Printable View
странно но меня не пускало в безопасный режим через параметры загрузки!! пустило только после прописывания в msconfig, и после того как я зашел туда нашел этот файл он мне не дал с ним ничего сделать, не в архив не в зип ничего не давал делать даже создать копию, выдавал ошибку, но получилось зип в зип но неуверен что там что-то есть така как зип внутри весит 0бт. Получилось его запаковать, только открывать без пароля и открыть в винрар, без пароля заливать его? если что я его прикрепил
Вы скопировали ссылку на это файл, если есть возможность скопируйте указанный драйвер на рабочий стол и проверьте его пожалуйста на [URL="http://virustotal.com"]virustotal.com[/URL] или заархивируйте его и отправить его как карантин.
virustotal.com все нормально не выдал ничего, дак а что в логах вообще происходит с компьютером?
Ничего вредоносного не замечено.
Скачайте программу [url="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/url] и [url="http://virusinfo.info/showthread.php?t=121767"]сделайте полный образ автозапуска uVS[/url].
а как тогда выявить поломку?
В логах также не обнаружено ничего плохого, возможно, что-то системное.
Попробуйте воспроизвести проблему в режиме [URL="https://support.microsoft.com/ru-ru/help/929135/how-to-perform-a-clean-boot-in-windows"]чистой загрузке,[/URL] возможно сторонее по мешает корректной работе ПК.
Здравствуйте,
В последних логах после повторного анализа, повилось подозрение на руткит.
[CODE](!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10740
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10744
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10748
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10752
...
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10820
[/CODE]
- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
P.S. пожалуста самостоятельно ничего не удаляйте.
Знаком ли Вам следующий файл?
[CODE]C:\USERS\JUTONISH\DESKTOP\IROOT_1_02.EXE[/CODE]
Он по результату [URL="https://www.virustotal.com/gui/file/def991bb1fd012dd3b536f714511099ad896e804198d3f37bea31003d40ded54/detection"]Virustotal[/URL] весьма подозрительный.
Код:
C:\USERS\JUTONISH\DESKTOP\IROOT_1_02.EXE
да этой программы уже нет
а вот с файлом lsass какие-то проблемы
Страно логе ничего.
Проверьте пожалуйста ваш ПК утилитой [URL="https://support.kaspersky.ru/viruses/kvrt2015"]KVRT[/URL].
Код:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10740
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10744
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10748
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10752
...
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10820
а это что такое вообще?
и где отчет сохраняется от KVRT?
KVRT что-то нашел?
[QUOTE=Jutonish;1511430]Код:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10740
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10744
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10748
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10752
...
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10820
а это что такое вообще?
[/QUOTE]
На данный момент неизвестно, так как в логах ничего конкретного нет. Но обычно это сигнализирует на нахождение руткита, у которого есть функции скрытия себя в системе.
[QUOTE=Jutonish;1511430]
и где отчет сохраняется от KVRT?[/QUOTE]
В каталоге C:\KVRT могли бы его пожалуйста заарзивировать и приложить
выдал пару файлов странных, и нужно ли указывать в настройке проверки системного раздела?
Странно какой-то лог маленький. Вы сканировали по умолчанию? Если проверка была только, памяти и активных процессов, могли бы проверить весь системный диск?
Найдено только следующее:
[CODE]
C:\Program Files\Process Hacker 2\ProcessHacker.exe" Info="not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen"
[/CODE]
Вы сами его устанавливали?
Process Hacker да сам ставил, запустил проверку, около 30 минут займет! Такой вопрос, вы мне можете немного рассказать как вообще тестить все эти темы по логам и вообще определять что на компе, майнер, удаленный доступ и тд!! я за эти 3 дня узнал много интересного по вирусологии!!
[QUOTE=Jutonish;1511436]Process Hacker да сам ставил, запустил проверку, около 30 минут займет! Такой вопрос, вы мне можете немного рассказать как вообще тестить все эти темы по логам и вообще определять что на компе, майнер, удаленный доступ и тд!! я за эти 3 дня узнал много интересного по вирусологии!![/QUOTE]
Там много чего рассказывать нужно, если Вам это тема интересна , то можете записать в студенты, когда будет набор, там будут различные задания которые помогут разобраться во всем. Также есть очень много случаев, когда вредоносное ПО не видно на активной системе, в этом случае необходимо будет собрать логи в режиме восстановления или WinRE, но это после проверки KVRT.
Буду ждать от Вас информации о проверке.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[QUOTE=Jutonish;1511399]virustotal.com все нормально не выдал ничего, дак а что в логах вообще происходит с компьютером?[/QUOTE]
По возможности в безопасном режиме прикрепите в карантин указанный файл, так как есть вероятности что антивирусные вендоры его не дектируют как вредоносный файл.
[CODE]C:\Windows\system32\Drivers\Wdf71311.sys [/CODE]
вот
[QUOTE=SQ;1511437]
По возможности в безопасном режиме прикрепите в карантин указанный файл, так как есть вероятности что антивирусные вендоры его не дектируют как вредоносный файл.
[CODE]C:\Windows\system32\Drivers\Wdf71311.sys [/CODE][/QUOTE]
Сможете предоставить пожалуйста?
правильно я понял зайти в безопасный режим создать ярлык этого файла и запаковать в зип? иначе на прямую он мне не дает ничего сделать!!
[QUOTE=Jutonish;1511441]правильно я понял зайти в безопасный режим создать ярлык этого файла и запаковать в зип? иначе на прямую он мне не дает ничего сделать!![/QUOTE]
Нет, необходимо его скопировать на рабочий стол, затем заархивировать в zip далее в нормальном режиме загрузить его по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Если не получается сообщите пожалуйста об этом.
скинул в карантин, но там ярлык этого файла, когда его пробую копировать пишет файл нельзя копировать так как он пуст! ну и при добавление его в архив таже история