хитрый rootkit + trojan

Printable View

12.02.2018, 21:28
ShadowFrench

Вложений: 1

хитрый rootkit + trojan

Всем привет! Столкнулся с весьма сложной проблемой в помощи при лечении ряда зараженных пк у друзей и знпкомых.
Выяснить удалось следующее :
Для сокрытия своей деятельности зловред внедряется в системные процессы. Также создает скрытые учетные записи и путем редактирования политики группового доступа мешает внесению изменений в подконтрольные и зараженные файлы. Также на локальной машине создает псевдо удаленный диск или же псевдоудаленный пк через который работает и на "удаленной машине" разумеется доступ закрыт паролем.
Самозащита у малвари выдающаяся.
Реестр + планировщик задач + бинари контролируют друг друга + внедрение в сервисы + какие-то из драйверов заменены либо модифицированы / либо вообще юзает еще и свои.. Короче уровень моих знаний не позволяет разобраться с лечением полноценно
Также когда руками почти выпилил зло вреда с одного из пк, машина ушла в ре бут и оказалось что hdd вместе с системным разделом отформатированы

В отчете есть фулл дамп утилиты авторанс +
Htm файлы отчетов из авз+стандартный сисчек
Пароль infected
Спасибо всем заранее
12.02.2018, 21:31
Info_bot

Уважаемый(ая) [B]ShadowFrench[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
13.02.2018, 04:39
ShadowFrench

Ребят, Уделите пожалуйста внимание, из-за наличия в системе малвари я пк по назначению не юзаю, а он для работы нужен.
В данный период времени нет возможности записать чистую ос и накатить ее, а все те которые с зараженных пк пишу на юсб и ставлю с нуля - оказываются зараженными
Тупо нет чистого компьютера под рукой.Своего рода колхоз с ограниченными ресурсами.. А те что имеются давно заражены.
Пишу со смарта за 2к рублей))
Опасаюсь предоставлять выход в сеть зараженным машинам. Дабы предотвратить утечку данных которые сразу же после подключения окажутсЯ в руках владельца малвари.
13.02.2018, 19:30
ShadowFrench

Ребя, спасайте.. :-(
14.02.2018, 22:44
Vvvyg

Логи по правилам сделайте, а не как Вам вздумалось.
15.02.2018, 00:39
ShadowFrench

Вложений: 1

При попытке включить авз гуард при выполнении произвольного скрипта - система сообщает о критической ошибке и уходит в ребут.. Пытался сам лечиться - но мои знания поверхностны..
П.с
Логи из первого поста неактуальны.
15.02.2018, 07:07
Vvvyg

Не надо трогать AVZGuard, на x64 системах он не работает.

По мне - девственно чистая система.

[URL="http://virusinfo.info/showthread.php?t=40118"]Сделайте лог Gmer[/URL].
15.02.2018, 08:31
ShadowFrench

Вложений: 1

Вадим, а как же 200 ключей реестра, которые не смог прочитать авз? И два процесса (lsass.exe и ещё один) которые системные но слушают не стандартные порты?
И ещё эти драйвера непонятно откуда, в системе даже на оборудование никакие не поставлены ... У меня паранойя? Оо
Лог гмер почти пустой..
15.02.2018, 22:10
Vvvyg

Это проблемы AVZ :>

Лог Gmer пуст. Точно по инструкции делали?