Vladimir.A. 0 Опубликовано 13 ноября, 2018 Share Опубликовано 13 ноября, 2018 Доброго времени суток, Поймал набор вирусов lsmosee, mysa, conhost, возможно после установки плагина для браузера opera. Пытался удалить с помощью Malwarebytes Anti-Malware, AVZ, Dr.Web cureit, KVRT. Cureit нашел вышеперечисленные вирусы и удалил их, спустя какое-то время после перезагрузки я заметил что проскакивает темное bat окно и понял что вирус не удален полностью. В папке C:\Windows\Temp снова появился файл conhost.exe. Дальнейшие попытки удаления вируса при помощи cureit ни к чему не привели, после перезагрузки conhost.exe появлялся снова. KVRT решил проблему, вирус после перезагрузки был удален. ВО время поиска был найден еще один зараженный объект по адресу C:\Windows\system32\wbem\repository\INDEX.BTR, удалить его не получилось и был помещен в карантин. В безопасном режиме тоже удалить не получилось. Каким образом я смогу удалить или вылечить файл INDEX.BTR? После вышеописанных манипуляций сделал лог, во время процесса логирования была повторяющаяся ошибка. см вложение. Заранее спасибо. С Уважением, Владимир. CollectionLog-2018.11.13-19.23.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 13 ноября, 2018 Share Опубликовано 13 ноября, 2018 Здравствуйте,Сами прописывали следующие настройки? R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = localhost:8080 (disabled) R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to &Teleport: (default) = (no file) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\temp\conhost.exe',''); QuarantineFile('C:\Windows\system32\wbem\repository\INDEX.BTR',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму- Подготовьте лог AdwCleaner и приложите его в теме. Убедитесь, чтобы на вашем ПК были установили обновления закрывающие уязвимость SMB:KB4012212KB4012215 Цитата Ссылка на сообщение Поделиться на другие сайты
Vladimir.A. 0 Опубликовано 13 ноября, 2018 Автор Share Опубликовано 13 ноября, 2018 SQСами прописывали следующие настройки?R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = localhost:8080 (disabled) R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac Да, прописывал в браузере mozilla firefox в настройках прокси, т.к. дополнение frigate перестало открывать некоторые заблокированные ресурсы. Это небезопасно? Выполнил, логи во вложении. Обновления установил. Malwarebytes не работал когда вирус был активен, сейчас заработал. Результат прикрепил. AdwCleanerS00.txt malware_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 13 ноября, 2018 Share Опубликовано 13 ноября, 2018 Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.Удалите все, если ничего из перечисленного в логе вам неизвестно в МВАМUPD: В карантите действительно выявляется какой-то вредоносный процесс/задача в WMI. Только после выполнения предыдущих рекомендации, выполните пожалуйста следующую.Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Vladimir.A. 0 Опубликовано 13 ноября, 2018 Автор Share Опубликовано 13 ноября, 2018 Отчет Adw прикрепил. Образ UVS тоже. Сделал проверку KVRT еще раз, все так же находит вирус C:\Windows\system32\wbem\repository\INDEX.BTR и этот файл так же найден на рабочем столе, но его не видно невооруженным глазом. После лечения с перезагрузкой вирус снова обнаруживается. Win32.avzdriver.gen - это к avz относится? Скопировал в карантин. см. снимок. AdwCleanerS03.txt MACH1NE_2018-11-13_23-19-07_v4.1.1.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 13 ноября, 2018 Share Опубликовано 13 ноября, 2018 - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. - Подготовьте лог Autoruns и приложите его в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
Vladimir.A. 0 Опубликовано 15 ноября, 2018 Автор Share Опубликовано 15 ноября, 2018 Сделал. MACH1NE.rar FRST.txt Addition.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 15 ноября, 2018 Share Опубликовано 15 ноября, 2018 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:Start:: CreateRestorePoint: CloseProcesses: HKU\S-1-5-21-3152209696-2922314650-528210150-1000\...\Run: [AdobeBridge] => [X] FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] 2018-11-11 22:44 - 2018-11-12 00:25 - 000000000 ____D C:\Program Files (x86)\UnHackMe 2018-11-11 22:44 - 2018-11-11 22:55 - 000000000 ____D C:\Users\Vladimir\Documents\RegRun2 2018-11-11 22:44 - 2018-11-11 22:44 - 000000000 ____D C:\Users\Все пользователи\RegRun 2018-11-11 22:44 - 2018-11-11 22:44 - 000000000 ____D C:\ProgramData\RegRun 2018-11-05 03:50 - 2018-11-05 03:50 - 000002681 _____ C:\Windows\cpu.txt 2018-11-05 03:50 - 2018-11-05 03:50 - 000000406 _____ C:\Windows\config.txt 2018-11-05 03:50 - 2018-11-05 03:50 - 000000336 _____ C:\Windows\pools.txt 2018-11-05 03:50 - 2018-11-05 03:50 - 000000084 _____ C:\Program Files\Common Files\xp.dat 2018-11-05 03:25 - 2018-11-05 03:25 - 000027136 _____ (Microsoft Corporation) C:\Windows\system\down.exe 2018-11-05 03:24 - 2018-11-05 03:24 - 000000005 _____ C:\Windows\system32\1.txt 2018-11-05 03:50 - 2018-11-05 03:50 - 000000084 _____ () C:\Program Files\Common Files\xp.dat Task: {3FA66798-51DC-47F1-8B33-164D1C0E05FA} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION Task: {63553A82-B1C3-4A32-B910-88C07DF14EE6} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26] AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [126] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [126] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79893734.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\93434870.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\79893734.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\93434870.sys => ""="Driver" Reboot: End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
Vladimir.A. 0 Опубликовано 17 ноября, 2018 Автор Share Опубликовано 17 ноября, 2018 Во вложении. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 17 ноября, 2018 Share Опубликовано 17 ноября, 2018 Приложите пожалуйста новые логи FRST. Уточните пожалуйста вы когда в последий раз устанавливали обновления Windows? Windows 7 Professional Service Pack 1 (X64) (2014-01-23 18:33:21) Если в вашем Outpost Firewall открыты (входящие) порты SMB (139, 445), то вам необходимо будет их закрыть. Цитата Ссылка на сообщение Поделиться на другие сайты
Vladimir.A. 0 Опубликовано 17 ноября, 2018 Автор Share Опубликовано 17 ноября, 2018 (изменено) Обновления устанавливал 1 год назад. Закрыл входящие TCP на NB_SS, 445 не нашел в списке. Есть мысль переименовать папку Repository c hirens boot и удалить, если система стартанет. FRST.txt Addition.txt Изменено 17 ноября, 2018 пользователем Vladimir.A. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 17 ноября, 2018 Share Опубликовано 17 ноября, 2018 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: ProxyServer: [S-1-5-21-3152209696-2922314650-528210150-1000] => localhost:8080 Folder: C:\Users\Vladimir\AppData\Roaming\foobar2000 End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Есть мысль переименовать папку Repository c hirens boot и удалить, если система стартанет. Уточните пожалуйста после выполнения предыдущего FRST по прежденнему KVRT видет угрозу в файле? C:\Windows\system32\wbem\repository\INDEX.BTR Не смысла этого делать (переименовать папку Repository c hirens boot), достаточно остановить службу WMI (Windows Management Instrumentation) для того чтобы переименовать каталог Repository, однако после этого могут некоторые приложения работать не корректно. Можно попробовать в командной строке остановить службу WMI, переименовать старый репозиторий, запустить обратно службу WMI и по идеи репозиторий должен пересоздаться : net stop winmgmt /y ren C:\WINDOWS\system32\wbem\Repository Repository.old net start winmgmt /y P.S. однако возможно не предвиденные случае в этом случае можем попробовать пересоздать репозиторий. Также необходимо будет в дальнейшем проверить загрузочный сектор, так как при имеющей у Вас данного типа угрозы обычно в загрузочном секторе должно присутствовать вредоносное ПО. Цитата Ссылка на сообщение Поделиться на другие сайты
Vladimir.A. 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 KVRT угрозу больше не видит, кроме этой not-a-virus:HEUR:RiskTool.Win32.AVZDriver.genФайл: C:\Windows\SysWOW64\drivers\vdm1mjc4.sysЛегальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя MD5: 8698843A69A239FF023AEC6CAF3939CC SHA256: 8680259309E2D54B51292637761EEAF40FE74907F9085A2560E33F21DAFF08BD Я уже спрашивал, это к AVZ относится? Спасибо. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Касаемо репозиторизия WMI, мне пришел результат от ЛК о ложном срабатывание, и если вы с помощью Hirens его не удаляли, то это хорошо. C:\Windows\system32\wbem\repository\INDEX.BTR KVRT угрозу больше не видит, кроме этойnot-a-virus:HEUR:RiskTool.Win32.AVZDriver.genФайл: C:\Windows\SysWOW64\drivers\vdm1mjc4.sys На самом деле это не угроза, это драйвер утилиты AVZ, для исправления выполните следующее в AVZ:"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.Сообщите результат. Цитата Ссылка на сообщение Поделиться на другие сайты
Vladimir.A. 0 Опубликовано 24 ноября, 2018 Автор Share Опубликовано 24 ноября, 2018 Выполнил. Ничего не обнаружено. Спасибо. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.