attrib.exe

[Всеволод Коровушкин 0]

В общем, очень умный вирус попался, нигде не нашел решения поэтому пишу сюда. Касперский free и родной антивирусник 10 винды в упор не видят его. Суть в чем, он грузит 2 ядра, при этом когда нагрузка на процессор возрастает он потихонечку сбавляет свою нагрузку, плюс ко всему, переодически пользуется сетью и выключается при включении диспетчера задач, после того как закрываешь диспетчер задач, спустя несколько минут снова запускается.

CollectionLog-2017.05.13-00.27.zip

[regist 617]

Здравствуйте!

 

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

2)
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Users\Всеволод\AppData\Roaming\Microsoft\Windows\svchost.exe');
 QuarantineFile('C:\Users\Всеволод\AppData\Roaming\Microsoft\Windows\svchost.exe', '');
 DeleteFile('C:\Users\Всеволод\AppData\Roaming\Microsoft\Windows\svchost.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "SystemCheck" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

3)  - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

4) AusLogics BoostSpeed - потенциально нежелательная программа, советую её удалить.
 
5) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

6)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

 

[Всеволод Коровушкин 0]

Вот ссылка
https://virusinfo.info/virusdetector/report.php?md5=0749B4AA95C87E9324AE0BEB8C7CBF5A

[regist 617]

жду остальное

[Всеволод Коровушкин 0]

Компьютер перестал загружаться.
Upd: Загрузился, извиняюсь, что оффтоплю, просто нервничаю

Сообщение касперского
 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
svchost.exe

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700 
http://www.kaspersky.com http://www.viruslist.com"

[KLAN-6230299363]

Лог

Cleaner

CollectionLog-2017.05.13-01.20.zip

AdwCleanerS0.txt

Изменено 12 мая, 2017 пользователем Всеволод Коровушкин

[Всеволод Коровушкин 0]

Доктор, ну что там?

[regist 617]

1) "Пофиксите" в HijackThis:

O22 - Task (Ready): Event Collector Command Line Utility - C:\Users\Всеволод\AppData\Roaming\Injustice\WECUTIL\wecutil.exe 50d8aEfEd16dbC9bfAF06b2f119A9CcB12bF7596 (file missing)
O22 - Task (Ready): \System\SystemCheck - C:\Users\Всеволод\AppData\Roaming\Microsoft\Windows\svchost.exe -WindowsCheck (file missing)

 

2)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[Всеволод Коровушкин 0]

В первый раз не проставил галочки, поэтому два файла.

AdwCleanerC0.txt

AdwCleanerC2.txt

[regist 617]

• Пожалуйста, запустите adwcleaner.exe
• Нажмите File (Файл) Uninstall (Деинсталлировать).
• Подтвердите удаление нажав кнопку: Да.

 

что с проблемой?

[Всеволод Коровушкин 0]

Вроде ушла, спасибо.

[regist 617]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.

 

 

И не забывайте ставить обновления, можете посмотреть в соседних темах сколько пострадало от шифровальщика просто из-за, что не установили обновления windows.
 

[Всеволод Коровушкин 0]

Хорошо, спасибо.