Всем привет! Столкнулся с весьма сложной проблемой в помощи при лечении ряда зараженных пк у друзей и знпкомых.
Выяснить удалось следующее :
Для сокрытия своей деятельности зловред внедряется в системные процессы. Также создает скрытые учетные записи и путем редактирования политики группового доступа мешает внесению изменений в подконтрольные и зараженные файлы. Также на локальной машине создает псевдо удаленный диск или же псевдоудаленный пк через который работает и на "удаленной машине" разумеется доступ закрыт паролем.
Самозащита у малвари выдающаяся.
Реестр + планировщик задач + бинари контролируют друг друга + внедрение в сервисы + какие-то из драйверов заменены либо модифицированы / либо вообще юзает еще и свои.. Короче уровень моих знаний не позволяет разобраться с лечением полноценно
Также когда руками почти выпилил зло вреда с одного из пк, машина ушла в ре бут и оказалось что hdd вместе с системным разделом отформатированы
В отчете есть фулл дамп утилиты авторанс +
Htm файлы отчетов из авз+стандартный сисчек
Пароль infected
Спасибо всем заранее
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) ShadowFrench, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Ребят, Уделите пожалуйста внимание, из-за наличия в системе малвари я пк по назначению не юзаю, а он для работы нужен.
В данный период времени нет возможности записать чистую ос и накатить ее, а все те которые с зараженных пк пишу на юсб и ставлю с нуля - оказываются зараженными
Тупо нет чистого компьютера под рукой.Своего рода колхоз с ограниченными ресурсами.. А те что имеются давно заражены.
Пишу со смарта за 2к рублей))
Опасаюсь предоставлять выход в сеть зараженным машинам. Дабы предотвратить утечку данных которые сразу же после подключения окажутсЯ в руках владельца малвари.
При попытке включить авз гуард при выполнении произвольного скрипта - система сообщает о критической ошибке и уходит в ребут.. Пытался сам лечиться - но мои знания поверхностны..
П.с
Логи из первого поста неактуальны.
Последний раз редактировалось ShadowFrench; 15.02.2018 в 00:55.
Вадим, а как же 200 ключей реестра, которые не смог прочитать авз? И два процесса (lsass.exe и ещё один) которые системные но слушают не стандартные порты?
И ещё эти драйвера непонятно откуда, в системе даже на оборудование никакие не поставлены ... У меня паранойя? Оо
Лог гмер почти пустой..
Ответить с цитированием
