Sadomov.va 0 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 (изменено) Добрый день! Касперский обнаруживает вирус в папке C:\Windows\System32\dllhostex.exe, в этом файле прописана установка соединения по https с конкретным IP. Антивирус успешно удаляет этот файл, но после перезагрузки этот файл появляется снова. Пытался использовать разные средства защиты, все они находят вирус, удаляют, но после ребута системы, он появляется снова. Высылаю логи. CollectionLog-2019.03.25-09.55.zip Изменено 25 марта, 2019 пользователем Sadomov.va Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('C:\Windows\System32\dllhostex.exe'); QuarantineFile('C:\Windows\System32\dllhostex.exe',''); DeleteFile('C:\Windows\System32\dllhostex.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1','x32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Сделайте лог TDSSkiller Цитата Ссылка на сообщение Поделиться на другие сайты
Sadomov.va 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 Полученный ответ: Файл сохранён как 190325_052637_quarantine_5c98668d32252.zip Размер файла 583328 MD5 f1eccfed9639cf34e04127af102a65d2 Логи также во вложении. CollectionLog-2019.03.25-12.30.zip tdsskiller.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Sadomov.va 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 Логи во вложении. логи 2.7z Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Загрузитесь в БЕЗОПАСНОМ режиме 1. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION C:\Windows\System32\dllhostex.exe HKU\S-1-5-21-3495407729-278462005-3922159149-1338\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION 2019-03-25 13:24 - 2019-03-25 13:25 - 000000000 _____ C:\Users\localadmin\Desktop\dllhostex.exe ShellIconOverlayIdentifiers: [ YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} => -> No File ShellIconOverlayIdentifiers: [ YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} => -> No File ShellIconOverlayIdentifiers: [ YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} => -> No File ShellIconOverlayIdentifiers: [ YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} => -> No File Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
Sadomov.va 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 логи во вложении. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Знаки двоеточия в строчках кто за Вас копировать будет? Переделывайте выполнение скрипта Цитата Ссылка на сообщение Поделиться на другие сайты
Sadomov.va 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 Извиняюсь, не заметил. Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 После перезагрузки вирус снова воскрес? Цитата Ссылка на сообщение Поделиться на другие сайты
Sadomov.va 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 Да, после ребута появился заново. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 26 марта, 2019 Share Опубликовано 26 марта, 2019 Попробуйте пока установить ВСЕ обновления для системы, включая MS17-010 Запустите TDSSkiller из командной строки так TDSSkiller -qboot -qmbrНа диске С появится папка с карантином утилиты. Заархивируйте ее с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Цитата Ссылка на сообщение Поделиться на другие сайты
Sadomov.va 0 Опубликовано 26 марта, 2019 Автор Share Опубликовано 26 марта, 2019 Файл сохранён как 190326_072201_TDSSKiller_Quarantine_5c99d31945181.zip Размер файла 346126 MD5 88ea2121a5bfafea237b77a4a9b12e3c Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 473 Опубликовано 27 марта, 2019 Share Опубликовано 27 марта, 2019 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы, загрузите лог на https://sendspace.com и сообщите ссылку на скачивание в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Sadomov.va 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 Ссылка на скачивание: https://www.sendspace.com/file/ttlzpj Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.