• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Подозрение на скрытую работу руткита.

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
И переустанавливать в любом случае не надо, совсем в крайнем случае там "руками" (думаю) не сложно всё будет восстановить в соседнем разделе.
 

Terrarian51

Новый пользователь
Сообщения
25
Реакции
0
Баллы
1
И переустанавливать в любом случае не надо
Здравствуйте! Спасибо за совет! :) Сейчас я наворотил бы делов...
Прикрепляю запрошенный Вами лог. Надеюсь, все разрешится наилучшим образом.
 

Вложения

Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
1) По этому логу уже не вижу проблем с файлом, поэтому просто почистим мусор.


  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %Sys32%\DRIVERS\36185562.SYS
    delref %Sys32%\DRIVERS\91577717.SYS
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    apply
    
    regt 20
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
Подробнее читайте в этом руководстве.

2) На всякий случай всё-таки выполните проверку этим батником https://safezone.cc:443/resources/proverka-celostnosti-sistemnyx-fajlov-utilitoj-sfc.55/

3) И для перепроверки ещё свежие логи Автологером сделайте.
 

Terrarian51

Новый пользователь
Сообщения
25
Реакции
0
Баллы
1
Сканирование утилитами завершил, прикрепляю логи.
Очень сильно смутили меня записи красного цвета в логах AVZ.
Хотелось бы знать, что это может значить.
1.png
 

Вложения

Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
>Хотелось бы знать, что это может значить.

Это абсолютно нормально, не стоит на это обращать внимание.

По логам у вас был повреждён ряд системных файлов, часть вроде восстановило из хранилища часть должно было попытаться восстановить после перезагрузки.
Для того чтобы проверить восстановлены все или нет, надо повторно запустить батник.

+ Вам надо твикнуть себе реестр (перенести с аналогичной системы) ключи
Код:
HKLM\SYSTEM\CurrentControlSet\Services\wuauserv
HKLM\SYSTEM\CurrentControlSet\Services\BITS
Поскольку это не имеет отношение к вирусам, то предлагаю создать отдельную тему в разделе https://safezone.cc:443/forums/microsoft-windows-7.126/
и продолжить восстановление системы там. В частности выложить там свежие логи работы батника.
И советую сразу запустить расширенное сканирование и восстановление (пункт 2 в начальном выборе).
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
+ имхо, подозрительно что столько файлов у вас не прошли проверку, если у вас не сборка, а оригинальный образ системы.
Так что к тому, что написал выше советую на всякий случай приложить SMART жёсткого диска, чтобы заодно проверить нет ли с ним проблем.
 

Terrarian51

Новый пользователь
Сообщения
25
Реакции
0
Баллы
1
Все понял, буду продолжать дальнейшую работу. Данную тему, полагаю, можно закрыть.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
Настройки менял с целью лечения. В отношении Windows могу сказать, что это изначально чистая англоязычная версия Windows 7 x64 SP1, но c пакетом обновлений от "Васи Пупкина":
UpdatePack7R2 для обновления Windows 7 SP1 и Server 2008 R2 SP1
Грешу на этот пакет. Остальные утилиты ставил сам, ручками (Драйвера, Framework, XNA и т.д.)
Вообще у Simplix вроде официальные файлы от обновлений, но есть и исключения и в данном случае похоже сыграла именно совокупность установки этого неофициального пакета обновлений в котором была пропатчена .dll и то что вы изменили дефолтные настройки.
Получил ответ от разработчика TDSSKiller-а
Это именно неофициально патченная библиотека. Патч этот - Install Updates on Kaby Lake and Ryzen CPUs (Bypass CPU Lock)

Patch wuaueng.dll and change dword_600002EE948 which is at file offset 0x26C948, from 0x01 to 0x00. This makes IsDeviceServiceable(void) jump over its entire body and return 1 (supported CPU) immediately. This is my preferred method. Note: These offsets are only for the Windows 7 x64 version.
Так что установив пакет обновлений от Simplix вы не ведая того использовали патченные .dll
 

Terrarian51

Новый пользователь
Сообщения
25
Реакции
0
Баллы
1
This makes IsDeviceServiceable(void) jump over its entire body and return 1 (supported CPU) immediately
Хмм, если я все правильно понял: для оптимизации работы CPU предлагается патчить wuaueng.dll обратно, ручками через реестр?
Но штука в том, что этой dll у меня нет вообще :)
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,342
Реакции
5,965
Баллы
998
>Но штука в том, что этой dll у меня нет вообще
Она была, но так как была патченная и без подписи, а вы сменили настройки на параноидальные её снесло тдсскилером (на данный момент выкладки логов лежала у вас в его карантине).
>для оптимизации работы CPU
Цель патча не оптимизация работы, а обход проверки на железо со стороны MS при обновление.
>предлагается патчить wuaueng.dll обратно, ручками через реестр
Патчится не через реестр, а сам файл. И вам никто ничего патчить не предлагает. Просто пояснил вам (и остальным, кто будет читать эту тему), что у вас там произошло. А также что устанавливая разные репаки обновлений даже от известных авторов можно наткнуться на такой сюрприз.

А что вам делать для восстановления работоспособности системы написал ещё выше. Только темы от вас в соседнем разделе так и не увидел.
PS. а через реестр, что говорил вам заменить две ветки это нужно было не для этой .dll а для восстановления работы тех сервисов. Если эта проблема всё ещё актуально, но нужные твики скинем. Только как выше писал к этому разделу это уже отношение не имеет.
 
Сверху Снизу