Решена Подозрения на rootkit

  • Автор темы Автор темы Raugul
  • Дата начала Дата начала
Raugul

Raugul

Новый пользователь
Сообщения
20
Реакции
1
Второй компьютер, живет своей жизнью, меняет права на файлы
Прикрепил Autologger
 

Вложения

Пока особо плохого не видно.

"Пофиксите" в HijackThis только следующие строки:
Код: 
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
Перезагрузите компьютер.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

Raugul написал(а):
меняет права на файлы
Нажмите для раскрытия...
Уточните, на какие именно файлы?
 
Пофиксил, вот логи с Farbar
Создаются левые файлы самостоятельно
Скрин файлов которые создаются или скачиваются не понятно какие и как
Подозрительно перезагружается раб стол или explorer и я как будто ничего последние 40 минут не делал, как будто на чужом компе все, потмо хоп опять мой
 

Вложения

  • 2023-04-13_15-36-02.webp
    2023-04-13_15-36-02.webp
    98.4 KB · Просмотры: 50
  • Addition.txt
    Addition.txt
    33.4 KB · Просмотры: 5
  • FRST.txt
    FRST.txt
    58.1 KB · Просмотры: 5
  • 2023-04-13_15-26-41.webp
    2023-04-13_15-26-41.webp
    70.4 KB · Просмотры: 48
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
AV: Kaspersky Total Security (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
FW: Kaspersky Total Security (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58}
FirewallRules: [{6022A0E2-88EA-4ED0-AB11-C17EC6F2DEFD}] => (Allow) LPort=1688
FirewallRules: [{2C3DD10C-7F1A-4804-B7D5-2740CE04EDB4}] => (Allow) LPort=1688
cmd: del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Возьмите за правило скачивать программы с сайтов производителей этих программ, а не с файловых помоек:
C:\Users\Настюшка\Documents\krd2018_hwinfo_4C4C4544-0031-4B10-8046-C7C04F435132_2023_04_10.11_39_31.tgz
C:\Users\Настюшка\Downloads\Dr.Web 11 Portable Scanner by HA3APET v1.rar
C:\Users\Настюшка\Downloads\Dr.Web_Security_Space_12.0.4.02201-RSLOAD.NET-.rar
Нажмите для раскрытия...
Только авторам этих, с позволения сказать, "сборок" известно что за файлы извлекаются из архивов.
 
вот лог
При включении компа, открылся Я браузер с какой то странной ссылкой сначала z-oleg я сразу закрыл, а второй раз ya,ru/dhfgkjdkvdvk что то подобное
 

Вложения

После сброса вроде лучше, спасибо большое, понаблюдаю за ним
 
Скажите, пожалуйста, как очистить внешний жесткий диск, до того как он перекинет мне вирусняк?
 
Как я говорил в соседней теме, на здоровой системе отключить автозапуск со съемных носителей. Установить антивирус (или через Защитник) проверить подключенный диск.
 
Вот такая ссылка при включение браузера
Может она и нормальная, не уверен
ya.ru

Яндекс

Найдётся всё
ya.ru ya.ru
 
Режим "восстанавливать последний сеанс" (или нечто подобное) у вас включен? То есть, после закрытия браузера и повторного открытия стартуют прежние вкладки?
 
+
Если не ошибаюсь, в этом браузере "запускаться на старте системы" - значение по умолчанию. Можно отключить.
 
@Raugul, вопросов больше по нашей части нет? Закрываем тему?
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

lastdreamer
  • Закрыта
Решена Есть подозрения на вирус или майнер но не уверен точно
Ответы
15
Просмотры
305
Sandor
Sandor
S
Решена Пропадает картинка рабочего стола, упал фпс, подозрения на вирус
Ответы
12
Просмотры
472
Sandor
Sandor
W
  • Закрыта
Решена Есть подозрения в заражении компьютера вирусом.
2 3 4 5
Ответы
81
Просмотры
6K
Dragokas
Dragokas
Назад
Сверху Снизу