Перейти к содержимому


Фотография

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 13

#1 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 05 Июнь 2019 - 16:39

Добрый день.

 

На нескольких компьютерах начали появляться процессы PowerShell нагружающие CPU. Иногда в c:\windows\temp либо в c:\windows\users\*username*\appdata\local\temp появляются файлы cohernece.exe, и часто java-log-9527.log плюс a25hY2tlcmVk.txt с паролями в открытом виде. Определяется KVRT под несколькими названиями: trojan.multi.genautoruntask.c, trojan.multi.genautoruntaskfile.a, trojan.multi.genautorunwmi.a., Trojan.Win32.Skillis.blru Windows Defender определяет как Nitol.B. Ни тот, ни другой его не лечат. Причем на некоторых компьютерах cohernece.exe определяется KVRT, на некоторых не определяется.

 

Заранее спасибо.


  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 05 Июнь 2019 - 16:43

Здравствуйте!

Порядок оформления запроса о помощи

Причем на некоторых компьютерах

Для каждого компьютера отдельная тема.
  • 0
Изображение

#3 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 05 Июнь 2019 - 16:54

Да, в курсе, извините - лог не прицепился в первом сообщении.

 

Это лог с первой машины, конкретно здесь нашлись файл java-log-9527 и троян Trojan.Multi.GenAutorunWMI.A

Прикрепленные файлы


Сообщение отредактировал IvanVasil: 05 Июнь 2019 - 17:11

  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 05 Июнь 2019 - 19:27

1. Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2. Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ClientTask');
 DeleteSchedulerTask('Microsoft\Windows\SMB\UninstallSMB1ServerTask');
RebootWindows(false);
end.
Компьютер перезагрузится.




3. "Пофиксите" в HijackThis:
O25 - WMI Event:  (no consumer) - Systems Manage Filter - Event="__InstanceModificationEvent WITHIN 5601 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 

4. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение

#5 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 06 Июнь 2019 - 08:40

1. https://virusinfo.in...BCC906026FD2B9D

Он в карантин забрал кучу dll, defender, skype.

 

2. Скрипт не работает. Undeclared identifier: "DeleteSchedulerTask" в позиции 2:21

 

3. Выполнил

 

4. Лог прилагаю

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 06 Июнь 2019 - 08:44

Скрипт не работает. Undeclared identifier

AVZ следует запускать эту (как и сказано в инструкции):
 

C:\AV\AutoLogger\AVZ\avz.exe


  • 0
Изображение

#7 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 06 Июнь 2019 - 08:58

Все переделал заново.

1. Ссылка https://virusinfo.in...BCC906026FD2B9D

2. Ок

3. Ок

4. Новый лог

Прикрепленные файлы


  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 06 Июнь 2019 - 09:21

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#9 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 06 Июнь 2019 - 09:29

Отчеты

Прикрепленные файлы

  • Прикрепленный файл  FRST.txt   171,11К   скачиваний 1
  • Прикрепленный файл  Addition.txt   29,81К   скачиваний 1

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 06 Июнь 2019 - 09:38

Проблема еще актуальна?
  • 0
Изображение

#11 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 06 Июнь 2019 - 09:40

Включил Defender, пока ничего не выводит.

 

А из карантина AVZ можно восстановить все? А то часть приложений стала некорректно работать.


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 06 Июнь 2019 - 09:44

из карантина AVZ можно восстановить все?

Ничего не удалялось.

часть приложений стала некорректно работать

Каких именно?
  • 0
Изображение

#13 OFF   IvanVasil

IvanVasil

    Постоялец

  • Участники
  • Pip
  • Cообщений: 35

Отправлено 06 Июнь 2019 - 09:46

Skype сбросил все настройки и запускается в 3-4 экземплярах, Хром ругается на отсутствие dll. Ну не страшно, я их переустановлю полностью.

 

Спасибо.


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 10 670

Отправлено 06 Июнь 2019 - 09:53

Рекомендации после удаления вредоносного ПО
  • 0
Изображение





Темы с аналогичными тегами: cohernece.exe, java-log-9527.log, trojan.multi.genautoruntask., trojan.multi.genautoruntaskfi, trojan.multi.genautorunwmi.a, Trojan.Win32.Skillis.blru

Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных