BUOMEX 0 Опубликовано 13 августа, 2018 Share Опубликовано 13 августа, 2018 Через некоторое время после загрузки появляются службы вида 2058667 без описания, указывают на исполняемый файл вида 40756584.exe этот файл мгновенно убивается антивирусом, автоматически. Kaspersky Removal Tool, AVZ, DRWeb cureIT, Symantec не видят ничего подозрительного на компьютере. Ручной поиск в распространенных местах обитания вирусов, ничего подозрительного не выявил. Планировщик заданий чистый Прикладываю логи от автосборщика. CollectionLog-2018.08.13-12.18.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 августа, 2018 Share Опубликовано 13 августа, 2018 Здравствуйте! файл вида 40756584.exe этот файл мгновенно убивается антивирусомС каким вердиктом? Отчет антивируса или скриншот с сообщением покажите. Цитата Ссылка на сообщение Поделиться на другие сайты
BUOMEX 0 Опубликовано 13 августа, 2018 Автор Share Опубликовано 13 августа, 2018 Ссылается на файл с произвольным именем. И в основном на службу wsfvoice.exe так же могу приложить файл создаваемого автоматически файла, удалось его поймать. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 13 августа, 2018 Share Опубликовано 13 августа, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); SetServiceStart('2058667', 4); QuarantineFile('C:\Windows\40756584.exe', ''); DeleteFile('C:\Windows\40756584.exe', '64'); DeleteService('2058667'); ExecuteSysClean; CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробнее читайте в руководстве Как подготовить лог UVS. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
BUOMEX 0 Опубликовано 13 августа, 2018 Автор Share Опубликовано 13 августа, 2018 (изменено) После работы скрипта от АВЗ в каратнин ничего не упало. Остальные логи прикладываю. Прикладываю для анализа файл который создает вирусная программа, архив с именем 2C2F5406.7z Нашел в папке C:\Windows\SysWOW64 файл с именем wsfvoice.exe и удалил его, так же там были файлы обновления Flash player тоже удалил, ибо все это было создано только что, а я ничего не скачивал подобного. Однако после перезагрузки, служба с рандомным именем появилась снова. После начала борьбы с этим вирусом на отдельной машине, он начал стремительно распространятся по всей сети C317-FURS-W7_2018-08-13_14-30-50.7z Изменено 13 августа, 2018 пользователем regist запрещено прикреплять вирусы Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 13 августа, 2018 Share Опубликовано 13 августа, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MCAFEE SECURITY SCAN\3.8.150\SSSCHEDULER.EXE delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\GOOGLEUPDATE.EXE delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.57\GOOGLEUPDATEONDEMAND.EXE delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.57\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.65\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.69\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.57\NPGOOGLEUPDATE3.DLL delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.57\PSUSER.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLE TALK\GOOGLETALK.EXE apply ;---------command-block--------- delref {F9152AEC-3462-4632-8087-EEE3C3CDDA24}\[CLSID] delref {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] delref {00000000-0000-0000-0000-000000000000}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {3E1D0E7F-F5E3-44CC-AA6A-C0A637619AB8}\[CLSID] delref {8B1D4E4F-410C-4779-9741-3FDF926C1CE2}\[CLSID] apply restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. Скачайте Malwarebytes' Anti-Malware. Установите.На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.Самостоятельно ничего не удаляйте!!!Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".Отчёт прикрепите к сообщению. + по окончанию лечения поменяйте все пароли. В первую очередь банковские. 1 Цитата Ссылка на сообщение Поделиться на другие сайты
BUOMEX 0 Опубликовано 13 августа, 2018 Автор Share Опубликовано 13 августа, 2018 (изменено) Скрипт выполнил. Сканирование сделал, прикрепил файл. Для информации. Эта штука пролетает по сети сквозь брэндмауэры и антивирусы. Полностью во всей сети, на серверах в том числе. Если можно, сообщите что это такое и как бороться? Malwarebytes например удалил файлы так же как и в ручном режиме. Из каталога windows, и из реестра HCLM/system/ControlSet001/services Но он возвращается по сети через некоторое время, не более часа. scan.txt Изменено 13 августа, 2018 пользователем BUOMEX Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 13 августа, 2018 Share Опубликовано 13 августа, 2018 @BUOMEX, вот что у вас там и где нашло MBAM в итоге не понятно. В логе uVS у вас также вирусов не видно ибо перед этим вы вручную их удалили. И как тогда вам помогать? Не надо искажать картину заражения, а то помочь вам становится очень сложно. Сделайте свежий лог uVS при активной этой службе и не удаляйте её пока. Цитата Ссылка на сообщение Поделиться на другие сайты
BUOMEX 0 Опубликовано 13 августа, 2018 Автор Share Опубликовано 13 августа, 2018 Понял вас. В принципе сам файл я пытался отправить его не пропустило. Не закрывайте заявку У меня тут свет выключили. Как включат и я доберусь до компа сделаю логи повторно. Верно ли я понял, что вы пытаетесь по факту вылечить один конкретный ПК? У меня вся сеть под вирусом. Мне бы понять что это вообще такое, и как оно так ловко ходит по сети. Я пытался выслать файлы вируса, вы не принимаете. Есть ли смысл отнимать друг у друга время? Мне не нужно лечение одного ПК, я на худой конец могу там ОС переставить. Или мне нужно в другой какой то ветке создавать просьбу о помощи? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 13 августа, 2018 Share Опубликовано 13 августа, 2018 (изменено) Верно ли я понял, что вы пытаетесь по факту вылечить один конкретный ПК? да. У меня вся сеть под вирусом. Мне бы понять что это вообще такое, и как оно так ловко ходит по сети. с этим вопросами лучше в тех. поддержку Симантека (так как это он это позволяет). Я пытался выслать файлы вируса, вы не принимаете. я его скачал, это банковский троян. Но выкладывание вирусных файлов запрещено правилами форума, поэтому удалил его из вашего поста. Изменено 13 августа, 2018 пользователем regist 1 Цитата Ссылка на сообщение Поделиться на другие сайты
BUOMEX 0 Опубликовано 13 августа, 2018 Автор Share Опубликовано 13 августа, 2018 ясно. спасибо за попытку помочь. удачи вам Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.