Решена Подозрения на rootkit

  • Автор темы Автор темы Raugul
  • Дата начала Дата начала
Raugul

Raugul

Новый пользователь
Сообщения
20
Реакции
1
Второй компьютер, живет своей жизнью, меняет права на файлы
Прикрепил Autologger
 

Вложения

Пока особо плохого не видно.

"Пофиксите" в HijackThis только следующие строки:
Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Raugul написал(а):
меняет права на файлы
Нажмите для раскрытия...
Уточните, на какие именно файлы?
 
Пофиксил, вот логи с Farbar
Создаются левые файлы самостоятельно
Скрин файлов которые создаются или скачиваются не понятно какие и как
Подозрительно перезагружается раб стол или explorer и я как будто ничего последние 40 минут не делал, как будто на чужом компе все, потмо хоп опять мой
 

Вложения

  • 2023-04-13_15-36-02.webp
    2023-04-13_15-36-02.webp
    98.4 KB · Просмотры: 50
  • Addition.txt
    Addition.txt
    33.4 KB · Просмотры: 5
  • FRST.txt
    FRST.txt
    58.1 KB · Просмотры: 5
  • 2023-04-13_15-26-41.webp
    2023-04-13_15-26-41.webp
    70.4 KB · Просмотры: 48
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
FirewallRules: [{6022A0E2-88EA-4ED0-AB11-C17EC6F2DEFD}] => (Allow) LPort=1688
FirewallRules: [{2C3DD10C-7F1A-4804-B7D5-2740CE04EDB4}] => (Allow) LPort=1688
cmd: del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Возьмите за правило скачивать программы с сайтов производителей этих программ, а не с файловых помоек:
C:\Users\Настюшка\Documents\krd2018_hwinfo_4C4C4544-0031-4B10-8046-C7C04F435132_2023_04_10.11_39_31.tgz
C:\Users\Настюшка\Downloads\Dr.Web 11 Portable Scanner by HA3APET v1.rar
C:\Users\Настюшка\Downloads\Dr.Web_Security_Space_12.0.4.02201-RSLOAD.NET-.rar
Нажмите для раскрытия...
Только авторам этих, с позволения сказать, "сборок" известно что за файлы извлекаются из архивов.
 
вот лог
При включении компа, открылся Я браузер с какой то странной ссылкой сначала z-oleg я сразу закрыл, а второй раз ya,ru/dhfgkjdkvdvk что то подобное
 

Вложения

После сброса вроде лучше, спасибо большое, понаблюдаю за ним
 
Скажите, пожалуйста, как очистить внешний жесткий диск, до того как он перекинет мне вирусняк?
 
Как я говорил в соседней теме, на здоровой системе отключить автозапуск со съемных носителей. Установить антивирус (или через Защитник) проверить подключенный диск.
 
Вот такая ссылка при включение браузера
Может она и нормальная, не уверен
ya.ru

Яндекс

Найдётся всё
ya.ru ya.ru
 
Режим "восстанавливать последний сеанс" (или нечто подобное) у вас включен? То есть, после закрытия браузера и повторного открытия стартуют прежние вкладки?
 
+
Если не ошибаюсь, в этом браузере "запускаться на старте системы" - значение по умолчанию. Можно отключить.
 
@Raugul, вопросов больше по нашей части нет? Закрываем тему?
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

lastdreamer
Решена Есть подозрения на вирус или майнер но не уверен точно
Ответы
15
Просмотры
295
Sandor
Sandor
S
Решена Пропадает картинка рабочего стола, упал фпс, подозрения на вирус
Ответы
12
Просмотры
466
Sandor
Sandor
W
  • Закрыта
Решена Есть подозрения в заражении компьютера вирусом.
2 3 4 5
Ответы
81
Просмотры
6K
Dragokas
Dragokas
Назад
Сверху Снизу