Перейти к содержанию

[РЕШЕНО] Возможно руткит, Касперский не определяет


Рекомендуемые сообщения

Добрый день.

 

Windows 10 на запуски системных/административных программ начала ругаться на "неизвестный издатель" (cmd.exe например). 

Касперский антивирус с последними базами и tdsskiller ничего не находит (в т.ч. в Безопасном режиме).

GMER (не спец, просто нашел в интернете - "готовить" не умею :( ) говорит про hidden сервисы. При попытке их "Disable" там же приложение GMER закрывается. При попытке полного сканирования GMER'ом Windows вываливается в BSOD.

Есть дамп диска ~150ГБ, созданный клонзиллой перед попыткой что-то сделать.

gmer_scrnsht.jpg

Прочитав соседние темы прикладываю файлы сгенерированные FRST, чтобы сократить время переписок (если я всё правильно понял)

FRST.txt Addition.txt

И еще логи AutoLogger впридачу

CollectionLog-2021.11.23-01.15.zip

В логах есть 9vprzkdk.exe - это GMER

Изменено пользователем Андрей С
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Система оригинальная или сборка?

Спрашиваю потому, что это могло произойти после некоего патча, активации и т.п. Большинство системных файлов изменены.

Можем попробовать восстановить, но это чревато сбоем.

 

GMER к сожалению перестал обновляться и на Win 10 он не работает. А скрытый файл еще не значит плохой.

Ссылка на сообщение
Поделиться на другие сайты

Там точно что-то есть.
На любой запуск чего-то системного или административного Windows контроль учетных записей спрашивает разрешения на запуск приложения которое хочет изменять данные на диске. Причем имя файла оригинальное (например cmd.exe), но издатель "Нет данных", а не Microsoft.

Система оригинальная. OEM вместе с компом шла от ASUS. Лицензионная. 

В целом сбой и переустановка если других вариантов не останется лучше чем руткит который пароли от почты или не дай бог онлайн банкинга воровать будет :( 

Изменено пользователем Андрей С
Ссылка на сообщение
Поделиться на другие сайты

Хорошо, попробуем.

Перед выполнением отключите и выгрузите все работающие приложения, в том числе антивирус.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    AlternateDataStreams: C:\Users\Никита\Desktop\картинка1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
    AlternateDataStreams: C:\Users\Никита\Desktop\картинка1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\Никита\Desktop\картинка2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
    AlternateDataStreams: C:\Users\Никита\Desktop\картинка2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\Никита\Desktop\р...3.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
    AlternateDataStreams: C:\Users\Никита\Desktop\р...3.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    AlternateDataStreams: C:\Users\Никита\Desktop\р...4.jpeg:3or4kl4x13tuuug3Byamue2s4b [91]
    AlternateDataStreams: C:\Users\Никита\Desktop\р...4.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0]
    cmd: sfc /scannow
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Ещё один скрипт, пожалуйста:

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    cmd: DISM.exe /Online /Cleanup-image /Restorehealth
    cmd: sfc /scannow
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Если проблема сохраняется, пробуйте обновить систему без переустановки, предварительно сохранив важные данные.

Ссылка на сообщение
Поделиться на другие сайты

Проблема сохраняется. 

Буду пробовать апдейтить Винду.

Что еще странно, если загрузиться с флэшки с линуксом - ни один системный exe или dll, которые указаны как "[Файл не подписан]" в FRST.txt - не виден. 

IMG_1922.jpg

Ссылка на сообщение
Поделиться на другие сайты

После обновления проблема ушла. Прошелся Касперским - ничего не нашел. Хотя я взял первые несколько неподписанных файлов из FRST.txt и virustotal говорит там что-то есть :(

https://www.virustotal.com/gui/file/0b0002cb0fca92561165458ed261dfeed6393a26f79b994db9aee0c6af3f3b94

https://www.virustotal.com/gui/file/c1f546a11c25f365b4a0b0f19a5c3cb732d9d01aadc23aad46411972facb8a60/detection

https://www.virustotal.com/gui/file/7dab35bd430711506f1c5c1f8f82b07db0e1235b1977cdd25d765d27f767c932

 

 

Ссылка на сообщение
Поделиться на другие сайты

Один детект не самого известного вендора говорит скорее о ложном срабатывании.

 

Проделайте завершающие шаги:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8 Внимание! Скачать обновления
PuTTY release 0.70 (64-bit) v.0.70.0.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.41212.0 Данная программа больше не поддерживается разработчиком.
WinSCP 5.15.9 v.5.15.9 Внимание! Скачать обновления
Microsoft Silverlight 5.1 v.5.1.5001 Данная программа больше не поддерживается разработчиком.
Evernote v. 5.8.6 v.5.8.6.7519 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Backup and Sync from Google v.3.57.4043.4118 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Google Drive.
Яндекс.Диск v.3.2.13.4258 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.21 (64-разрядная) v.5.21.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Skype, версия 8.52 v.8.52 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.46096 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.6 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox (x64 ru) v.94.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
---------------------------- [ UnwantedApps ] -----------------------------
Голосовой помощник Алиса v.5.0.0.1903 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
ASUS Manager - PC Cleanup v.2.01.18 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Примите к сведению и читайте Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Smolwar
      От Smolwar
      Господа! Прошу вашей помощи, и более компетентного опыта по проблеме, нежели имею я. А именно, несмотря на то, что стандартные антивирусники у меня ничего не ловят, а анти-малвары лишь периодически чекают, что умудрился цепануть, AVZ уже как год, стабильно каждый скан выдает список из перехватчиков API, работающих в UserMode: kernel32.dll user32.dll advapi32.dll ntdll.dll и т.д. и т.п., которые якобы нейтрализуются, но по факту походу...противодействуют. И вновь после резета там где были. И да, я знаю что на x64 avz не запускает свои 2-а основных сервиса "guard и pm"....Хоть, на производительность, вроде, как бы не влияет особо, но утечки своих данных, даже  пусть и "цифрового мусора" не хочется, однако. И даже своей делитантской интуицией, я чую что моя система дырая насквозь...(овер 30 sv-хостов в процессах явно не норма?!) А сегодня при попытке ручками вычистить 1-у из функций внедрившихся (новую!), словил shutdown в первые в жизни. Обделался легким испугом) Все файлы логов 4-мя разными сканерами прилагаю в ссылке. И прошу, или скрипт чтоб побороть это, или указать путь по которому рыть дальше, или помощь "пояснительной бригады" если я возможно (очень может быть) недопонимаю тонкостей, да и самой структуры методов в этих нюансах.              Логи <-тут! Или же сами txt здесь:                Буду крайне признателен за любую, даже теоретическую помощь! 
      Addition.txt avz_log.txt FRST.txt SecurityCheck.txt
    • Iam
      От Iam
      Привет ребят, не гоните сочными тряпками. По общему описанию. Китайский зашитый бекдор, руткит в ssd goldenfir. Думаю встречались некоторые. Встраивается в ядро и железо походу. Полное зануление не помогает. Хвост - фиксит бсод. Tdss находит неподпис btha2dp.sys bthhfenum.sys Это сборка или есть название этому чуду(дальше пойду гуглить). Выкинуть в принципе не жалко. Мать прошивал по правилам. Сейчас роутер не пингуется. Так что накидывают мне по ситуации, но интересно
    • puki
      От puki
      Здравствуйте, мой компьютер заражен rat(remote access trojan).
      Который выживает после переустановки операционной системы.
      Я думаю, что вирус активен перед загрузкой Windows.
       
      Симптомы:
      -закрытие процессов
      - скрыть иконки в трее
      - смена паролей
      -установка программ, даже не заметив -медленный интернет
       
      Какая информация была бы вам полезна?
       
      Извините, если есть ошибки. Но русский не мой родной язык.
      Спасибо.
    • makes
      От makes
      Собственно сабж.
      Пишет нейтрализован, но при следующем сканировании та же картина. Прилагаю лог: 
      avz_log.txt
    • raff77
      От raff77
      не удается установить обновления, в событиях windows много ошибок.
      меню пуск не открывается .
      не удается установить компонент internet explorer 11 
      не удается установить надстройку с доверенного сайта.
      в avz подозрения на rootkit'ы, которые не устраняются.
      guard32.dll возможно это comodo antivirus.
      по возможности прошу оказать содействие.
      если повреждено много системных файлов, попробую восстанавливать вручную сам.
      CollectionLog-2022.05.28-19.52.zip
×
×
  • Создать...