Подозрение на руткит!

**Shadow Builder** · 02.08.2019, 11:48

Странные явления происходят, вот скриншот ресурс монитора. На диске F нет винды. она на C стоит!

При проверке AVZ вот кусочек лога

Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll

drLoadDll (13

перехвачена, метод APICodeHijack.JmpTo[71DB3756]
>>> Код руткита в функции LdrLoadDll нейтрализован
Функция ntdll.dll:NtCreateEvent (244) перехвачена, метод APICodeHijack.JmpTo[71DB2E96]
>>> Код руткита в функции NtCreateEvent нейтрализован
Функция ntdll.dll:NtCreateMutant (254) перехвачена, метод APICodeHijack.JmpTo[71DB2F16]
>>> Код руткита в функции NtCreateMutant нейтрализован
Функция ntdll.dll:NtCreateSemaphore (265) перехвачена, метод APICodeHijack.JmpTo[71DB2F96]
>>> Код руткита в функции NtCreateSemaphore нейтрализован
Функция ntdll.dll:NtCreateUserProcess (273) перехвачена, метод APICodeHijack.JmpTo[71DB3026]
>>> Код руткита в функции NtCreateUserProcess нейтрализован
Функция ntdll.dll:NtMapViewOfSection (350) перехвачена, метод APICodeHijack.JmpTo[71DB2A86]
>>> Код руткита в функции NtMapViewOfSection нейтрализован
Функция ntdll.dll:NtOpenEvent (359) перехвачена, метод APICodeHijack.JmpTo[71DB2ED6]
>>> Код руткита в функции NtOpenEvent нейтрализован
Функция ntdll.dll:NtOpenMutant (369) перехвачена, метод APICodeHijack.JmpTo[71DB2F56]
>>> Код руткита в функции NtOpenMutant нейтрализован
Функция ntdll.dll:NtOpenSemaphore (377) перехвачена, метод APICodeHijack.JmpTo[71DB2FE6]
>>> Код руткита в функции NtOpenSemaphore нейтрализован
Функция ntdll.dll:NtQueryInformationProcess (416) перехвачена, метод APICodeHijack.JmpTo[71DB3316]
>>> Код руткита в функции NtQueryInformationProcess нейтрализован
Функция ntdll.dll:NtResumeThread (486) перехвачена, метод APICodeHijack.JmpTo[71DB2CD6]
>>> Код руткита в функции NtResumeThread нейтрализован
Функция ntdll.dll:NtWriteVirtualMemory (600) перехвачена, метод APICodeHijack.JmpTo[71DB2936]
>>> Код руткита в функции NtWriteVirtualMemory нейтрализован
Функция ntdll.dll:RtlDecompressBuffer (75

перехвачена, метод APICodeHijack.JmpTo[71DB3136]
>>> Код руткита в функции RtlDecompressBuffer нейтрализован
Функция ntdll.dll:RtlQueryEnvironmentVariable (1105) перехвачена, метод APICodeHijack.JmpTo[71DB32A6]
>>> Код руткита в функции RtlQueryEnvironmentVariable нейтрализован
Анализ user32.dll, таблица экспорта найдена в секции .text
Функция user32.dll:SetWindowsHookExA (2231) перехвачена, метод APICodeHijack.JmpTo[71DB38F6]
>>> Код руткита в функции SetWindowsHookExA нейтрализован
Функция user32.dll:SetWindowsHookExW (2232) перехвачена, метод APICodeHijack.JmpTo[71DB39F6]
>>> Код руткита в функции SetWindowsHookExW нейтрализован

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 02.08.2019, 11:49

Уважаемый(ая) Shadow Builder, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

SQ · 02.08.2019, 17:28

Здравствуйте,

Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

**Shadow Builder** · 02.08.2019, 21:20

Коллектор лог

SQ · 02.08.2019, 23:17

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

O4 - MSConfig\startupreg: AdobeBridge [command] = (HKCU) (2017/04/19) (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\skype4com: [CLSID] = {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

**Shadow Builder** · 03.08.2019, 02:51

запрошенный файл

SQ · 03.08.2019, 03:23

В логах ничего плохого незамечено. Только битые ссылки на файлы.

- Подготовьте лог AdwCleaner и приложите его в теме.

**Shadow Builder** · 03.08.2019, 03:48

запрошенный файл

SQ · 03.08.2019, 04:24

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

**Shadow Builder** · 03.08.2019, 15:06

отчет

SQ · 03.08.2019, 15:48

- Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**Shadow Builder** · 03.08.2019, 22:01

логи

SQ · 03.08.2019, 22:29

Закройте и сохраните все открытые приложения.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
File: C:\Program Files\Common Files\Native Instruments\Hardware\NIHardwareService.exe 
S3 HWiNFO32; \??\Y:\Temp\HWiNFO64A.SYS [X]
File: W:\Appdata\Roaming\msregsvv.dll
File: C:\Windows\system32\dfboottime.exe
File: C:\Windows\system32\msvcsv60.dll
File: C:\Windows\system32\ntrights.exe
File: C:\Windows\SysWOW64\av_dll.dll
File: C:\Windows\SysWOW64\av_proxy.dll
File: C:\Windows\SysWOW64\BASSMOD.dll
File: C:\Windows\SysWOW64\Redemption.dll
AlternateDataStreams: C:\ProgramData\PACE:543A5E083E0A1869 [217]
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\ProgramData\TEMP:792D4CF1 [129]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [250]
AlternateDataStreams: C:\Users\Все пользователи\PACE:543A5E083E0A1869 [217]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [125]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:792D4CF1 [129]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [250]
FirewallRules: [TCP Query User{60A8DAA9-77F9-4EAD-9854-6DA0AEE8319A}C:\cs16\hl.exe] => (Allow) C:\cs16\hl.exe No File
FirewallRules: [UDP Query User{202E04AA-1732-4FAA-B8B2-0D78A3A6CEF0}C:\cs16\hl.exe] => (Allow) C:\cs16\hl.exe No File
FirewallRules: [TCP Query User{820E87C9-0812-434C-8D6C-CF03AA4A7E73}D:\games\steam\steamapps\common\eco\eco_data\server\ecoserver.exe] => (Allow) D:\games\steam\steamapps\common\eco\eco_data\server\ecoserver.exe No File
FirewallRules: [UDP Query User{FD161449-8596-4727-82C5-E0A1A24B63BB}D:\games\steam\steamapps\common\eco\eco_data\server\ecoserver.exe] => (Allow) D:\games\steam\steamapps\common\eco\eco_data\server\ecoserver.exe No File
FirewallRules: [TCP Query User{65F62501-EC1F-4776-A185-C44142E29EA4}D:\games\steam\steamapps\common\arma 3\arma3_x64.exe] => (Allow) D:\games\steam\steamapps\common\arma 3\arma3_x64.exe No File
FirewallRules: [UDP Query User{E319167C-1FFB-496F-ABB0-5973FC260921}D:\games\steam\steamapps\common\arma 3\arma3_x64.exe] => (Allow) D:\games\steam\steamapps\common\arma 3\arma3_x64.exe No File
FirewallRules: [TCP Query User{DCB6CF0F-B306-4ACB-9881-1F236DE00ED5}D:\games\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) D:\games\steam\steamapps\common\7 days to die\7daystodie.exe No File
FirewallRules: [UDP Query User{87195A2A-192B-48D0-AE59-3B7213F13AA5}D:\games\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) D:\games\steam\steamapps\common\7 days to die\7daystodie.exe No File
Reboot:
End::

Запустите FRST и нажмите один раз на кнопку Fix и подождите.
Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.

**Shadow Builder** · 04.08.2019, 15:35

Результат

SQ · 04.08.2019, 17:22

В логах ничего плохого не было замечено, какая проблема вас беспокоит?

**Shadow Builder** · 04.08.2019, 17:33

Ну значит, вопрос можно закрыть. Вроде как пока никаких замечаний.

SQ · 04.08.2019, 20:41

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню Настройки - Удалить AdwCleaner - выберите Удалить.
Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

Подозрение на руткит! (заявка № 223329)

Опции темы