Решена Rootkit запускается походу еще до биоса

[Raugul]

Здравствуйте, четкое ощущение того, что в компе, сидит либо майнер либо руткит
Помогите пожалуйста, антивирусы не видят ничего, хотя AVG частенько блочит странные запуски из Я браузера
Есть логи Autolloger, подскажите как можно прикрепить?

 

[Raugul]

Прикрепил

 

[Raugul]

пару скринов из событий

 

[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\drivers\netfilter2.sys', '');
 DeleteFile('C:\Windows\system32\drivers\netfilter2.sys', '64');
 DeleteService('netfilter2');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.



Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Raugul]

Здравствуйте, сейчас удалю AVG, отключаю Defender и выполню скрипт, буквально 5 минут

 

[Raugul]

После скрипта и проверки повторно, гугл открыл и вписалось вот это в строку
Два лога один после удаление AVG
Второй после скрипта и перезагрузки

 

[Sandor]

гугл открыл и вписалось вот это в строку

Это проверка AVZ на кейлогер. Не нужно во время сбора логов или выполнения скрипта ничего делать, ничего запускать.
И лишних логов тоже собирать не нужно.

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Raugul]

Вот два файла

 

[Raugul]

Так же у меня не установлен второй ссд диск, возможно там тоже вирусы, может имеет смысл его установить тоже?
Я его вынул физически, когда заподозрил не ладное
Так же при переустановке винды, залез через MBRWork и увидел странный Volume 80h с fat16 и 11мб и 0x00, его больше нигде не видно, я так понимаю это mbr мат платы

 

[Sandor]

может имеет смысл его установить тоже?

Пока не нужно.

Программа

Win32DiskImager version 1.0.0

вам известна? Ставили самостоятельно?


Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Raugul]

Win32DiskImager version 1.0.0
Да для восстановления второго ПК, устанавливал через нее Kaspersky Resсue Disk Tool
Минуту сейчас сделаю

 

[Raugul]

fixlog

 

[Sandor]

Хорошо.

четкое ощущение того, что в компе, сидит либо майнер либо руткит

Это ощущение ещё есть?

 

[Raugul]

Пока что вроде нету, я понаблюдаю этот день, если что напишу.
Скажите по второму компьютеру могу сюда кинуть логи?
Там вообще кто-то прав лишает меня

 

[Raugul]

Только вот не знаю как логи закинуть от туда, флешки жалко, сразу заразу переносят, не знаю как быть, прям оттуда отправить может лучше?

 

[Sandor]

понаблюдаю этот день, если что напишу

Хорошо.

по второму компьютеру могу сюда кинуть логи?

Нет, создайте отдельную тему.

флешки жалко, сразу заразу переносят

На здоровой системе отключите автозапуск со съемных носителей.

 

[Raugul]

Спасибо большое