Решена Поймал Rootkit и Bootkit, идет борьба уже две недели.

stMax777

Новый пользователь
Сообщения
36
Реакции
0
Доброго времени суток, я как любитель взломанного ПО нее отказываю ссебе попользваться PRO версиями любых программ, предполагаю, что от туда все это.
Программа (скрипт) загружает в систему подменный реестр, настраивает свои политики, устанавливает свои драйвера со скриптами, настраивает планировщик задач, и конечно же получает доступ полный, сегодня еще был обнаружен скрытый диск на 8 гб, который я думал что есть (потому как из него видимо при любой новой установке) скрипт работает опять. Что я предпринимал: обращался за удаленной помощью к "Пендосам", подтвердили факт наличия пользователя и его действий, в помощи развели руками и пожелали всего хорошего. Суть такая, его драйвера настраивают значения приоритета политик перед моими, загружаются .dll в память (не выгрузить), может от скуки удалить мою запись (я переустанавливаю иногда в день по три раза винду), чем я его сдерживаю последние три дня: заблокировал полный доступ в брандмауэре (настроил блок портов UDP, TCP, поставил заглушки на все что лезет левого), суть какая, потихоньку очищаю систему от воздействия скриптов, сегодня впервые смог добраться до скрытого диска и его местоположения и подтвердил теорию о загрузчике левого при установке. На заметку, учусь на защиту информации и обеспечение безопасности данных, есть интерес понять как обороняться от такого, удалять, и исправлять. А еще, все службы тоже перенастроены на него и работают как хотят, иногда он отключает защиту, через посылания запросов и вызывает ошибки у них, сегодня отрубился TPM 2.0, когда его нет - скрипты и планировщик заданий продолжают работать и делают свое дело, я убиваю процессы через .килл, уже сегодня и вчера (два дня куллер не орет как вертолет, две недели он просто как бешенный работал, думал хана придет.
Win 10 pro 1909 22h2
 

Вложения

  • Снимок экрана (1).png
    Снимок экрана (1).png
    97 KB · Просмотры: 41
  • Снимок экрана (1).png
    Снимок экрана (1).png
    97 KB · Просмотры: 42
  • Снимок экрана (15).png
    Снимок экрана (15).png
    95.9 KB · Просмотры: 39
  • Снимок экрана (22).png
    Снимок экрана (22).png
    102 KB · Просмотры: 39
  • Снимок экрана (7).png
    Снимок экрана (7).png
    105.7 KB · Просмотры: 41
Последнее редактирование модератором:
Готово, только с работы домой пришел. Еще бонусом скрин есть
 

Вложения

  • CollectionLog-2023.03.09-19.11.zip
    19.4 KB · Просмотры: 14
  • Снимок экрана (286).png
    Снимок экрана (286).png
    116.4 KB · Просмотры: 43
Пока особо плохого ничего не видно.

Деинсталлируйте нежелательное ПО:

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Добрый день прошу прощения, сегодня с утра мой аккаунт был удален.. (Службе профилей пользователей не удалось войти в систему), переустановил Windows again//
Прикрепляю логи программ. В этот раз нчем не обрабаотывал, кроме DISM, chkdsk и sfc, анит малмарей, ркилл и других не запускал, работает только дефендер
 

Вложения

  • Addition.txt
    42.8 KB · Просмотры: 12
  • FRST.txt
    46.9 KB · Просмотры: 11
  • CollectionLog-2023.03.10-13.47.zip
    17.4 KB · Просмотры: 10
Последнее редактирование:
После этого пользовались какими-то твиками (типа отключение телеметрии и т.п.)?
нет, категорически, только DISM, SFC, CHKDSK. Я же говорю, что у меня чистая система устанавливается грязной с его скриптами и настройками. и ДИск теперь скрытый не на 8 гб, а на 28, как я понял из лога. В этот раз не ставил еще приложений, в том числе и драйвер бустер... жду вердитка. Я наоборот, "ЗА" все функции которые предостовляет Microsoft, у них все приложения достойные которые относятся к удобствам, может как исклчение, это стандартные, типо скайпа, люди, сообщения, xbox и другие - я их сразу удаляю
 
Последнее редактирование:
В логах не вижу ничего криминального, разве что в Брандмауэре заблокировано много системных вещей.

Моё мнение - на другом компьютере скачайте ещё раз установочный образ, перед установкой удалите с жёсткого диска все разделы и установите систему.
Для начала не подключайте HDD, работайте только с SSD.
 
Посмотрите, я могу ошибаться, но судя по этому у меня есть куча впн соединений и отсутствие доступа к процессам
 

Вложения

  • Снимок экрана (285).png
    Снимок экрана (285).png
    131 KB · Просмотры: 41
  • Снимок экрана (286).png
    Снимок экрана (286).png
    148.6 KB · Просмотры: 36
  • Снимок экрана (287).png
    Снимок экрана (287).png
    129.5 KB · Просмотры: 41
  • Снимок экрана (288).png
    Снимок экрана (288).png
    119.1 KB · Просмотры: 35
  • Снимок экрана (289).png
    Снимок экрана (289).png
    116.8 KB · Просмотры: 32
  • Снимок экрана (290).png
    Снимок экрана (290).png
    132.7 KB · Просмотры: 33
Вот еще, информация только о одном процессе, прямо сейчас что делать то с ним?
 

Вложения

  • Снимок экрана (295).png
    Снимок экрана (295).png
    99.2 KB · Просмотры: 32
  • Снимок экрана (296).png
    Снимок экрана (296).png
    95.8 KB · Просмотры: 34
  • Снимок экрана (297).png
    Снимок экрана (297).png
    68.8 KB · Просмотры: 35
  • Снимок экрана (298).png
    Снимок экрана (298).png
    72.8 KB · Просмотры: 39
  • Снимок экрана (299).png
    Снимок экрана (299).png
    65.2 KB · Просмотры: 31
  • Снимок экрана (300).png
    Снимок экрана (300).png
    121.2 KB · Просмотры: 33
там есть левые пользователи и еще этот процесс настраивает мои среды системы и запускает невыгружаемые (без телесные процессы) .DLL теперь еще я не могу ограничить подключение в разрешениях браузера, лог восстановления, запускал скан несколько часов назад и сейчас.
 

Вложения

  • Снимок экрана (301).png
    Снимок экрана (301).png
    71.9 KB · Просмотры: 31
  • CBS.log
    812.8 KB · Просмотры: 9
Последнее редактирование:
Я не понял, что именно вы хотите проиллюстрировать этими скриншотами. Ничего криминального на них не вижу.

Повторю:
Моё мнение - на другом компьютере скачайте ещё раз установочный образ, перед установкой удалите с жёсткого диска все разделы и установите систему.
Для начала не подключайте HDD, работайте только с SSD.
 
добыл лицензию WIN 10 PRO на dvd-диске, не перезаписываемую, вытащил салазки с хардом, разбил с помощью diskpart на 4 раздела установил windows - все тоже самое, куча процессов левых, я не считаю это нормальным, такого не должно быть, я же не первый день в окошко смотрю
 
разбил с помощью diskpart на 4 раздела
А зачем вы это делаете? Диск на 120 гигабайт еще и на 4 раздела?
Ставьте на один раздел и пусть система сама разметит как её нужно.
 
А зачем вы это делаете? Диск на 120 гигабайт еще и на 4 раздела?
Ставьте на один раздел и пусть система сама разметит как её нужно.
это обычное дело, странно, что вы так не делаете =) , сейчас сделаю, ноут нужен другой или на моем?
 
Раз инсталляция у вас на DVD, другой не нужен.
На первом этапе установки удалите все имеющиеся разделы (чтобы осталась одна неразмеченная область на 120 гигов) и устанавливайте.
 
Добрый день, после переустановки - все выглядит более менее, напрягает только количество разных подключений svhost и поведения брэндмауэра. Подскажите, какие действия мне необходимо повторить, чтобы убедиться в отстутствии Руткит, буткит, видимо, я вычистил все разными средствами, не знал, что для анализа нужно оставлять, но антивирусные инструменты что-то удаляли. Пользовался ими потому как не был знаком с правилами форума (как и не знал о его существовании). Подскажите что делать дальше. Заново все инструменты и логи прикреплять?
 
Все не нужно, только архив CollectionLog по правилам (сообщение №2).
 
Готово, проверяйте. Хотелось бы послушать рекомендации, по оптимизации системы и по вопросу защиты сети и подключений (правила бранмаэура, блокировка портов и тд.) было бы очень полезно для развития, спасибо
 

Вложения

  • CollectionLog-2023.03.17-12.43.zip
    25.2 KB · Просмотры: 9
Вы ведь хотите, чтоб мы адекватно отвечали на ваши вопросы? Мы от вас тоже этого хотим.

только архив CollectionLog по правилам (сообщение №2).
А вы что прикрепили?
 
Назад
Сверху Снизу