Решена Поймал Rootkit и Bootkit, идет борьба уже две недели.

  • Автор темы Автор темы stMax777
  • Дата начала Дата начала

stMax777

Новый пользователь
Сообщения
36
Реакции
0
Доброго времени суток, я как любитель взломанного ПО нее отказываю ссебе попользваться PRO версиями любых программ, предполагаю, что от туда все это.
Программа (скрипт) загружает в систему подменный реестр, настраивает свои политики, устанавливает свои драйвера со скриптами, настраивает планировщик задач, и конечно же получает доступ полный, сегодня еще был обнаружен скрытый диск на 8 гб, который я думал что есть (потому как из него видимо при любой новой установке) скрипт работает опять. Что я предпринимал: обращался за удаленной помощью к "Пендосам", подтвердили факт наличия пользователя и его действий, в помощи развели руками и пожелали всего хорошего. Суть такая, его драйвера настраивают значения приоритета политик перед моими, загружаются .dll в память (не выгрузить), может от скуки удалить мою запись (я переустанавливаю иногда в день по три раза винду), чем я его сдерживаю последние три дня: заблокировал полный доступ в брандмауэре (настроил блок портов UDP, TCP, поставил заглушки на все что лезет левого), суть какая, потихоньку очищаю систему от воздействия скриптов, сегодня впервые смог добраться до скрытого диска и его местоположения и подтвердил теорию о загрузчике левого при установке. На заметку, учусь на защиту информации и обеспечение безопасности данных, есть интерес понять как обороняться от такого, удалять, и исправлять. А еще, все службы тоже перенастроены на него и работают как хотят, иногда он отключает защиту, через посылания запросов и вызывает ошибки у них, сегодня отрубился TPM 2.0, когда его нет - скрипты и планировщик заданий продолжают работать и делают свое дело, я убиваю процессы через .килл, уже сегодня и вчера (два дня куллер не орет как вертолет, две недели он просто как бешенный работал, думал хана придет.
Win 10 pro 1909 22h2
 

Вложения

  •  экрана (1).webp
    экрана (1).webp
    53.6 KB · Просмотры: 61
  •  экрана (1).webp
    экрана (1).webp
    53.6 KB · Просмотры: 60
  •  экрана (15).webp
    экрана (15).webp
    60.9 KB · Просмотры: 61
  •  экрана (22).webp
    экрана (22).webp
    65.1 KB · Просмотры: 65
  •  экрана (7).webp
    экрана (7).webp
    47.4 KB · Просмотры: 66
Последнее редактирование модератором:
Готово, только с работы домой пришел. Еще бонусом скрин есть
 

Вложения

Пока особо плохого ничего не видно.

Деинсталлируйте нежелательное ПО:

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Добрый день прошу прощения, сегодня с утра мой аккаунт был удален.. (Службе профилей пользователей не удалось войти в систему), переустановил Windows again//
Прикрепляю логи программ. В этот раз нчем не обрабаотывал, кроме DISM, chkdsk и sfc, анит малмарей, ркилл и других не запускал, работает только дефендер
 

Вложения

Последнее редактирование:
После этого пользовались какими-то твиками (типа отключение телеметрии и т.п.)?
нет, категорически, только DISM, SFC, CHKDSK. Я же говорю, что у меня чистая система устанавливается грязной с его скриптами и настройками. и ДИск теперь скрытый не на 8 гб, а на 28, как я понял из лога. В этот раз не ставил еще приложений, в том числе и драйвер бустер... жду вердитка. Я наоборот, "ЗА" все функции которые предостовляет Microsoft, у них все приложения достойные которые относятся к удобствам, может как исклчение, это стандартные, типо скайпа, люди, сообщения, xbox и другие - я их сразу удаляю
 
Последнее редактирование:
В логах не вижу ничего криминального, разве что в Брандмауэре заблокировано много системных вещей.

Моё мнение - на другом компьютере скачайте ещё раз установочный образ, перед установкой удалите с жёсткого диска все разделы и установите систему.
Для начала не подключайте HDD, работайте только с SSD.
 
Посмотрите, я могу ошибаться, но судя по этому у меня есть куча впн соединений и отсутствие доступа к процессам
 

Вложения

  •  экрана (285).webp
    экрана (285).webp
    166.7 KB · Просмотры: 63
  •  экрана (286).webp
    экрана (286).webp
    149.6 KB · Просмотры: 57
  •  экрана (287).webp
    экрана (287).webp
    173.3 KB · Просмотры: 61
  •  экрана (288).webp
    экрана (288).webp
    170.7 KB · Просмотры: 59
  •  экрана (289).webp
    экрана (289).webp
    165 KB · Просмотры: 50
  •  экрана (290).webp
    экрана (290).webp
    124.3 KB · Просмотры: 53
Вот еще, информация только о одном процессе, прямо сейчас что делать то с ним?
 

Вложения

  •  экрана (295).webp
    экрана (295).webp
    70.3 KB · Просмотры: 55
  •  экрана (296).webp
    экрана (296).webp
    67.6 KB · Просмотры: 52
  •  экрана (297).webp
    экрана (297).webp
    53.4 KB · Просмотры: 53
  •  экрана (298).webp
    экрана (298).webp
    51.7 KB · Просмотры: 60
  •  экрана (299).webp
    экрана (299).webp
    47.1 KB · Просмотры: 51
  •  экрана (300).webp
    экрана (300).webp
    167 KB · Просмотры: 58
там есть левые пользователи и еще этот процесс настраивает мои среды системы и запускает невыгружаемые (без телесные процессы) .DLL теперь еще я не могу ограничить подключение в разрешениях браузера, лог восстановления, запускал скан несколько часов назад и сейчас.
 

Вложения

  •  экрана (301).webp
    экрана (301).webp
    46.4 KB · Просмотры: 58
  • CBS.log
    CBS.log
    812.8 KB · Просмотры: 9
Последнее редактирование:
Я не понял, что именно вы хотите проиллюстрировать этими скриншотами. Ничего криминального на них не вижу.

Повторю:
Моё мнение - на другом компьютере скачайте ещё раз установочный образ, перед установкой удалите с жёсткого диска все разделы и установите систему.
Для начала не подключайте HDD, работайте только с SSD.
 
добыл лицензию WIN 10 PRO на dvd-диске, не перезаписываемую, вытащил салазки с хардом, разбил с помощью diskpart на 4 раздела установил windows - все тоже самое, куча процессов левых, я не считаю это нормальным, такого не должно быть, я же не первый день в окошко смотрю
 
разбил с помощью diskpart на 4 раздела
А зачем вы это делаете? Диск на 120 гигабайт еще и на 4 раздела?
Ставьте на один раздел и пусть система сама разметит как её нужно.
 
А зачем вы это делаете? Диск на 120 гигабайт еще и на 4 раздела?
Ставьте на один раздел и пусть система сама разметит как её нужно.
это обычное дело, странно, что вы так не делаете =) , сейчас сделаю, ноут нужен другой или на моем?
 
Раз инсталляция у вас на DVD, другой не нужен.
На первом этапе установки удалите все имеющиеся разделы (чтобы осталась одна неразмеченная область на 120 гигов) и устанавливайте.
 
Добрый день, после переустановки - все выглядит более менее, напрягает только количество разных подключений svhost и поведения брэндмауэра. Подскажите, какие действия мне необходимо повторить, чтобы убедиться в отстутствии Руткит, буткит, видимо, я вычистил все разными средствами, не знал, что для анализа нужно оставлять, но антивирусные инструменты что-то удаляли. Пользовался ими потому как не был знаком с правилами форума (как и не знал о его существовании). Подскажите что делать дальше. Заново все инструменты и логи прикреплять?
 
Все не нужно, только архив CollectionLog по правилам (сообщение №2).
 
Готово, проверяйте. Хотелось бы послушать рекомендации, по оптимизации системы и по вопросу защиты сети и подключений (правила бранмаэура, блокировка портов и тд.) было бы очень полезно для развития, спасибо
 

Вложения

Вы ведь хотите, чтоб мы адекватно отвечали на ваши вопросы? Мы от вас тоже этого хотим.

только архив CollectionLog по правилам (сообщение №2).
А вы что прикрепили?
 
Назад
Сверху Снизу