

GMER к сожалению перестал обновляться и на Win 10 он не работает. А скрытый файл еще не значит плохой.

[Андрей С]

Там точно что-то есть.
На любой запуск чего-то системного или административного Windows контроль учетных записей спрашивает разрешения на запуск приложения которое хочет изменять данные на диске. Причем имя файла оригинальное (например cmd.exe), но издатель "Нет данных", а не Microsoft.

Система оригинальная. OEM вместе с компом шла от ASUS. Лицензионная. 

В целом сбой и переустановка если других вариантов не останется лучше чем руткит который пароли от почты или не дай бог онлайн банкинга воровать будет  

Изменено 23 ноября, 2021 пользователем Андрей С

[Sandor]

Хорошо, попробуем.

Перед выполнением отключите и выгрузите все работающие приложения, в том числе антивирус.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Никита\Desktop\картинка1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Никита\Desktop\картинка1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\Никита\Desktop\картинка2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Никита\Desktop\картинка2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\Никита\Desktop\р...3.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Никита\Desktop\р...3.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  AlternateDataStreams: C:\Users\Никита\Desktop\р...4.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
  AlternateDataStreams: C:\Users\Никита\Desktop\р...4.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
  cmd: sfc /scannow
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Андрей С]

Fixlist

Fixlog.txt

[Sandor]

Ещё один скрипт, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Андрей С]

Fixlog.txt

[Sandor]

Если проблема сохраняется, пробуйте обновить систему без переустановки, предварительно сохранив важные данные.

[Андрей С]

Проблема сохраняется. 

Буду пробовать апдейтить Винду.

Что еще странно, если загрузиться с флэшки с линуксом - ни один системный exe или dll, которые указаны как "[Файл не подписан]" в FRST.txt - не виден. 

[Андрей С]

После обновления проблема ушла. Прошелся Касперским - ничего не нашел. Хотя я взял первые несколько неподписанных файлов из FRST.txt и virustotal говорит там что-то есть

https://www.virustotal.com/gui/file/0b0002cb0fca92561165458ed261dfeed6393a26f79b994db9aee0c6af3f3b94

https://www.virustotal.com/gui/file/c1f546a11c25f365b4a0b0f19a5c3cb732d9d01aadc23aad46411972facb8a60/detection

https://www.virustotal.com/gui/file/7dab35bd430711506f1c5c1f8f82b07db0e1235b1977cdd25d765d27f767c932

 

 

[Sandor]

Один детект не самого известного вендора говорит скорее о ложном срабатывании.

 

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Андрей С]

SecurityCheck.txt

[Sandor]

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8 Внимание! Скачать обновления
PuTTY release 0.70 (64-bit) v.0.70.0.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.41212.0 Данная программа больше не поддерживается разработчиком.
WinSCP 5.15.9 v.5.15.9 Внимание! Скачать обновления
Microsoft Silverlight 5.1 v.5.1.5001 Данная программа больше не поддерживается разработчиком.
Evernote v. 5.8.6 v.5.8.6.7519 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Backup and Sync from Google v.3.57.4043.4118 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Google Drive.
Яндекс.Диск v.3.2.13.4258 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.52 v.8.52 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.6 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.94.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
ASUS Manager - PC Cleanup v.2.01.18 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Примите к сведению и читайте Рекомендации после удаления вредоносного ПО

[Андрей С]

Спасибо! Почищу и обновлю.

Вроде все нормально и хорошо. Огромное спасибо за помощь!

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".