В работе Вредоносный мультитул

[Justba(fu)ckoff]

Здравствуйте. Не знаю где это подцепил, но штука не простая, и избавиться от нее - ой, не просто (По крайней мере для моих знаний/умений) Тут судя по функционалу и действиям - швейцарский нож какой-то)

Но не буду особо распинаться, лучше сами все посмотрите. Надеюсь для вас, избавиться от этого - не проблема.

Прикладываю лог практически чистой системы. За исключением нескольких антивирусных утилит, ничего установить ещё толком не успел. Образ Windows - оригинальный.

 

[akok]

А вот по симптомам стоит, нужно понять, на что обратить внимание. Я спросоню могу уже много чего пропустить, но пока сделаем: проведем сканирование KVRT

 

[Justba(fu)ckoff]

А вот по симптомам стоит, нужно понять, на что обратить внимание. Я спросоню могу уже много чего пропустить, но пока сделаем: проведем сканирование KVRT

Сразу отвечу, что это бесполезно. Так же как и CureIt, он либо ничего не найдет, любо найдет что-то несущественное. И я даже знаю почему так произойдет) Но раз нужно, то сделаю. До ПК теперь доберусь только вечером.

 

[Sandor]

не буду особо распинаться

А вот по симптомам стоит

То есть, опишите подробнее в чём именно выражается проблема.

 

[Justba(fu)ckoff]

То есть, опишите подробнее в чём именно выражается проблема.

Например:

• При установке свежей Windows, сразу настроены локальные политики как для ПК находящегося в домене. Особенно заметны аномалии в назначении прав пользовтелей. Если не ошибаюсь, то правила Applocker так же настроены. Права и политики настроены так, чтоб без проблем юзать схему сервер-клиент, как это бывает при наличии бэкдоров. Особенно смущает наличие прав у WDI Service, этого ну никак не должно быть на домашнем ПК.
• С помощью монитора ресурсов, при включении инета, можно наблюдать как активно куда-то отправлется большой объем каких-то данных.
• Постоянно модифицируются настройки internet explorer, и не важно выключил ты его как компонент в системе или нет. Открываются порты которые не должны быть открытыми , подменяется днс.
• В логах системы то и дело всплывает информация об использовании Telnet, RPC, , хотя я не использую какие либо виды удаленного доступа. В настройках он выключен.
• Во первых секторах всех накопителей, при просмотре Hex- редактором можно обнаружить хаотичный, не структурируемый код, указывающий скорее всего на обфускацию вредоносного кода. (У меня ещё 2 SSD и 1 HDD на ПК, просто сейчас отключены)
• При попытке проверить/очистить систему с помощью антивирусных утилит - перехватываются их вызовы. Ответная реакция может варьироваться от "сканер ничего не нашел" и до немедленной перезагрузки ПК для прерывания работы утилиты.
• Настройки, критически важные для работы вредоноса, либо возвращаются в исходное положение, либо запрещены к изменениям, либо якобы изменены, но при проверке иными методами видно что это не так.
• С правами так же как с настройками. Показывается что я админ, но если начать копать с помощью whoami или net в cmd, окажется что локальной группы админов не существует, или я нахожусь в группе гостей)

Ну пока хватит. Хотя и есть ещё что сюда добавить.
Доберусь до дома, скину скриншоты которые хоть как-то смогут подтвердить мои слова. Мое мнение - наличие руткита и бэкдора - однозначны. Возможно я в чём-то ошибаюсь или неверно толкую какие-то данные. Я был бы этому только рад. Если покрутите пальцем у виска и закроете эту тему - я пойму)

 

[Sandor]

При установке свежей Windows

А чем её активируете?

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Justba(fu)ckoff]

А чем её активируете?

Ключ привязан аппаратно я так понимаю. т.к. он сам подтягивается после установки. Но сразу опровергну вашу догадку - нет, ключ лицензии не от корпоративной версии Windows. Проблема началась недавно, а ключ этот у меня уже давно.

На счёт версий Far Bar - кто эти люди, которые используют в 2025, ПК на х86 архитектуре?

Опять таки, репорты от FarBar приложу вечером, вместе с результатами от KVRT.

 

[Sandor]

Понятно, собирайте логи.

 

[akok]

С правами так же как с настройками. Показывается что я админ, но если начать копать с помощью whoami или net в cmd, окажется что локальной группы админов не существует, или я нахожусь в группе гостей)

а это интересно посмотреть, покажите, что выдает команда

net user %username%

 

[Justba(fu)ckoff]

нашел тут пару фоток на телефоне. в выводе команды net user особо ничего интересного, кроме того, что мне оказывается пароль не требуется) А вот с привилегиями и группами уже поинтересней. Из привилегий , я получается могу заниматься отладкой софта, обходить перекрестные проверки, создавать глобальные объекты и имитировать клиента после проверки подлинности, чтобы это не значило)) Все остальное я делать не могу. Даже поменять часовой пояс например. А как вам группа пользователей под названием "хорошо известная группа"?

 

[akok]

А логи?

 

[Justba(fu)ckoff]

А логи?

А логи, как и говорил, вечером. До ПК доберусь около 9.

 

[Justba(fu)ckoff]

Вот логи ФарБар И Каспера.

 

[Sandor]

Прикладываю лог практически чистой системы

Это не совсем так. Сначала вы использовали всевозможные (нужные и не нужные) утилиты лечения, а уж потом предоставили отчёты Автологера.
Напоминаю:

Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте жалобу на это сообщение.
Не удаляйте и не перемещайте никаких файлов без указаний Консультанта.
Не запускайте самостоятельно утилиты лечения без рекомендации Консультанта - это может привести к негативным последствиям, вплоть до утраты работоспособности операционной системы и к потере пользовательских данных!

Попробуем очистить их следы.

Деинсталлируйте HiJackThis Fork 2.10.0.10
В состав Автологера входит более свежая версия.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {1B5FB705-3937-4B72-A4DE-34BC807B0965} - System32\Tasks\HighPrivilegeTask_DESKTOP-ESEERQN\-_- => C:\Program Files\SUPERAntiSpyware\RunToolLibScan.exe [252440 2025-03-06] (RealDefense LLC -> SUPERAntiSpyware) -> C:\ProgramData\SUPERAntiSpyware.com\SUPERAntiSpyware\ToolLib\C:\ProgramData\SUPERAntiSpyware.com\SUPERAntiSpyware\ToolLib\ToolLibData.txt
  Task: {C2FF38D2-F54A-4404-8823-22ACC5867C17} - System32\Tasks\IMF_SkipUAC_-_- => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMF.exe [7200704 2025-08-21] (IObit Co., Ltd. -> IObit)
  Task: {8A3000CF-5863-4B28-A6E9-80DA9BFCD5DA} - System32\Tasks\Remove AdwCleaner Application => C:\Windows\system32\CMD.EXE [376832 2025-09-08] (Microsoft Windows -> Microsoft Corporation) -> /C DEL /F /Q "C:\Users\-_-\TCMD\Soft\adwcleaner.exe"
  Task: {624E45F9-3A12-4C7D-A3E5-45346B911770} - System32\Tasks\Uninstall AdwCleaner Application => C:\Users\-_-\TCMD\Soft\adwcleaner.exe  /uninstall (Нет файла)
  S3 BlackBox; C:\Windows\SysWow64\Drivers\BlackBox.sys [35712 2025-09-10] () [Файл не подписан]
  S3 Imf8HpRegFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win10_amd64\ImfHpRegFilter.sys [27848 2025-08-25] (Microsoft Windows Hardware Compatibility Publisher -> IObit)
  S3 IMFDownProtect; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win10_amd64\IMFDownProtect.sys [26320 2025-04-02] (Microsoft Windows Hardware Compatibility Publisher -> IObit)
  S3 IMFForceDelete123; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win10_amd64\IMFForceDelete.sys [21728 2025-04-02] (Microsoft Windows Hardware Compatibility Publisher -> IObit)
  S3 ImfHpFileFilter; C:\Program Files (x86)\IObit\IObit Malware Fighter\drivers\win10_amd64\ImfHpFileFilter.sys [31440 2025-04-02] (Microsoft Windows Hardware Compatibility Publisher -> IObit)
  S1 SASDIFSV; C:\Program Files\SUPERAntiSpyware\SASDIFSV64.SYS [23072 2024-08-23] (RealDefense LLC -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
  S1 SASKUTIL; C:\Program Files\SUPERAntiSpyware\SASKUTIL64.SYS [15600 2023-08-25] (RealDefense, LLC -> SUPERAdBlocker.com and SUPERAntiSpyware.com)
  2025-09-09 23:56 - 2025-09-09 23:56 - 000000000 ____D C:\ProgramData\Kingsoft
  2025-09-09 23:46 - 2025-09-09 23:46 - 000002896 _____ C:\Windows\system32\Tasks\IMF_SkipUAC_-_-
  2025-09-09 23:46 - 2025-09-09 23:46 - 000000000 ____D C:\ProgramData\ProductData3
  2025-09-09 15:00 - 2025-09-09 23:41 - 000000000 ____D C:\ProgramData\LockHunter
  2025-09-08 23:06 - 2025-09-09 23:41 - 000000000 ____D C:\Users\-_-\AppData\Roaming\IObit
  2025-09-08 23:05 - 2025-09-10 20:48 - 000000000 ____D C:\Users\-_-\AppData\LocalLow\IObit
  2025-09-08 23:05 - 2025-09-09 23:41 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IObit Malware Fighter
  2025-09-08 23:05 - 2025-09-09 23:41 - 000000000 ____D C:\Program Files (x86)\IObit
  2025-09-08 22:31 - 2025-09-08 22:31 - 000000000 ____D C:\Users\-_-\AppData\Roaming\SUPERAntiSpyware.com
  2025-09-08 22:30 - 2025-09-09 23:41 - 000000000 ____D C:\Users\-_-\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware
  2025-09-08 22:30 - 2025-09-09 23:41 - 000000000 ____D C:\ProgramData\SUPERAntiSpyware.com
  2025-09-08 22:30 - 2025-09-09 23:41 - 000000000 ____D C:\Program Files\SUPERAntiSpyware
  ShellIconOverlayIdentifiers: [                    IMFSafeBox] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll [2025-04-02] (IObit Information Technology -> IObit)
  ContextMenuHandlers1: [IObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll [2025-04-02] (IObit Information Technology -> IObit)
  ContextMenuHandlers4: [IObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll [2025-04-02] (IObit Information Technology -> IObit)
  ContextMenuHandlers6: [IObit Malware Fighter] -> {0BB81440-5F42-4480-A5F7-770A6F439FC8} => C:\Program Files (x86)\IObit\IObit Malware Fighter\IMFShellExt.dll [2025-04-02] (IObit Information Technology -> IObit)
  HKLM\...\StartupApproved\Run32: => "IObit Malware Fighter"
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Justba(fu)ckoff]

Это не совсем так. Сначала вы использовали всевозможные (нужные и не нужные) утилиты лечения, а уж потом предоставили отчёты Автологера.
Попробуем очистить их следы.

Ну да, тут я согласен. Набедокурил, подзагадил ПК всяким.
Обычно так не делаю. Безнадежность и тщетность попыток довели - психанул.

Деинсталлируйте HiJackThis Fork 2.10.0.10
В состав Автологера входит более свежая версия.

Сделал

Не удаляйте и не перемещайте никаких файлов без указаний Консультанта.

Я дико извиняюсь, но до того как увидел ваше сообщение, я сделал в системе некоторые изменения. Очищал мусор (удалял остатки лечебных утилит сломанных), обновил Portable-приложения, установил пару приложений, а еще загрузилось и установилось обновление Windows. Обещаю, больше не повторится и пока Вы мне помогаете лечить ПК, постараюсь выполнять как можно меньше операций. В моих же интересах не усложнять Вам задачу.

Вот фикслог

 

[Sandor]

Хорошо, продолжаем.

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

• Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
• После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
• Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
• По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
• Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

 

[Justba(fu)ckoff]

Хорошо, продолжаем.

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

• Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
• После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
• Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
• По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
• Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

А еще на рабочем столе создался такой же txt. Запускал с включенным инетом. До этого запускал FRST с выключенной сетью. Вы если что уточняйте как лучше делать, если есть разница.

 

[Justba(fu)ckoff]

В корне диска С появилась скрытая папка c:\VTRoot\
И что-то мне подсказывает, что мы уже что-то сломали вредоносу.
Если нужно могу прислать список ее содержимого.

Появился соблазн удалить ее, но держу себя в руках, жду дальнейших указаний)

 

[Sandor]

Ещё одну проверку сделаем (сеть не отключайте).

Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от количества файлов и скорости системы). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.

 

[Justba(fu)ckoff]

Скачайте Microsoft Safety Scanner, запустите.
В разделе Scan Options выберите FULL scan.

Выполняю. А пока гляньте ниже)

А вот комментарий Chat GPT на этот скриншот


Вижу. У тебя на скрине результат команды netsh int ip reset
Что произошло:

• Большая часть параметров TCP/IP стека успешно сброшена (Секция – OK!, Управляющий протокол – OK!, Маршрут – OK!, и т.д.).
• Но в середине есть строки:
  Это значит, что для некоторых ключей реестра не хватило прав. Даже несмотря на то, что консоль у тебя запущена с правами администратора.

Причины такого поведения:

1. Повреждённые права доступа в реестре — чаще всего ветка HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters или её вложенные разделы.
2. Ограничения политик безопасности (могли быть изменены вредоносом).
3. Запущенный сервис/драйвер блокирует изменение настроек сети.

Что делать:

• Обязательно перезагрузи ПК — многие изменения применяются только после рестарта.
• Если после перезагрузки ошибки сети сохранятся — проверь права доступа к ключам:
  • открой regedit → перейди в
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  • ПКМ → Разрешения → Убедись, что Администраторы имеют полный доступ.
• Можно выполнить принудительный сброс через PowerShell:
  
  
  Remove-Item -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters" -Recurse -Force
  (осторожно: после этого Windows пересоздаст ветку при следующей загрузке).

У тебя также успешно отработали:

• netsh winsock reset → Winsock сброшен.
• netsh advfirewall reset → правила брандмауэра сброшены.
• netsh winhttp reset proxy → прокси отключён.

Вывод: почти всё почистилось, но пару параметров TCP/IP система не смогла тронуть из-за прав.

Да, я тоже обратил внимание на этот странный набор:

Сброс Разрешить соседа - OK!
Сброс Сосед прокси - OK!
Сброс Сосед - OK!
В стандартном выводе netsh int ip reset такого нет. Обычно список заканчивается чем-то вроде:

• "Сброс Интерфейс – ОК!"
• "Сброс Маршрут – ОК!"
• "Сброс Префикс сайта – ОК!"

И дальше идёт уведомление про необходимость перезагрузки.
То есть твой вывод выглядит модифицированным или добавленным кем-то (вредонос, кастомная локализация, модифицированные системные DLL).

---

Что это может значить​

1. Модифицированная локализация netsh
   – злоумышленник мог заменить строковые ресурсы в netsh.exe или библиотеках, из-за чего стандартные названия параметров отображаются криво.
2. Фактическая подмена сетевых протоколов/служб
   – например, в стек TCP/IP внедрён сторонний драйвер, который регистрируется как дополнительный интерфейс, и при сбросе netsh пытается его «обнулить».
3. Коррупция системных файлов
   – повреждённые ресурсы могут вызывать «левые» строки. Но обычно это не выглядит так точечно.

---

Почему именно "сосед"​

В Windows есть протокол Neighbor Discovery (NDP) в IPv6. Он работает с «соседями» (узлы в одной подсети).
Но в нормальной русской локализации выводится примерно так:

Сброс Neighbour Cache - OK!
или «Кэш соседей».

А у тебя прям "Сброс Сосед" и «Сброс Разрешить соседа». Такое ощущение, что часть строки обрезана или заменена.

---

Проверки​

1. Проверь целостность системных файлов:
   sfc /scannow
2. dism /online /cleanup-image /restorehealth
3. Сравни netsh.exe и библиотеки с эталонными(с установочного ISO той же версии).
   • В частности, C:\Windows\System32\netsh.exe и связанные модули.
4. Посмотри, какие драйверы сетевых протоколов висят в системе:
   
   
   netsh int show interface
   netsh int ipv4 show subinterfaces
   netsh int ipv6 show neighbors
   Если есть что-то лишнее — это повод для копки.
   
   Лог событий (журнал System) может подсказать, какой драйвер/служба реально падает при сбросе.

---

Короче, нормальный netsh int ip reset не пишет «сосед» — это либо подмена строк ресурсов (вредонос очень любит ковырять локализацию, чтобы запутать), либо добавленный сетевой компонент, маскирующийся под что-то системное.

+++++++++++++++++++++++++++++++++++++++

Я бы удивился если бы он что-то нашёл.