Создаются службы с рандомными именами

13 августа, 2018

Через некоторое время после загрузки появляются службы вида 2058667 без описания, указывают на исполняемый файл вида 40756584.exe этот файл мгновенно убивается антивирусом, автоматически.

Kaspersky Removal Tool, AVZ, DRWeb cureIT, Symantec не видят ничего подозрительного на компьютере.

Ручной поиск в распространенных местах обитания вирусов, ничего подозрительного не выявил.

Планировщик заданий чистый

Прикладываю логи от автосборщика.

CollectionLog-2018.08.13-12.18.zip

13 августа, 2018

Здравствуйте!

файл вида 40756584.exe этот файл мгновенно убивается антивирусом

С каким вердиктом? Отчет антивируса или скриншот с сообщением покажите.

13 августа, 2018

Ссылается на файл с произвольным именем. И в основном на службу wsfvoice.exe так же могу приложить файл создаваемого автоматически файла, удалось его поймать.

13 августа, 2018

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 SetServiceStart('2058667', 4);
 QuarantineFile('C:\Windows\40756584.exe', '');
 DeleteFile('C:\Windows\40756584.exe', '64');
 DeleteService('2058667');
ExecuteSysClean;
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

!!!Внимание.

Если у вас установлены архиваторы

WinRAR

или

7-Zip

, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.

!!! Обратите внимание

, что утилиты необходимо запускать от имени Администратора. По умолчанию в

Windows XP

так и есть. В

Windows Vista

и

Windows 7

администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать

Запуск от имени Администратора

, при необходимости укажите пароль администратора и нажмите

"Да"

.

Подробнее читайте в руководстве Как подготовить лог UVS.

13 августа, 2018

После работы скрипта от АВЗ в каратнин ничего не упало.

Остальные логи прикладываю.

Прикладываю для анализа файл который создает вирусная программа, архив с именем 2C2F5406.7z

Нашел в папке C:\Windows\SysWOW64 файл с именем wsfvoice.exe и удалил его, так же там были файлы обновления Flash player тоже удалил, ибо все это было создано только что, а я ничего не скачивал подобного.

Однако после перезагрузки, служба с рандомным именем появилась снова.

После начала борьбы с этим вирусом на отдельной машине, он начал стремительно распространятся по всей сети

C317-FURS-W7_2018-08-13_14-30-50.7z

Изменено 13 августа, 2018 пользователем regist
запрещено прикреплять вирусы

13 августа, 2018

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0.14 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MCAFEE SECURITY SCAN\3.8.150\SSSCHEDULER.EXE
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.149\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.57\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.57\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.65\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.69\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER_64.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL
delref %SystemDrive%\USERS\FURSENKO\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.57\NPGOOGLEUPDATE3.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.57\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\GOOGLE TALK\GOOGLETALK.EXE
apply

;---------command-block---------
delref {F9152AEC-3462-4632-8087-EEE3C3CDDA24}\[CLSID]
delref {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {00000000-0000-0000-0000-000000000000}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {3E1D0E7F-F5E3-44CC-AA6A-C0A637619AB8}\[CLSID]
delref {8B1D4E4F-410C-4779-9741-3FDF926C1CE2}\[CLSID]
apply

restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.

+ по окончанию лечения поменяйте все пароли. В первую очередь банковские.

13 августа, 2018

Скрипт выполнил. Сканирование сделал, прикрепил файл. Для информации. Эта штука пролетает по сети сквозь брэндмауэры и антивирусы. Полностью во всей сети, на серверах в том числе.

Если можно, сообщите что это такое и как бороться? Malwarebytes например удалил файлы так же как и в ручном режиме. Из каталога windows, и из реестра HCLM/system/ControlSet001/services

Но он возвращается по сети через некоторое время, не более часа.

scan.txt

Изменено 13 августа, 2018 пользователем BUOMEX

13 августа, 2018

@BUOMEX, вот что у вас там и где нашло MBAM в итоге не понятно. В логе uVS у вас также вирусов не видно ибо перед этим вы вручную их удалили.

И как тогда вам помогать? Не надо искажать картину заражения, а то помочь вам становится очень сложно.

Сделайте свежий лог uVS при активной этой службе и не удаляйте её пока.

13 августа, 2018

Понял вас. В принципе сам файл я пытался отправить его не пропустило. Не закрывайте заявку У меня тут свет выключили. Как включат и я доберусь до компа сделаю логи повторно.

Верно ли я понял, что вы пытаетесь по факту вылечить один конкретный ПК? У меня вся сеть под вирусом. Мне бы понять что это вообще такое, и как оно так ловко ходит по сети. Я пытался выслать файлы вируса, вы не принимаете. Есть ли смысл отнимать друг у друга время? Мне не нужно лечение одного ПК, я на худой конец могу там ОС переставить. Или мне нужно в другой какой то ветке создавать просьбу о помощи?

13 августа, 2018

Верно ли я понял, что вы пытаетесь по факту вылечить один конкретный ПК?

да.

У меня вся сеть под вирусом. Мне бы понять что это вообще такое, и как оно так ловко ходит по сети.

с этим вопросами лучше в тех. поддержку Симантека (так как это он это позволяет).

Я пытался выслать файлы вируса, вы не принимаете.

я его скачал, это банковский троян. Но выкладывание вирусных файлов запрещено правилами форума, поэтому удалил его из вашего поста.

Изменено 13 августа, 2018 пользователем regist

13 августа, 2018

ясно. спасибо за попытку помочь. удачи вам

Создаются службы с рандомными именами

Рекомендуемые сообщения

BUOMEX

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

BUOMEX

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

BUOMEX

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

BUOMEX

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

BUOMEX

Ссылка на комментарий

Поделиться на другие сайты

regist

Ссылка на комментарий

Поделиться на другие сайты

BUOMEX

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum