Перейти к содержанию

Вирус Conhost TODO,mysa, lsmosee


Рекомендуемые сообщения

Доброго времени суток,

 

Поймал набор вирусов lsmosee, mysa, conhost, возможно после установки плагина для браузера opera.

 

Пытался удалить с помощью Malwarebytes Anti-Malware, AVZ, Dr.Web cureit, KVRT.

Cureit нашел вышеперечисленные вирусы и удалил их, спустя какое-то время после перезагрузки я заметил что проскакивает темное bat окно и понял что вирус не удален полностью.

В папке C:\Windows\Temp снова появился файл conhost.exe. Дальнейшие попытки удаления вируса при помощи cureit ни к чему не привели, после перезагрузки conhost.exe появлялся снова.

 

KVRT решил проблему, вирус после перезагрузки был удален. ВО время поиска был найден еще один зараженный объект по адресу C:\Windows\system32\wbem\repository\INDEX.BTR, удалить его не получилось и был помещен в карантин. В безопасном режиме тоже удалить не получилось.

Каким образом я смогу удалить или вылечить файл INDEX.BTR?

 

После вышеописанных манипуляций сделал лог, во время процесса логирования была повторяющаяся ошибка. см вложение.

 

Заранее спасибо.

 

С Уважением,

Владимир.

CollectionLog-2018.11.13-19.23.zip

post-51712-0-92669200-1542127131_thumb.jpg

post-51712-0-17962000-1542127137_thumb.jpg

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Сами прописывали следующие настройки?

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = localhost:8080 (disabled)
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/11/05) - {e10f5c76-dfb0-427e-a8d1-88aeb1aefd49} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\Add to &Teleport: (default) = (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\temp\conhost.exe','');
 QuarantineFile('C:\Windows\system32\wbem\repository\INDEX.BTR','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

- Подготовьте лог AdwCleaner и приложите его в теме.
 
 
Убедитесь, чтобы на вашем ПК были установили обновления закрывающие уязвимость SMB:
KB4012212
KB4012215

Ссылка на сообщение
Поделиться на другие сайты
SQ

Сами прописывали следующие настройки?R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [AutoConfigURL] = https://antizapret.prostovpn.org/proxy.pac

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = localhost:8080 (disabled)

R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies: (default) = 0https://antizapret.prostovpn.org/proxy.pac

Да, прописывал в браузере mozilla firefox в настройках прокси, т.к. дополнение frigate перестало открывать некоторые заблокированные ресурсы. Это небезопасно?

Выполнил, логи во вложении.

Обновления установил.

Malwarebytes не работал когда вирус был активен, сейчас заработал.

Результат прикрепил.

AdwCleanerS00.txt

post-51712-0-40128500-1542133305_thumb.jpg

malware_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.



Удалите все, если ничего из перечисленного в логе вам неизвестно в МВАМ

UPD:

В карантите действительно выявляется какой-то вредоносный процесс/задача в WMI. Только после выполнения предыдущих рекомендации, выполните пожалуйста следующую.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

Ссылка на сообщение
Поделиться на другие сайты

Отчет Adw прикрепил. Образ UVS тоже.

Сделал проверку KVRT еще раз, все так же находит вирус C:\Windows\system32\wbem\repository\INDEX.BTR и этот файл так же найден на рабочем столе, но его не видно невооруженным глазом.

После лечения с перезагрузкой вирус снова обнаруживается. Win32.avzdriver.gen - это к avz относится? Скопировал в карантин. см. снимок.

 

AdwCleanerS03.txt

post-51712-0-72399200-1542140122_thumb.jpg

MACH1NE_2018-11-13_23-19-07_v4.1.1.7z

Ссылка на сообщение
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".

    B92LqRQ.png

  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

- Подготовьте лог Autoruns и приложите его в теме.

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    HKU\S-1-5-21-3152209696-2922314650-528210150-1000\...\Run: [AdobeBridge] => [X]
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    2018-11-11 22:44 - 2018-11-12 00:25 - 000000000 ____D C:\Program Files (x86)\UnHackMe
    2018-11-11 22:44 - 2018-11-11 22:55 - 000000000 ____D C:\Users\Vladimir\Documents\RegRun2
    2018-11-11 22:44 - 2018-11-11 22:44 - 000000000 ____D C:\Users\Все пользователи\RegRun
    2018-11-11 22:44 - 2018-11-11 22:44 - 000000000 ____D C:\ProgramData\RegRun
    2018-11-05 03:50 - 2018-11-05 03:50 - 000002681 _____ C:\Windows\cpu.txt
    2018-11-05 03:50 - 2018-11-05 03:50 - 000000406 _____ C:\Windows\config.txt
    2018-11-05 03:50 - 2018-11-05 03:50 - 000000336 _____ C:\Windows\pools.txt
    2018-11-05 03:50 - 2018-11-05 03:50 - 000000084 _____ C:\Program Files\Common Files\xp.dat
    2018-11-05 03:25 - 2018-11-05 03:25 - 000027136 _____ (Microsoft Corporation) C:\Windows\system\down.exe
    2018-11-05 03:24 - 2018-11-05 03:24 - 000000005 _____ C:\Windows\system32\1.txt
    2018-11-05 03:50 - 2018-11-05 03:50 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
    Task: {3FA66798-51DC-47F1-8B33-164D1C0E05FA} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
    Task: {63553A82-B1C3-4A32-B910-88C07DF14EE6} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
    WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
    WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
    AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} [26]
    AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [126]
    AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [126]
    AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\79893734.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\93434870.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\79893734.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\93434870.sys => ""="Driver"
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

Ссылка на сообщение
Поделиться на другие сайты

Приложите пожалуйста новые логи FRST.

 

Уточните пожалуйста вы когда в последий раз устанавливали обновления Windows?

Windows 7 Professional Service Pack 1 (X64) (2014-01-23 18:33:21)

Если в вашем Outpost Firewall открыты (входящие) порты SMB (139, 445), то вам необходимо будет их закрыть.

Ссылка на сообщение
Поделиться на другие сайты

Обновления устанавливал 1 год назад.

Закрыл входящие TCP на NB_SS, 445 не нашел в списке.

Есть мысль переименовать папку Repository c hirens boot и удалить, если система стартанет.

FRST.txt

Addition.txt

Изменено пользователем Vladimir.A.
Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    ProxyServer: [S-1-5-21-3152209696-2922314650-528210150-1000] => localhost:8080
    Folder: C:\Users\Vladimir\AppData\Roaming\foobar2000
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

 

 

Есть мысль переименовать папку Repository c hirens boot и удалить, если система стартанет.

Уточните пожалуйста после выполнения предыдущего FRST по прежденнему KVRT видет угрозу в файле?

 

C:\Windows\system32\wbem\repository\INDEX.BTR

Не смысла этого делать (переименовать папку Repository c hirens boot), достаточно остановить службу WMI (Windows Management Instrumentation) для того чтобы переименовать каталог Repository, однако после этого могут некоторые приложения работать не корректно. 

 

Можно попробовать в командной строке остановить службу WMI, переименовать старый репозиторий, запустить обратно службу WMI и по идеи репозиторий должен пересоздаться :

net stop winmgmt /y
ren C:\WINDOWS\system32\wbem\Repository Repository.old
net start winmgmt /y

P.S. однако возможно не предвиденные случае в этом случае можем попробовать пересоздать репозиторий.

Также необходимо будет в дальнейшем проверить загрузочный сектор, так как при имеющей у Вас данного типа угрозы обычно в загрузочном секторе должно присутствовать вредоносное ПО.

Ссылка на сообщение
Поделиться на другие сайты

KVRT угрозу больше не видит, кроме этой

not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen
Файл: C:\Windows\SysWOW64\drivers\vdm1mjc4.sys
Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя
    MD5:  8698843A69A239FF023AEC6CAF3939CC
    SHA256:  8680259309E2D54B51292637761EEAF40FE74907F9085A2560E33F21DAFF08BD

Я уже спрашивал, это к AVZ относится?

 

Спасибо.

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Касаемо репозиторизия WMI, мне пришел результат от ЛК о ложном срабатывание, и если вы с помощью Hirens его не удаляли, то это хорошо.

C:\Windows\system32\wbem\repository\INDEX.BTR

 

KVRT угрозу больше не видит, кроме этой
not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen
Файл: C:\Windows\SysWOW64\drivers\vdm1mjc4.sys

На самом деле это не угроза, это драйвер утилиты AVZ, для исправления выполните следующее в AVZ:

"Файл/Стандартные скрипты"-> 6. Удаление всех драйверов и ключей реестра AVZ.

Сообщите результат.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...