Вирус использует 50% CPU, синий экран при завершении процесса

[genki nai]

Прошу совета как уничтожить вирус со следующими оcобенностями:

1. Маскируется под процесс svchost.exe *32 (либо tracert.exe, nslookup.exe и другие), запускается от имени пользователя из папки C:\Windows\SysWOW64, использует 48-50% CPU.

2. Запускается примерно через 10-30 минут после подключения к сети Интернет, при отсутствии подключения неактивен.

3. При запуске вируса принудительно завершается работа некоторых программ: AnVir, AVZ, также их невозможно запустить во время активности вируса. Принудительно закрывается Google Chrome при попытке зайти на страницы скачивания AVZ, Farbar Recovery Scan Tool, при наборе "AVZ" в строке поиска.

4. При попытке завершить запущенный вирусом процесс появляется сообщение об ошибке - синий экран. Также синий экран появляется при нажатии кнопок "Завершение работы", "Перезагрузка", "Выход из системы".

5. Проверка основными антивирусными утилитами (Web CureIt, Kaspersky Virus Removal Tool, Comodo Cleaning Essentials, AdwCleaner), запущенными в безопасном режиме, проблему не решила.

 

Файл логов проверки Autologger и скриншот запущенного вирусом процесса прилагаю.

CollectionLog-2018.03.11-15.07.zip

[regist]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\firefox\mozavcodec.dll', '');
 QuarantineFile('C:\Program Files\firefox\mozavutil.dll', '');
 QuarantineFile('C:\Windows\EUJMex.exe', '');
 QuarantineFile('C:\Windows\oENIAy.exe', '');
 DeleteFile('C:\Windows\EUJMex.exe');
 DeleteFile('C:\Windows\oENIAy.exe');
 ExecuteFile('schtasks.exe', '/delete /TN "{466E16C9-3B6F-4D33-AA4A-838F6E7B8F3B}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "{BD03D5F5-9B9D-4B20-B21A-BFF659BC3406}" /F', 0, 15000, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[genki nai]

Здравствуйте! Логи проверки AutoLogger после применения скрипта прилагаю.

 

Ссылка на результаты проверки онлайн сервисом VirusDetector (MD5: DBAC56666721B05BE0E90CDB358CEAC6):

 

https://virusinfo.info/virusdetector/report.php?md5=DBAC56666721B05BE0E90CDB358CEAC6

 

Ответ Антивирусной Лаборатории newvirus@kaspersky.com

 

Re: Файл quarantine.zip из папки AVZ [KLAN-7747272601]

 

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В антивирусных базах информация по присланным вами файлам отсутствует:
mozavcodec.dll
mozavutil.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
 

 

 

CollectionLog-2018.03.11-18.30.zip

Изменено 11 марта, 2018 пользователем genki nai

[regist]

Проверьте эти файлы на virustotal

C:\Program Files\firefox\mozavcodec.dll
C:\Program Files\firefox\mozavutil.dll

кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

+ что с проблемой?

[genki nai]

Ссылки на результат проверки virustotal:

https://www.virustotal.com/#/file/13105ec25248efcd33e4d1d61ddb87459d1f151d335dafb7bcb6a46ca873b0ca/detection

https://www.virustotal.com/#/file/355257fb09da32c7d05976638c9d2ccc6cec7265276bbea2fbd49838a96d475c/detection

 

Проблема больше не проявляется, спасибо за помощь! 

[regist]

 

 

Нажать на кнопку Повторить анализ (Reanalyse)

Не сделали. Я просил сделать повторный анализ, а не просто дать ссылки на отчёт годовой давности, их и так видел. Так что сделайте реанализ и оставьте свежие ссылки.

[genki nai]

Извиняюсь, вот свежие ссылки:

https://www.virustotal.com/#/file/13105ec25248efcd33e4d1d61ddb87459d1f151d335dafb7bcb6a46ca873b0ca/detection

https://www.virustotal.com/#/file/355257fb09da32c7d05976638c9d2ccc6cec7265276bbea2fbd49838a96d475c/detection

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.