Загрузка процессора 100%

[alexs2011]

Здравствуйте. Вчера KTS 17.0.0.611 во время проверки во время простоя обнаружил (защита была приостановлена):

C:\Windows\Fonts\sppsrv.exe HEUR:Trojan.Win32.Generic

System Memory MEM:Rootkit.Win64.EquationDrug.a

C:\Windows\System32\dwnclear.exe Trojan-PSW.Win32.Bjlog.dtwr

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\up[2].exe HEUR:Trojan.Win32.Generic

c:\windows\fonts\lms.exe not-a-virus:PDM:RiskTool.Win32.BitCoinMiner.g.1

 

Было проведено лечение активного заражения, KTS больше не видит угроз, но сейчас процесс java.exe нагружает процессор на 98%.

Я не понимаю, как было проведено заражение: никакие файлы вчера я не скачивал, на подозрительные сайты не заходил.

 

 

CollectionLog-2017.05.07-11.13.zip

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\Common Files\BinarySense\hldasvc.exe', '');
 QuarantineFile('C:\Program Files (x86)\Common Files\BinarySense\Armaccess.dll', '');
 QuarantineFile('C:\Windows\system32\drivers\see.sys', '');
 QuarantineFile('C:\Windows\SysWOW64\appinit_dll.dll', '');
 QuarantineFile('C:\Windows\RearmTask.exe', '');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(false);
end.

Файл quarantine.zip из папки AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

 

3) - Перетащите лог Check_Browsers_LNK.log Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

4) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[alexs2011]

1) https://virusinfo.info/virusdetector/report.php?md5=355144E92ED384BC82D25B5B6C34F7E8

2) Отправил через форму.

ClearLNK-07.05.2017_13-53.log

CollectionLog-2017.05.07-14.02.zip

[regist]

1) "Пофиксите" в HijackThis:

O2-32 - BHO: Microsoft Web Test Recorder 10.0 Helper - {876d9f09-c6d6-4324-a2cc-04dd9a4de12f} - C:\Program Files (x86)\Microsoft Visual Studio 11.0\Common7\IDE\PrivateAssemblies\Microsoft.VisualStudio.QualityTools.RecorderBarBHO100.dll (file missing)
O4 - (disabled) HKLM\..\Run-: [OODefragTray] C:\Program Files\OO Software\Defrag\oodtray.exe (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^O&O Defrag Tray.lnk - C:\Windows\Installer\{EAD525A8-13CD-400E-A01D-E4492BBB0FEC}\DefragIcon.exe (2014/05/15) (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^iSCTsysTray.lnk - C:\Program Files (x86)\Intel\Intel(R) Smart Connect Technology Agent\iSCTsysTray.exe (2013/04/22) (file missing)
O4 - MSConfig\startupfolder: C:^Users^Александр^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Spotflux.lnk - C:\Program Files (x86)\spotflux\spotflux.exe (2013/04/22) (file missing)
O4 - MSConfig\startupreg: [Andy] C:\Program Files\Andy\HandyAndy.exe (file missing) (HKLM) (2014/12/31)
O4 - MSConfig\startupreg: [OODefragTray] C:\Program Files\OO Software\Defrag\oodtray.exe (file missing) (HKLM) (2014/09/06)
O4 - MSConfig\startupreg: [SVPMgr] C:\Program Files (x86)\SVP\SVPMgr.exe (file missing) (HKCU) (2014/05/15)
O4 - MSConfig\startupreg: [SandboxieControl] C:\Program Files\Sandboxie\SbieCtrl.exe  (file missing) (HKCU) (2014/05/16)
O4 - MSConfig\startupreg: [SyncManPath] C:\Users\Александр\AppData\Roaming\Yandex\YandexDisk\YandexDisk.exe -autostart (file missing) (HKCU) (2013/04/22)
O4 - MSConfig\startupreg: [iTunesHelper] C:\Program Files (x86)\iTunes\iTunesHelper.exe  (file missing) (HKLM) (2014/05/15)
O4 - MSConfig\startupreg: [spotflux] C:\Program Files (x86)\Spotflux\services\SpotfluxAgent.exe (file missing) (HKCU) (2016/11/05)
O4 - MSConfig\startupreg: [vmware-tray.exe] C:\Program Files (x86)\VMware\VMware Workstation\vmware-tray.exe  (file missing) (HKLM) (2014/05/15)

 

2)

C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk
C:\Users\Гость\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Social Games.lnk

Эти ярлыки вам знакомы?

 

3) Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[alexs2011]

1) Пофиксил

2) Нет

 

Проблема с java.exe вроде бы решена.

mbam.txt

Изменено 7 мая, 2017 пользователем alexs2011

[regist]

 

 

2) Нет

Удалите их вручную тогда.

 

MBAM деинсталируйте.

 

Проблемы ещё остались?

[alexs2011]

Нет.

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.