Решена Rootkit, backdoor or ?

Статус
В этой теме нельзя размещать новые ответы.

Pepsi1111

Новый пользователь
Сообщения
9
Реакции
0
Установил Windows 7 Ultimate. Сразу сделал образ системного диска и давай лечиться, что приводило каждый раз к bsod. Далее консоль восстановления, откат с помощью образа и следующая попытка.
По-сути: десяток непонятных драйверов, правленый SafeBoot, правленый ntkernal, маскированные процессы, перехват KiST...
Логи прилагаю.
 

Вложения

  • CollectionLog-2020.01.31-14.58.zip
    21.3 KB · Просмотры: 4
ОС лицензия?
 
Последнее редактирование:
По-поводу лицензии не уверен.... в дистрибе есть такая папочка \sources\$OEM$ со скриптами установки grldr, certificate, productid.
Логи прилагаю
 

Вложения

  • CollectionLog-2020.01.31-20.09.zip
    22.1 KB · Просмотры: 2
Не той версией лог собирали, нужно версией 4.46 (ссылка в третьем посте), есть подозрение, что это сбой AVZ 5 версии, нужно перепроверить.

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 
Готово
 

Вложения

  • TDSSKiller.3.1.0.28_31.01.2020_21.31.07_log.txt
    170.9 KB · Просмотры: 3
Понятно. Нужно начать с установки SP1, ковыряться с непатченной 7-й смысла нет.
 
Верно, обновить до SP1 + обновления после него
 
Не той версией лог собирали, нужно версией 4.46 (ссылка в третьем посте), есть подозрение, что это сбой AVZ 5 версии, нужно перепроверить.
AVZ тут не при чём, просто надо собирать логи как положено и следовать указаниям Автологера, а не заниматься самодеятельностью включая то что не надо в AVZ и зажимая кнопки которые никто не просил нажимать. А эти "страшные" и бесполезные логи как раз следствие этой самодеятельности.
 
  • Like
Реакции: akok
Тогда можно сказать, что в логах чисто и вредоносного не видно. Обновляйте систему до актуальной версии.
 
Вы говорите обидно. Я же к вам за помощью пришел.
И все-таки я настаиваю что у меня что-то сидит. Прошу вас еще раз посмотреть.
 

Вложения

  • CollectionLog-2020.02.01-17.15.zip
    50.2 KB · Просмотры: 4
Прошу вас еще раз посмотреть.
Теперь логи собраны правильно, как положено. Только собраны устаревшей версией. Соберите их версией из правил (той которой изначально собирали).
Чтобы не запутаться наверно будет проще просто удалить все скачанные версии и созданные им(и) папки. Скачать заново по ссылке из правил раздела и собрать.
 
Вы говорите обидно. Я же к вам за помощью пришел.
Тема неудачно началась.... давайте логи соберем по правилам и без креатива, а там уже посмотрим, чем помочь можно. Ну и симптомы опишите, левые файлы зачастую не такие уж и левые.
 
Из симптомов: доооолгая предзагрузка только установленной OS, неудаляемые ключи реестра и файлы(к примеру: невозможно очистить папку Temp, а если сильно постараться то система сразу уходит в BSOD), отсутствие дампа на положеном месте да много чего...
 

Вложения

  • CollectionLog-2020.02.01-18.23.zip
    48.3 KB · Просмотры: 4
Pepsi1111, вирусного ничего не видно. Из подозрительно только заблокировано несколько сертификатов (которые на чистой эталонной системе) не должны быть блокированы, но если пояндексить, то их похоже действительно отозвали. Так что вирусного ничего не видно.
>>отсутствие дампа на положеном месте
А создание дампа включено? Но этот и другие выше обозначенные вопросы уже не имеют отношения к разделу с вирусами. Предлагаю вам создать новую тему в разделе https://safezone.cc:443/forums/microsoft-windows-7.126/ и продолжить там.
 
Доброй ночи. Искомый лог прилагаю.
 

Вложения

  • SecurityCheck.txt
    4 KB · Просмотры: 3
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу