• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена Rootkit, backdoor or ?

Статус
В этой теме нельзя размещать новые ответы.

Pepsi1111

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Установил Windows 7 Ultimate. Сразу сделал образ системного диска и давай лечиться, что приводило каждый раз к bsod. Далее консоль восстановления, откат с помощью образа и следующая попытка.
По-сути: десяток непонятных драйверов, правленый SafeBoot, правленый ntkernal, маскированные процессы, перехват KiST...
Логи прилагаю.
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
ОС лицензия?
 
Последнее редактирование:

Pepsi1111

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
По-поводу лицензии не уверен.... в дистрибе есть такая папочка \sources\$OEM$ со скриптами установки grldr, certificate, productid.
Логи прилагаю
 

Вложения

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Не той версией лог собирали, нужно версией 4.46 (ссылка в третьем посте), есть подозрение, что это сбой AVZ 5 версии, нужно перепроверить.

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Понятно. Нужно начать с установки SP1, ковыряться с непатченной 7-й смысла нет.
 

Pepsi1111

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Это как?
Проапдейтить до sp1?
 

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Верно, обновить до SP1 + обновления после него
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,455
Реакции
6,033
Баллы
1,008
Не той версией лог собирали, нужно версией 4.46 (ссылка в третьем посте), есть подозрение, что это сбой AVZ 5 версии, нужно перепроверить.
AVZ тут не при чём, просто надо собирать логи как положено и следовать указаниям Автологера, а не заниматься самодеятельностью включая то что не надо в AVZ и зажимая кнопки которые никто не просил нажимать. А эти "страшные" и бесполезные логи как раз следствие этой самодеятельности.
 
  • Like
Реакции: akok

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Тогда можно сказать, что в логах чисто и вредоносного не видно. Обновляйте систему до актуальной версии.
 

Pepsi1111

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Вы говорите обидно. Я же к вам за помощью пришел.
И все-таки я настаиваю что у меня что-то сидит. Прошу вас еще раз посмотреть.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,455
Реакции
6,033
Баллы
1,008
Прошу вас еще раз посмотреть.
Теперь логи собраны правильно, как положено. Только собраны устаревшей версией. Соберите их версией из правил (той которой изначально собирали).
Чтобы не запутаться наверно будет проще просто удалить все скачанные версии и созданные им(и) папки. Скачать заново по ссылке из правил раздела и собрать.
 

akok

Команда форума
Администратор
Сообщения
18,326
Реакции
13,792
Баллы
2,203
Вы говорите обидно. Я же к вам за помощью пришел.
Тема неудачно началась.... давайте логи соберем по правилам и без креатива, а там уже посмотрим, чем помочь можно. Ну и симптомы опишите, левые файлы зачастую не такие уж и левые.
 

Pepsi1111

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Из симптомов: доооолгая предзагрузка только установленной OS, неудаляемые ключи реестра и файлы(к примеру: невозможно очистить папку Temp, а если сильно постараться то система сразу уходит в BSOD), отсутствие дампа на положеном месте да много чего...
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,455
Реакции
6,033
Баллы
1,008
Pepsi1111, вирусного ничего не видно. Из подозрительно только заблокировано несколько сертификатов (которые на чистой эталонной системе) не должны быть блокированы, но если пояндексить, то их похоже действительно отозвали. Так что вирусного ничего не видно.
>>отсутствие дампа на положеном месте
А создание дампа включено? Но этот и другие выше обозначенные вопросы уже не имеют отношения к разделу с вирусами. Предлагаю вам создать новую тему в разделе https://safezone.cc:443/forums/microsoft-windows-7.126/ и продолжить там.
 

Pepsi1111

Новый пользователь
Сообщения
9
Реакции
0
Баллы
1
Cпасибо, будем разбираться.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу