[РЕШЕНО] dllhostex.exe

[grass_snake2]

Через SystemExplorer нашёл процеесс, грузящий проц на 70-80%. Поиск выдал, что это вирус-майнер. На серваке антивира нет, скачал ДрВэб CureIit. проверка нашла файл dllhostex.exe в c:\windows, и заражённый C:\Windows\NetworkDistribution\svchost.exe. После лечения винда не запустилась, ошибка драйвера с цифровым именем. Загрузка последней удачной конфигурациии, запуск Вэба, лечение - стоп при ззапуске, имя драйвера цифровое, но уже цифры другие. 

 

Что сделано:

на папку C:\Windows\NetworkDistribution урезаны права, чтоб только администтратор мог писать в неё

файлики заражённые заменены копиями cmd.exe (с переименованием)

Нна данный момент вирусняк ззагружается с какого-то другого процесса. Оттловил в systemmexplorer файл ctfmon.exe, заггружающий проц на 80%.Приостановил процесс, висит замороженный.

Помогите, пожалуйста, побороть заразу!

 

CollectionLog-2022.11.05-03.32.zip

Изменено 5 ноября, 2022 пользователем grass_snake2
Прикрепил collect

[regist]

"Пофиксите" в HijackThis:

O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath (default) = C:\windows\system32\ntbackup.exe (file missing)
O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\cleanuppath (default) = (no file)

 

40 расшаренных папок, действительно столько нужно? Я бы пересмотрел и убрал лишние.

 

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

 

[regist]

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.SU, MediaFire, Files.FM, MixDrop или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

[grass_snake2]

23 часа назад, regist сказал:

40 расшаренных папок, действительно столько нужно? Я бы пересмотрел и убрал лишние.

Увы, специфика такова.

 

23 часа назад, regist сказал:

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Я не совсем понял, что делать с выводом этой программы.

Лог UVS приложен

SERVER_2022-11-06_20-50-32_v4.12.7z

 

23 часа назад, regist сказал:

+

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

 

Закачайте полученный архив, как описано на этой странице.

 

Карантин загружен по Вашей инструкции, 

MD5: 2A890F7FB01849F7A8A949CCA0C4FAA8

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v4.12 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv6.1
   v400c
   BREG
   regt 1
   regt 28
   regt 29
   restart
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {7A47D1AC-F54D-43F3-6DA8-FC5F710F7812}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   zoo %Sys32%\WINDOWSUPNPSERVICE.DLL
   bl 0854DCB0B4366DC117EE5257E2732159 129024
   addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8B9774C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4105AD038CAEEBF 64 Trojan.Win64.Agentb.db [Kaspersky] 7
   
   chklst
   delvir
   
   czoo
   
   

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS, найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2020-06-30_22-04-27.7z)
7. Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
8. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

 

что с проблемой?

[grass_snake2]

8 часов назад, regist сказал:

Полученный архив отправьте с помощью этой формы

2022.11.07_ZOO_2022-11-07_07-15-38_bba9a0a769c979d868938c2670ba6431.7z

В процессе работы запросил удаление ссылки на службу windowspnpsys.dll. 

Перезагрузка прошла успешно.

Вылез новый процесс c:\windows\system32\wuauclt.exe грузящий проц на 70-80%. Временно приостановлен в systemexplorer

Изменено 7 ноября, 2022 пользователем grass_snake2
Новый процесс

[regist]

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

[grass_snake2]

2 часа назад, regist сказал:

Скачайте Malwarebytes v.4.

По ссылке выдаёт 403 ошибку. 

 

Если чем-то поможет, то вот зависимости процесса

[grass_snake2]

DrWeb опять обнаружилWindowsUPnPService.dll.

При сканировании uvs писал что-то про "неизвестный загрузчик" , вроде как, id диска. Не может в boot-секторе поселиться эта зараза?

 

Не лечил, только просканировал. 

 

Изменено 7 ноября, 2022 пользователем grass_snake2

[Sandor]

13 часов назад, grass_snake2 сказал:

По ссылке выдаёт 403 ошибку

Скачайте отсюда.

[grass_snake2]

1 час назад, Sandor сказал:

Скачайте отсюда.

Спасибо. Установщик попросил обновление безопасности от 09.2019. Качаю. Перезапустить сервер смогу только ночью

[regist]

07.11.2022 в 17:42, grass_snake2 сказал:

По ссылке выдаёт 403 ошибку. 

а по такой https://downloads.malwarebytes.com/file/mb4_offline  ?

Если снова не получится, то отсюда https://www.safezone.cc/resources/malwarebytes-for-windows.83/

увидел ниже, что скачали, но всё равно проверьте доступность по первой ссылке.

 

+ Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.

[grass_snake2]

21 час назад, regist сказал:

07.11.2022 в 20:42, grass_snake2 сказал:

 

а по такой https://downloads.malwarebytes.com/file/mb4_offline  ?

Если снова не получится, то отсюда https://www.safezone.cc/resources/malwarebytes-for-windows.83/

Invalid request по первой, вторая дала скачку

 

 

Результаты Malware

Malware_scan.txt

 

21 час назад, regist сказал:

Скачайте этот скрипт, запустите стандартную проверку

CBS.LOGsfcdoc.log

[regist]

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Карантин" ("Quarantine") - смотрите, что удаляете.

Generic.Trojan.Injector.DDS, C:\WINDOWS\SYSTEM32\WINDOWSUPNPSERVICE.DLL, Проигнорировано пользователем, 1000002, 0, , , , , 0854DCB0B4366DC117EE5257E2732159, 2C21A82D4CF13DACD8777076D949C8DAC53DF2B35B5CE031F27C8811F2AF56BC
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{8E8F97CD-60B5-456F-A201-73065652D099}, Проигнорировано пользователем, 327, 351113, , , , , , 
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\IESearchPlugin.MailRuBHO, Проигнорировано пользователем, 327, 351113, , , , , , 
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\IESearchPlugin.MailRuBHO.1, Проигнорировано пользователем, 327, 351113, , , , , , 
PUP.Optional.RussAd, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}, Проигнорировано пользователем, 327, 351113, , , , , , 
PUP.Optional.RussAd, HKU\S-1-5-21-3570358541-1198629525-656367667-1012\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8E8F97CD-60B5-456F-A201-73065652D099}, Проигнорировано пользователем, 327, 351113, , , , , , 
PUP.Optional.RussAd, HKU\S-1-5-21-3570358541-1198629525-656367667-1033\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8E8F97CD-60B5-456F-A201-73065652D099}, Проигнорировано пользователем, 327, 351113, , , , , , 
PUP.Optional.RussAd, HKU\S-1-5-21-3570358541-1198629525-656367667-500\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{8E8F97CD-60B5-456F-A201-73065652D099}, Проигнорировано пользователем, 327, 351113, , , , , , 
PUP.Optional.RussAd, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}, Проигнорировано пользователем, 327, 351113, 1.0.62030, , ame, , , 
PUP.Optional.MailRu, C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\MAIL.RU.LNK, Проигнорировано пользователем, 342, 384473, 1.0.62030, , ame, , 01CC5ACA4EA2CABB37E46154A061D82F, AFFE02468B8504CE051FE7D72816689E1E250927BE7D38B4B2E96C819D29D69D
PUP.Optional.MailRu, C:\USERS\ADMINISTRATOR\FAVORITES\Mail.Ru.url, Проигнорировано пользователем, 342, 471428, 1.0.62030, , ame, , CFD7CCDA604625D562B4B4DBD23D5AB1, E1EC8A7BE99150DEE67CFC86BDAAA6742CFD0119B14C0225F82E1DC883F48CFB
Generic.Trojan.Injector.DDS, C:\WINDOWS\SYSTEM32\WINDOWSUPNPSERVICE.DLL, Проигнорировано пользователем, 1000002, 0, 1.0.62030, 75D37785DB956FFBF4C05C8B, dds, 02027284, 0854DCB0B4366DC117EE5257E2732159, 2C21A82D4CF13DACD8777076D949C8DAC53DF2B35B5CE031F27C8811F2AF56BC
Adware.MailRu.BatBitRst, C:\USERS\ADMINISTRATOR\FAVORITES\Искать в Интернете.URL, Проигнорировано пользователем, 6585, 648495, 1.0.62030, , ame, , 0A90E5E7787CB4D898D729FB7D5E7F70, 5F3A2D939AF85FCEF55CFB9600E726C9C6FD4E508835406773F37F78F14C2D33

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

Подробнее читайте в руководстве.

 

+ переустановите или просто поверх через dism установите обновление KB2998527. Оно криво у вас установилось.

[regist]

05.11.2022 в 01:05, grass_snake2 сказал:

На серваке антивира нет

так может стоит поставить 😉? Стоял бы у вас и там касперский он бы эту .dll удалил бы - в базах деткт на неё есть. А так без антивируса кто знает, может ещё и шифровальщик к вам пролезет.

Да и с учётом, что она у вас восстанавилась после скрипта uVS, то возможно откуда-то по сетке по новой заразились, тогда без антивируса это будет сизифов труд.