Утилита атрибутов (attrib.exe)

[Александр Вахницкий]

Здраствуйте,во сегодня появился вирус который нагружает систему по полной.В диспетчере задач появилось около 40 процесов attrib.exe и conhost.Процессор нагружен на максимум.Прошу помогите!!

[kmscom]

внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

[Александр Вахницкий]

Здравствуйте,сегодня примерно в 00:00 появился какой то вирус который нагружает ЦП на 100%.Появилось около 300 процессов attrib.exe.

 

Сообщение от модератора Mark D. Pearlstone

Темы объединены

CollectionLog-2017.11.14-16.41.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Hi-tech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\xNet.dll','');
 QuarantineFile('C:\Users\Hi-tech\AppData\Local\Temp\n_i64.sys','');
 TerminateProcessByName('c:\users\hi-tech\appdata\roaming\microsoft\windows\winhost.exe');
 QuarantineFile('c:\users\hi-tech\appdata\roaming\microsoft\windows\winhost.exe','');
 DeleteFile('c:\users\hi-tech\appdata\roaming\microsoft\windows\winhost.exe','32');
 DeleteFile('C:\Users\Hi-tech\AppData\Local\fupdate\fupdate.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\fupdate','64');
 DeleteFile('C:\Windows\system32\Tasks\System\SecurityService','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[Александр Вахницкий]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
xNet.dll
n_i64.sys

В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:
winhost.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.ilcp

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ
 

quarantine.zip [KLAN-7146949211]

 

 

 

CollectionLog-2017.11.14-19.03.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Александр Вахницкий]

Все сделал.

Desktop.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
HKU\S-1-5-21-3411506941-3933492043-3350169051-1001\...\Run: [amigo] => C:\Users\Hi-tech\AppData\Local\Amigo\Application\amigo.exe [962024 2017-09-18] (Mail.Ru) <==== ATTENTION
GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HKU\S-1-5-21-3411506941-3933492043-3350169051-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3411506941-3933492043-3350169051-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3411506941-3933492043-3350169051-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3411506941-3933492043-3350169051-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3411506941-3933492043-3350169051-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [epgjfmblhacacphaljkdcjllkomdcjpc] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
OPR StartupUrls: "hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=48C48557E90104602F050912D95B67C4&utm_d=20161120"
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
2017-11-12 12:09 - 2017-11-12 12:09 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign8b3d88ac14a55d33
2017-11-12 12:09 - 2017-11-12 12:09 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign7d792276aaa03d2e
2017-11-12 12:08 - 2017-11-12 12:08 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign972f7a9c7146ff5a
2017-11-11 22:56 - 2017-11-11 22:56 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsignaadd3ffc174947ee
2017-11-11 22:56 - 2017-11-11 22:56 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign7ba04dd4d67d6ddb
2017-11-11 22:56 - 2017-11-11 22:56 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign1a7290bbe6d832e3
2017-11-10 19:58 - 2017-11-10 19:58 - 000000060 _____ C:\Users\Все пользователи\SoftwareUpdateTemp.xml
2017-11-10 19:58 - 2017-11-10 19:58 - 000000060 _____ C:\ProgramData\SoftwareUpdateTemp.xml
2017-10-25 01:05 - 2017-10-25 01:05 - 000002357 _____ C:\Users\Hi-tech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Амиго.lnk
2017-10-25 01:05 - 2017-10-25 01:05 - 000000000 ____D C:\Users\Hi-tech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Амиго
2017-10-25 01:05 - 2017-10-25 01:05 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Amigo
2017-10-24 23:25 - 2017-10-24 23:25 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsignf95db474935b2cd8
2017-10-24 23:25 - 2017-10-24 23:25 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign77063a9b3931d3cf
2017-10-24 23:25 - 2017-10-24 23:25 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign142a67232fa697ae
2017-10-22 17:31 - 2017-10-22 17:31 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsignab883f283d27d9e7
2017-10-22 17:31 - 2017-10-22 17:31 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsigna14a013f1e33ab8b
2017-10-22 17:31 - 2017-10-22 17:31 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign3ec5ea93a72c24b3
2017-10-21 15:39 - 2017-10-21 15:39 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign6a2516bad660c4ef
2017-10-21 15:39 - 2017-10-21 15:39 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign49f055796c544559
2017-10-21 15:39 - 2017-10-21 15:39 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign0ddee953b03e5243
2017-10-20 22:30 - 2017-10-20 22:30 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsignc9dbdac90c50d193
2017-10-20 22:30 - 2017-10-20 22:30 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign78dd4dccc2228bfa
2017-10-20 22:30 - 2017-10-20 22:30 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign0b0f8822cbaf7333
2017-10-19 16:26 - 2017-10-19 16:26 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsigne26b56c1c804ffb8
2017-10-19 16:26 - 2017-10-19 16:26 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsignbca34c6d2d6ce112
2017-10-19 16:26 - 2017-10-19 16:26 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign75e5e98eda36eff3
2017-10-15 16:51 - 2017-10-15 16:51 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsignddb919d30e90b2e9
2017-10-15 16:51 - 2017-10-15 16:51 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign3b4274af7c2a80c1
2017-10-15 16:51 - 2017-10-15 16:51 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign2c28d8aa05dbfab2
2017-10-14 16:55 - 2017-10-14 16:55 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsigne1fe60697376107e
2017-10-14 16:55 - 2017-10-14 16:55 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsignbee83ab8033d0e35
2017-10-14 16:55 - 2017-10-14 16:55 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign53dc08d0c6839a5f
2017-10-14 16:55 - 2017-10-14 16:55 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign238c1d8eb819fa0f
2017-10-02 19:34 - 2017-10-02 19:34 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign6c966a19f42f81c6
2017-10-02 19:28 - 2017-10-02 19:28 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign7a0885e4f8f627ee
2017-10-02 19:26 - 2017-10-02 19:26 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsigne8d0e5871ecb61dc
2017-10-02 19:26 - 2017-10-02 19:26 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign4e8157d1cd40fac3
2017-10-02 19:26 - 2017-10-02 19:26 - 000000000 ____D C:\Users\Hi-tech\AppData\Local\Tempzxpsign28b69bf6b6c8f8a3
2017-09-25 12:14 - 2017-10-17 18:42 - 000000000 ___RD C:\Users\Все пользователи\Framework
2017-09-25 12:14 - 2017-10-17 18:42 - 000000000 ___RD C:\ProgramData\Framework
2017-09-25 12:14 - 2017-10-17 18:41 - 000000000 ____D C:\Users\Все пользователи\WindowsSQL
2017-09-25 12:14 - 2017-10-17 18:41 - 000000000 ____D C:\Users\Все пользователи\DirectX11b
2017-09-25 12:14 - 2017-10-17 18:41 - 000000000 ____D C:\ProgramData\WindowsSQL
2017-09-25 12:14 - 2017-10-17 18:41 - 000000000 ____D C:\ProgramData\DirectX11b
2017-11-07 22:06 - 2017-08-21 17:20 - 001314008 _____ (Mail.Ru) C:\Users\Hi-tech\AppData\Local\Temp\29c7-8f1b-d6cf-b8a9.exe
2017-11-11 15:34 - 2017-11-11 15:34 - 000596992 _____ () C:\Users\Hi-tech\AppData\Local\Temp\bpfxz1pr2arzyvi_k1.exe
2017-11-10 17:07 - 2017-11-11 15:36 - 000355840 _____ () C:\Users\Hi-tech\AppData\Local\Temp\gameDLL.dll
2017-11-11 14:38 - 2017-11-11 14:38 - 000596992 _____ () C:\Users\Hi-tech\AppData\Local\Temp\ml5qc2qjbmv1371_k1.exe
2017-11-11 14:39 - 2017-11-11 14:39 - 000596992 _____ () C:\Users\Hi-tech\AppData\Local\Temp\p545ld33s18w2n5_k1.exe
2017-11-11 11:02 - 2017-11-11 11:02 - 000594944 _____ () C:\Users\Hi-tech\AppData\Local\Temp\xzcdy4i8pcrvuus_k1.exe
Task: {835050E1-7589-4F2F-B825-6770222530E3} - \KMSAutoNet -> No File <==== ATTENTION
Task: {BDCFEE44-A4C5-41D5-88F7-DCC260B3AA37} - \System\SecurityService -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [152]
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [406]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [152]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:58A5270D [406]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
HKU\S-1-5-21-3411506941-3933492043-3350169051-1001\Software\Classes\regfile: regedit.exe "%1" <==== ATTENTION
HKU\S-1-5-21-3411506941-3933492043-3350169051-1001\...\StartupApproved\Run: => "KometaLaunchPanel"
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Александр Вахницкий]

Сделано

Fixlog.txt

[thyrex]

Проблема решена?

[Александр Вахницкий]

Проблема решена?

Вроде бы да.

[thyrex]

Загрузите SecurityCheck by glax24 и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Александр Вахницкий]

 

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]

WebSite: www.safezone.cc

DateLog: 15.11.2017 16:39:08

Path starting: C:\Users\Hi-tech\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe

Log directory: C:\SecurityCheck\

IsAdmin: True

User: Hi-tech

VersionXML: 4.73s-27.10.2017

___________________________________________________________________________

 

Windows 10(6.3.14393) (x64) Professional Версия: 1607 Lang: Russian(0419)

Дата установки ОС: 07.10.2016 08:28:04

Статус лицензии: Windows®, Professional edition Срок истечения многопользовательской активации: 250389 мин.

Статус лицензии: Office 15, OfficePowerPointVL_MAK edition Windows находится в режиме уведомления

Режим загрузки: Normal

Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

Системный диск: C: ФС: [NTFS] Емкость: [67.9 Гб] Занято: [60.4 Гб] Свободно: [7.5 Гб]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.1358.14393.0 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Контроль учётных записей пользователя включен (Уровень 2)

Центр обновления Windows (wuauserv) - Служба работает

Центр обеспечения безопасности (wscsvc) - Служба работает

Удаленный реестр (RemoteRegistry) - Служба остановлена

Обнаружение SSDP (SSDPSRV) - Служба работает

Службы удаленных рабочих столов (TermService) - Служба остановлена

Служба веб-публикаций (W3SVC) - Служба работает

Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена

------------------------------ [ MS Office ] ------------------------------

Microsoft Office 2007 v.12.0.6612.1000

Microsoft Office 2013 x86 v.15.0.4569.1506

---------------------------- [ Antivirus_WMI ] ----------------------------

Windows Defender (выключен и устарел)

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ AntiSpyware_WMI ] ---------------------------

Windows Defender (выключен и устарел)

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления

FileZilla Client 3.27.1 v.3.27.1 Внимание! Скачать обновления

WinRAR 5.40 (32-разрядная) v.5.40.0 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.40 v.7.40.103

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.0.44090 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^

Java 8 Update 144 v.8.0.1440.1 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u152-windows-i586.exe)^

--------------------------- [ AppleProduction ] ---------------------------

iTunes v.12.7.0.166

QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.27.0.0.124

Adobe Flash Player 24 PPAPI v.24.0.0.186 Внимание! Скачать обновления

------------------------------- [ Browser ] -------------------------------

Yandex v.17.9.1.768

Google Chrome v.61.0.3163.100 Внимание! Скачать обновления

^Проверьте обновления через меню Справка - О Google Chrome!^

Opera Stable 42.0.2393.517 v.42.0.2393.517 Внимание! Скачать обновления

^Проверьте обновления через меню О программе!^

--------------------------- [ RunningProcess ] ----------------------------

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe v.61.0.3163.100

chrome.exe

------------------ [ AntivirusFirewallProcessServices ] -------------------

Служба Защитника Windows (WinDefend) - Служба остановлена

Служба проверки сети Защитника Windows (WdNisSvc) - Служба остановлена

---------------------------- [ UnwantedApps ] -----------------------------

Амиго v.58.0.3029.150 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

Кнопка "Яндекс" на панели задач v.2.0.1.2131 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

----------------------------- [ End of Log ] ------------------------------

 

 

[thyrex]

Обновите указанные программы, удалите указанные нежелательные приложения

[Александр Вахницкий]

Все сделал