Второй месяц борьбы с непонятной тварью

**Telmann** · 19.12.2023, 05:29

Доброго времени!

Обращаюсь за помощью к данному сообществу. Вероятно стал жертвой целевой атаки. Заходил с линукса на ссылку которую мне скинули. Сайт по ссылке защищен от сканирования (сам сайт не проверить). После этого начались проблемы: отключены все логи и журналирование. Переустановка не помогла. Несколько раз реинстал Линукса делал с заменой харда и оперативки. Сейчас поставил винду, но помоему результат тотже: первый признак сразу бросающийся в глаза: журналирование отключено, постоянно включающийся и отрубающийся Антивирус. + Исходящий траффик бешенный по 10 Гигов за 15-20 минут. Отключается ВПН. Создание соединений-дубликатов Wi-Fi. И очень много дополнительных признаков заражения такие как - история входов в аккаунты, попытки войти неустановленным лицом в соцсети и тд.

Прошу помочь - не чувствую данные в безопасности.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.12.2023, 05:30

Уважаемый(ая) Telmann, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 19.12.2023, 09:31

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('wevtutil.exe', 'epl System system.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Application Application.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl Security Security.evtx', 0, 200000, false);
 ExecuteFile('wevtutil.exe', 'epl "Microsoft-Windows-Windows Defender/Operational" wd.evtx "/q:*[System [(EventID=1116)]]"', 0, 200000, false);
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -t7z -sdel -mx9 -m0=lzma:lp=1:lc=0:d=64m Events.7z *.evtx', 1, 300000, false);
ExitAVZ;
end.

В папке с AVZ появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник без капчи и дайте ссылку в теме.

**Telmann** · 19.12.2023, 15:28

Спасибо

ссылка на Events: https://file.io/mVRQG0J5VAMG

**Vvvyg** · 19.12.2023, 16:47

По журналам видно, что они были очищены 07.12. Больше ничего подозрительного.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

**Telmann** · 20.12.2023, 13:24

Сообщение от Vvvyg

По журналам видно, что они были очищены 07.12. Больше ничего подозрительного.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

7го декабря установил винду заместо линукса

в биосе может быть тварь подгружаемая перед загрузкой?

**Vvvyg** · 20.12.2023, 14:03

Сообщение от Telmann

в биосе может быть тварь подгружаемая перед загрузкой?

Чисто теоретически - да, но практически такие кейсы не попадались. Слишком много вариантов BIOS, чтобы можно было сделать универсального зловреда.

RAV Endpoint Protection сами устанавливали? Весьма сомнительный антивирус, его обычно вместе с пиратским софтом подсаживают.

**Telmann** · 20.12.2023, 15:46

Сообщение от Vvvyg

Чисто теоретически - да, но практически такие кейсы не попадались. Слишком много вариантов BIOS, чтобы можно было сделать универсального зловреда.

RAV Endpoint Protection сами устанавливали? Весьма сомнительный антивирус, его обычно вместе с пиратским софтом подсаживают.

нет. он шел в поставке с сборке. забыл как называется достаточно сейчас популярная. но удалил его сегодня утром кстати. он мне тоже ненрвавится как то невнушает доверия. ну как понял по вашему чист. буду надятся что у меня разыгралась фантазия. спасибо большее за работу.

**Vvvyg** · 20.12.2023, 16:07

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Второй месяц борьбы с непонятной тварью (заявка № 228413)

Опции темы