Руткит подменяет интерфейсы сайтов (или ip адреса), изменяя на них платежные данные (каким-то образом).
Я предполагаю что это руткит.. я не спец. Аваст не находит антивирус. Прилагаю лог сделанный автологером.
Также, в безопасном режиме обычная утилита AVZ (с сайта Олега) на максимально детальной проверке нашла странные какие-то настройки автозапуска (красненьким), и нашла типо руткит (сигнатуры совпали) в файле user32 (или както-то так) прилагаю тоже отчёт.
Помогите пожалуйста разобраться, и удалить эту грязь.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ScorpiOzzy, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Уважаемый(ая) ScorpiOzzy, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Спасибо, я уже сделал это. Прикрепил файл отчёта по вашей инструкции: CollectionLog-2022.04.28-12.30.zip
вот новый отчёт. Но там вылетает ошибка после запуска hijeck.. перед запуском следующего приложения. При этом антивирус отключен, автологер запускается с правами админа (винда загружена в обычном режиме).
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
Выделите и скопируйте в буфер обмена следующий код:
Код:
Start::
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1382712157-1625856101-4146876056-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://rusearch.co"
CHR DefaultSearchURL: Default -> hxxp://searchtds.com/?q={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [mfhcmdonhekjhfbjmeacdjbhlfgpjabp]
File: C:\Windows\SysWOW64\atl71.dll
File: C:\Windows\SysWOW64\mfc71.dll
File: C:\Windows\SysWOW64\mfc71u.dll
File: C:\Windows\SysWOW64\msvcp71.dll
File: C:\Windows\SysWOW64\msvcr71.dll
ShellIconOverlayIdentifiers-x32: [ 00BitrixShellExt_1] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ 00BitrixShellExt_2] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ 00BitrixShellExt_3] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ 00BitrixShellExt_4] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ 00BitrixShellExt_5] -> {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ 00BitrixShellExt_6] -> {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ 00BitrixShellExt_7] -> {057E631A-726E-4193-BB37-377DBD42812A} => -> Нет файла
ShellIconOverlayIdentifiers-x32: [ 00BitrixShellExt_8] -> {86627476-D173-4FBC-B206-3A19447FF8CC} => -> Нет файла
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\49097217.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\69918033.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\75329402.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\82168550.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\49097217.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\69918033.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\75329402.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\82168550.sys => ""="Driver"
HKU\S-1-5-21-1382712157-1625856101-4146876056-1001\...\StartupApproved\Run: => "Web Companion"
HKU\S-1-5-21-1382712157-1625856101-4146876056-1001\...\StartupApproved\Run: => "Bitrix24"
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Media Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\GPUCache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Storage\ext\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\Default\Service Worker\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge\User Data\ShaderCache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Media Cache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\GPUCache\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Storage\ext\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\Default\Service Worker\*.*"
del /s /q "%LocalAppData%\Microsoft\Edge SxS\User Data\ShaderCache\*.*"
del /s /q "%userprofile%\AppData\Local\temp\*.*"
ipconfig /flushdns
sfc /scannow
endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
Reboot:
End::
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Руткитов нет. Подробнее, пожалуйста, на каких сайтах происходит подмена? Во всех браузерах?
Спасибо, лог в приложении. Давайте я проверю нет ли вируса.. потому что до обращения на форум я еще чистил пк антивирусами.. может он был удален каким-либо антивирусом.
Похоже он вернулся. Произошло несколько вещей которые могли этому поспособствовать..
1. Менее вероятный вариант заражения:
После окончания выходных я заступил на работу (работа удаленная, через битриск, битрикс браузерная версия). Битрикс жутко тормозит... я могу допустить мысль что если он может как-то передаваться через битрикс (например при обмене документами, изображениями, при аудио и видеозвонках вечно нереально глючит...) - то возможно заражены ПК большинства сотрудников компании. А ПК личные, все на удаленке...
2.В какой-то момент почти сел айфон, и небыло розетки, но был ноут. Я воткнул айфон по usb в ноут... комп, браузер, телефон нереально резко начали синхронно глючить. На айфоне слайды при перелистывании экрана (я никогда таких глюков не видел на айфон). Затем айфон (зарядка по которому уже пошла от ноута - тухнет на 8-10% батареи, и через 30 секунд включается). Вот после этого я реально начал замечать изменения в работе компа! И кстати в прошлый раз.. перед тем как я начал замечать странности в работе ПК - я тоже подключал айфон подзарядиться к ноуту.. и он тоже в тот раз начал заряжаться, и выключился...
Может ли вирь жить в айфоне? И перебираться в ноут по кабелю при первом же подключении.. ?
На каких сайтах происходят нереальные глюки: binance.com bitrix24.ru (во время звонка особенно) это основные
Бинанс прямо на глазах преображается. То график потемнеет полностью во время торговли. То пропадут все открытые сделки (просто не отображаются).. То перестают обновляться данные во время торговли (на графике, в стакане история сделок - все данные застывают). Перезагрузка страницы не помогает, открыть в новой вкладке не помогает.
То какая-то ошибка вылетает просто вместо открытия сайта binance - чё-то пишет какой-то токен, какой-то хост...
Иногда в поисковике вылетает капча, типо не робот ли вы.. слишком много запросов от Вас идёт..
Сделал все сканы как в 1 раз... все логи и отчёты приложил. Снова нужна Ваша помощь!
Опять проблема та же самая. Приложил сканы все логи как в прошлый раз вы просили сделать... похоже с айфона заразился комп
- - - - -Добавлено - - - - -
Похоже он вернулся. Произошло несколько вещей которые могли этому поспособствовать..
1. Менее вероятный вариант заражения:
После окончания выходных я заступил на работу (работа удаленная, через битриск, битрикс браузерная версия). Битрикс жутко тормозит... я могу допустить мысль что если он может как-то передаваться через битрикс (например при обмене документами, изображениями, при аудио и видеозвонках вечно нереально глючит...) - то возможно заражены ПК большинства сотрудников компании. А ПК личные, все на удаленке...
2.В какой-то момент почти сел айфон, и небыло розетки, но был ноут. Я воткнул айфон по usb в ноут... комп, браузер, телефон нереально резко начали синхронно глючить. На айфоне слайды при перелистывании экрана (я никогда таких глюков не видел на айфон). Затем айфон (зарядка по которому уже пошла от ноута - тухнет на 8-10% батареи, и через 30 секунд включается). Вот после этого я реально начал замечать изменения в работе компа! И кстати в прошлый раз.. перед тем как я начал замечать странности в работе ПК - я тоже подключал айфон подзарядиться к ноуту.. и он тоже в тот раз начал заряжаться, и выключился...
Может ли вирь жить в айфоне? И перебираться в ноут по кабелю при первом же подключении.. ?
На каких сайтах происходят нереальные глюки: binance.com bitrix24.ru (во время звонка особенно) это основные
Бинанс прямо на глазах преображается. То график потемнеет полностью во время торговли. То пропадут все открытые сделки (просто не отображаются).. То перестают обновляться данные во время торговли (на графике, в стакане история сделок - все данные застывают). Перезагрузка страницы не помогает, открыть в новой вкладке не помогает.
То вылетает вот такая ошибка вместо открытия сайта binance:
403 ERROR
The request could not be satisfied.
Request blocked. We can't connect to the server for this app or website at this time. There might be too much traffic or a configuration error. Try again later, or contact the app or website owner.
If you provide content to customers through CloudFront, you can find steps to troubleshoot and help prevent this error by reviewing the CloudFront documentation.
Generated by cloudfront (CloudFront)
Request ID: o91WjNP6xEH2WjS9u8UpCYS5laC52hgMh_kCVePte_wbTLsZ39 qT1A==
Иногда в поисковике вылетает капча, типо не робот ли вы.. слишком много запросов от Вас идёт..
Хромом я вообще не пользуюсь, и не устанавливал его... откуда он взялся я хз. Я пользуюсь EDGE. В Edge сейчас расширения (lastpass и звонилка zadarma) сходят с ума... куча ошибок в их работе). Подключени к каким-то сайтам в lastpass непонятным (этих ошибок небыло после того как мы посчистили с Вами ПК).
В вашей программе автологер этого нет почему-то, но вот данные о проверке системы с настройкой расширенной эвристики. Посмотрите плз отчёты. Меня смущает про проверке на руткиты он находит очень много перехваченных функций (реально очень много.. может конечно это так и должно быть). И в одной функции:
Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
>>> Код руткита в функции Wow64Transition - ошибка стандартной нейтрализации (невозможно изменить область памяти, возможно противодействие со стороны руткита)
Ошибка анализа библиотеки user32.dll
Посмотрите плз эти отчёты тоже
и еще.. я сегодня общался с поддержкой IOS - там сказали что это почти исключено, что может быть вирус, который свободно захватывает различные операционные системы (IOS, Windows). Опровергли, дали пару советов.. посмотрим как будет телефон себя вести
Последний раз редактировалось ScorpiOzzy; 07.05.2022 в 16:09.
Не нужно использовать давно устаревшую версию AVZ 4.46. В Autologger используется актуальная, 5.55, там нет подобных предупреждений.
По п.п. 1 и 2 - маловероятно. Логи последние чисты. Проблемы с сайтами или к доступу к ним. санкции/контрсанкции, блокировки, DDOS/защита от DDOS и прочее.
Запрос капчи - обычное дело, если у вас не белый ip адрес, через NAT провайдера работают сотни и тысячи пользователей с одного внешнего адреса.
Сайты, на которые ломится lastpass, чисты по Virustotal.
С вирусами (возможными) на Mac не помогу.
Не нужно использовать давно устаревшую версию AVZ 4.46. В Autologger используется актуальная, 5.55, там нет подобных предупреждений.
По п.п. 1 и 2 - маловероятно. Логи последние чисты. Проблемы с сайтами или к доступу к ним. санкции/контрсанкции, блокировки, DDOS/защита от DDOS и прочее.
Запрос капчи - обычное дело, если у вас не белый ip адрес, через NAT провайдера работают сотни и тысячи пользователей с одного внешнего адреса.
Сайты, на которые ломится lastpass, чисты по Virustotal.
С вирусами (возможными) на Mac не помогу.
Я скачивал программу с официального сайта Z-Oleg, базы обновлял до поледней версии перед сканированием. И сканирование проводилось на максимальном уровне эвристики (с галкой расширенная). На среднем уровне эвристики даже 4 версия программы тоже ничего не показывает. Давайте выполним сканирование с Вашей новейшей версией на максимальном уровне эвристики. Как это сделать?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от Info_bot
