Перейти к содержимому


Фотография
- - - - -

dllhostex.exe не удаляется

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 21

#1 OFF   sla7s

sla7s

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 27 Март 2019 - 11:17

Здравствуйте.

Касперский со вчерашнего дня стал находить в папке Windows/system32 файл dllhostex.exe и определять его как троян майнер. Также в папке Windows находит папку Networkdistribution, содержащую в себе кучу dll-к и 2 exe-шника: svchost.exe и spools.exe, определяя их как трояны. Проводилась полная проверка с лечением Касперским, avz, drweb_cureit, что-то находилось и успешно лечилось, но после перезагрузки все возвращается на круги своя.

Помогите решить проблему. Логи прилагаю.

 

Прикрепленный файл  CollectionLog-2019.03.27-14.33.zip   111,33К   скачиваний 2


  • 0

#2 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 441

Награды

           

Отправлено 27 Март 2019 - 11:25

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы, загрузите лог на https://sendspace.com и сообщите ссылку на скачивание в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#3 OFF   sla7s

sla7s

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 27 Март 2019 - 13:08

сделано

ссылка https://www.sendspace.com/file/szme7o


  • 0

#4 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 441

Награды

           

Отправлено 27 Март 2019 - 15:17

Есть возможность загрузиться с какого-либо LiveCD\LiveUSB?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#5 OFF   sla7s

sla7s

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 27 Март 2019 - 16:05

да


  • 0

#6 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 441

Награды

           

Отправлено 27 Март 2019 - 16:37

Тогда загрузитесь с него, запустите uVS с жесткого диска, и действуйте по инструкции https://safezone.cc/...4508/post-93043, начиная с п. 4
Полученный лог снова выложите на https://sendspace.com
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#7 OFF   sla7s

sla7s

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 28 Март 2019 - 07:04

сделано

ссылка https://www.sendspace.com/file/cbe9h2


  • 0

#8 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 441

Награды

           

Отправлено 28 Март 2019 - 08:36

Попробуем для начала на живой системе побороть при обычной загрузке.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE

zoo %Sys32%\APPLICATIONTIMESYSTEM.DLL
zoo %Sys32%\DLLHOSTEX.EXE

sreg

del %Sys32%\APPLICATIONTIMESYSTEM.DLL
delref %Sys32%\APPLICATIONTIMESYSTEM.DLL
del zoo %Sys32%\DLLHOSTEX.EXE
delref zoo %Sys32%\DLLHOSTEX.EXE

apply
czoo
areg
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Будет выполнена перезагрузка компьютера.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#9 OFF   sla7s

sla7s

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 28 Март 2019 - 10:08

ответ после загрузки:

Файл сохранён как 190328_070523_ZOO_2019-03-28_13-34_5c9c72330a7ee.ZIP Размер файла 1735 MD5 795ada3438e079cd571f2bf4a4df00b9

лог:

Прикрепленный файл  2019-03-28_13-38-44_log.txt   50,86К   скачиваний 4


  • 0

#10 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 441

Награды

           

Отправлено 28 Март 2019 - 10:19

Вредоносный процесс присутствует?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#11 OFF   sla7s

sla7s

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 28 Март 2019 - 13:19

после перезагрузки папка Networkdistribution (содержит 58 файлов) и файл dllhostex.exe снова появляются, потом касперский прибивает файл и некоторые файлы из папки Networkdistribution, и далее все хорошо до следующей перезагрузки.


Еще вопрос: в локальной сети есть несколько зараженных компьютеров. На каждый из них делать новую заявку или есть какое-то целевое решение? (проблема та же).

Пока решили установками в свойствах папки и файла - полный запрет на любые действия с ними всем пользователям.


  • 0

#12 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 441

Награды

           

Отправлено 28 Март 2019 - 14:50

Каждый компьютер в отдельную тему. И целесообразно установить на всех все доступные обновления для системы.
 
1. Скопируйте в Блокнот предложенный ниже скрипт, сохраните его на флешку под именем script.txt
;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
zoo %Sys32%\FUNCTIONPROTOCOLSERVICE.DLL
addsgn A7679B1928664D070E3C2BB464C8ED70357589FA768F1790343D3A43D3127D11E11BC302B5B9F749D495448F4706B68F7520FDCE45DBA0442473A4EF3813A263 32 Win32/Vools.L [ESET-NOD32] 7

chklst
delvir

delall %Sys32%\DLLHOSTEX.EXE

czoo
deltmp
2. Загрузитесь с LiveCD, запустите uVS с жесткого диска и далее следуйте инструкции https://safezone.cc/...4509/post-93049, начиная с п. 5

3. В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

4. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, загрузите его на https://sendspace.com и пришлите ссылку на скачивание.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#13 OFF   sla7s

sla7s

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 28 Март 2019 - 17:47

Еще вопрос: на некоторые компьютеры (как раз на те, которые заражены майнером) некоторые обновления не ставятся ("Не удалось настроить обновления....").

Здесь, думаю, варианта 2:

1. параллельно с лечением накатывать обновления по одному, начиная с самого младшего. Правда, пока они накатываются, зловред может сильно активироваться. Обновы идут с сервера WSUS в домене.

2. формат С, предварительно скопировав важные документы в другое место. Если при этом варианте заново поставить виндовс и, не подключая компьютер к сети, накатить нижеупоминавшиеся обновления - 4012212 для win7 и 4012598 для ХР - в этом случае после подключения компьютера в сеть ему не грозит заражение майнером?


  • 0

#14 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 441

Награды

           

Отправлено 28 Март 2019 - 17:54

Не нужно ничего форматировать. Источник проблем с удалением с высокой долей вероятности найден.
Только имя его на разных машинах может отличаться. И обновления накатывать можно постепенно.

Сколько компьютеров в сети подвержено проблеме, и реально ли их на время лечения изолировать от остальных машин?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#15 OFF   sla7s

sla7s

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 29 Март 2019 - 10:58

ответ: 

Файл сохранён как 190329_075501_ZOO_2019-03-29_14-17-14_5c9dcf5577c87.zip Размер файла 47347 MD5

12c0da1602f293199df86c579764596c

 

лог: https://www.sendspace.com/file/sbq8x1


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных