странно но меня не пускало в безопасный режим через параметры загрузки!! пустило только после прописывания в msconfig, и после того как я зашел туда нашел этот файл он мне не дал с ним ничего сделать, не в архив не в зип ничего не давал делать даже создать копию, выдавал ошибку, но получилось зип в зип но неуверен что там что-то есть така как зип внутри весит 0бт. Получилось его запаковать, только открывать без пароля и открыть в винрар, без пароля заливать его? если что я его прикрепил
Последний раз редактировалось Jutonish; 08.05.2020 в 12:13.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вы скопировали ссылку на это файл, если есть возможность скопируйте указанный драйвер на рабочий стол и проверьте его пожалуйста на virustotal.com или заархивируйте его и отправить его как карантин.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
virustotal.com все нормально не выдал ничего, дак а что в логах вообще происходит с компьютером?
Ничего вредоносного не замечено.
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
а как тогда выявить поломку?
В логах также не обнаружено ничего плохого, возможно, что-то системное.
Попробуйте воспроизвести проблему в режиме чистой загрузке, возможно сторонее по мешает корректной работе ПК.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Здравствуйте,
В последних логах после повторного анализа, повилось подозрение на руткит.
- Покажите лог TDSSKillerКод:(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10740 (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10744 (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10748 (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10752 ... (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10820
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)
P.S. пожалуста самостоятельно ничего не удаляйте.
Знаком ли Вам следующий файл?
Он по результату Virustotal весьма подозрительный.Код:C:\USERS\JUTONISH\DESKTOP\IROOT_1_02.EXE
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Код:
C:\USERS\JUTONISH\DESKTOP\IROOT_1_02.EXE
да этой программы уже нет
а вот с файлом lsass какие-то проблемы
Страно логе ничего.
Проверьте пожалуйста ваш ПК утилитой KVRT.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Код:
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10740
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10744
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10748
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10752
...
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\LSASS.EXE [900], tid=10820
а это что такое вообще?
и где отчет сохраняется от KVRT?
KVRT что-то нашел?
На данный момент неизвестно, так как в логах ничего конкретного нет. Но обычно это сигнализирует на нахождение руткита, у которого есть функции скрытия себя в системе.Сообщение от Jutonish
В каталоге C:\KVRT могли бы его пожалуйста заарзивировать и приложить
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
выдал пару файлов странных, и нужно ли указывать в настройке проверки системного раздела?
Странно какой-то лог маленький. Вы сканировали по умолчанию? Если проверка была только, памяти и активных процессов, могли бы проверить весь системный диск?
Найдено только следующее:
Вы сами его устанавливали?Код:C:\Program Files\Process Hacker 2\ProcessHacker.exe" Info="not-a-virus:HEUR:RiskTool.Win32.ProcHack.gen"
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
Process Hacker да сам ставил, запустил проверку, около 30 минут займет! Такой вопрос, вы мне можете немного рассказать как вообще тестить все эти темы по логам и вообще определять что на компе, майнер, удаленный доступ и тд!! я за эти 3 дня узнал много интересного по вирусологии!!
Там много чего рассказывать нужно, если Вам это тема интересна , то можете записать в студенты, когда будет набор, там будут различные задания которые помогут разобраться во всем. Также есть очень много случаев, когда вредоносное ПО не видно на активной системе, в этом случае необходимо будет собрать логи в режиме восстановления или WinRE, но это после проверки KVRT.
Буду ждать от Вас информации о проверке.
- - - - -Добавлено - - - - -
По возможности в безопасном режиме прикрепите в карантин указанный файл, так как есть вероятности что антивирусные вендоры его не дектируют как вредоносный файл.
Код:C:\Windows\system32\Drivers\Wdf71311.sys
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
вот
Сможете предоставить пожалуйста?
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
правильно я понял зайти в безопасный режим создать ярлык этого файла и запаковать в зип? иначе на прямую он мне не дает ничего сделать!!
Нет, необходимо его скопировать на рабочий стол, затем заархивировать в zip далее в нормальном режиме загрузить его по ссылке "Прислать запрошенный карантин" вверху темы.
- - - - -Добавлено - - - - -
Если не получается сообщите пожалуйста об этом.
Последний раз редактировалось SQ; 09.05.2020 в 19:20.
CCNA, CCNP, CCNA Security, CCDA, CCDP
MCP, Microsoft Specialist: Srv Virtualization with WinSrv Hyper-V and System Center
скинул в карантин, но там ярлык этого файла, когда его пробую копировать пишет файл нельзя копировать так как он пуст! ну и при добавление его в архив таже история
Уважаемый(ая) Jutonish, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
