abonchak Опубликовано 20 августа, 2018 Автор Опубликовано 20 августа, 2018 (изменено) Прогнал скрипт. Выдал, что нужно обновить Microsoft Silverlight и акробат ридер. Включил UAC. Еще прогнал папку виндовс Microsoft Safety Scanner. В принципе он достаточно хорошо поработал и сделал то, что и вы мне говорили. В логе его увидел(приложу на всякий случай). Амиадмин это моё. Пока на удивление тихо. Понаблюдаю. Хм, даже касперский установился. avz_log.txt msert.log Изменено 20 августа, 2018 пользователем abonchak
abonchak Опубликовано 20 августа, 2018 Автор Опубликовано 20 августа, 2018 Проблема не решилась. Вирус снова себя выкачал, угробил касперского и нормально поживает.
regist Опубликовано 20 августа, 2018 Опубликовано 20 августа, 2018 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" .
abonchak Опубликовано 21 августа, 2018 Автор Опубликовано 21 августа, 2018 лог SERVER_2018-08-22_08-21-16.7z
regist Опубликовано 22 августа, 2018 Опубликовано 22 августа, 2018 Амиадмин это моё. а C:\WINDOWS\SYSWOW64\RSERVER30\RSERVER3.EXE ? Точней: Radmin Server 3.4, Radmin Viewer 3.5, Remote Administrator v2.2, TeamViewer 13, TeamViewer 8.0.22298 - это все ваши? даже касперский установился. Если у вас стоит касперский, то для чего стоит TNod User & Password Finder? Удалите его тогда. И в логе у вас вообще не заметил никакого антивируса. Он у вас стоит?И если бы касперский стоял, то он этот вирус должен был видеть и удалить. А также удалите остатки от ESET FILE SECURITY https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- bl 06E94BB4A3DB98858AAB1353DC7F39AA 5080576 zoo %SystemRoot%\SYSTEM\MSINFO.EXE delall %SystemRoot%\SYSTEM\MSINFO.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\\APPDATA\ROAMING\MICROSOFT\INSTALLER\{ACBDE01D-DBF1-4075-9128-DA553EAD0869}\_C5AB5FF6161C836198EA06.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\\APPDATA\ROAMING\MICROSOFT\INSTALLER\{ACBDE01D-DBF1-4075-9128-DA553EAD0869}\_D79F07499C3C9EE4F5ADBD.EXE delref MFETDI2K\[SERVICE] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] bl CF0A84238240EB47FAD9E72A0510BEF8 1269 zoo %SystemRoot%\SYSTEM\MY1.BAT delall %SystemRoot%\SYSTEM\MY1.BAT delref I:\DRIVERPACKSOLUTION.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. затем свежий лог uVS.
abonchak Опубликовано 23 августа, 2018 Автор Опубликовано 23 августа, 2018 Радмин, тимвьювер и т.д. это все моё. Касперский установился, но после перезагрузки, за выходные он его снова угробил. Антивирус не функционировал вообще никак! Удалил я его в надежде, что ESET установится и чем-то поможет. Но при установке, как и касперский блокируется запуск экзешника антивируса и он откатывается назад. Поэтому в логах и нет антивируса, его невозможно установить. Касперский видел некоторые файлы этого вируса и удалял сначала, пока сам не сдулся. Но он не решал проблему в корне. Через минут 20 или час вирус снова восстанавливался. ESET остатки пока не удалял, что-то мне не нравится как эта утилита гробит сетевые подключения. Каким-то образом постоянно восстанавливаются c:\Windows\Temp\v.exe(это касперский не видел изначально!) и c:\Windows\Temp\conhost.exe(изначально этого файла не было, появился позже) Название архива ZOO_2018-08-23_08-37-05 (из формы после отправки, не смог скопировать полное название). лог приложил SERVER_2018-08-23_09-08-26.7z
regist Опубликовано 23 августа, 2018 Опубликовано 23 августа, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- bl 2DEC082634F834079988680B21283972 1499648 zoo %SystemRoot%\TEMP\CONHOST.EXE delall %SystemRoot%\TEMP\CONHOST.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Обновления безопасности в системе все стоят? В частности этот апдейт установлен? c:\Windows\Temp\v.exe Заархивируйте в zip архив с паролем virus и закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите мне в ЛС. Попробуйте снова установить антивирус.
abonchak Опубликовано 24 августа, 2018 Автор Опубликовано 24 августа, 2018 (изменено) Обновления безопасности стоят. После перезагрузки CONHOST.EXE восстановился и запустился. Re: [KLAN-8600558726] В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:CONHOST.EXE._9D305DB2466AB0ACF84F35DF48BECF6098277F57 - UDS:DangerousObject.Multi.GenericВ антивирусных базах информация по присланным вами файлам отсутствует:CONHOST.EXE._9D305DB2466AB0ACF84F35DF48BECF6098277F57.txt Антивирус не устанавливается. Все файлы вируса остались на местах в своих папках. Изменено 24 августа, 2018 пользователем regist удалил ссылку на вирус
regist Опубликовано 24 августа, 2018 Опубликовано 24 августа, 2018 Присланный вами файл детектируется и Nod-ом и Касперским https://www.virustotal.com/ru/file/197639bdcc3d53f7767d9235ff2c7c269f44a7424019154288007ddeb48f8085/analysis/ Обновления безопасности стоят. Все? Всё равно скачайте и попробуйте вручную установить заплатку из шапки той темы. Если он стоит, то просто выдаст ошибку, что уже установлен - если не стоит, то будет залатана дыра через которую скорее всего этот вирус заново пролазиет. SMB v.1 хотя бы временно желательно отключить. Антивирус не устанавливается. попробуйте просканировать сначала с помощью https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool А потом снова поставить антивирус.
abonchak Опубликовано 31 августа, 2018 Автор Опубликовано 31 августа, 2018 Заплатку проверил: стояла и стоит. KVRT не справляется, в принципе видит, удаляет, но после перезагрузки первым делом откуда-то вылазит конхост, затем остальное(в данном случае майнер). Антивирус все так же не дает поставить. SMB v.1 хотя бы временно желательно отключить. чем грозит отключение и для чего это нужно?
regist Опубликовано 31 августа, 2018 Опубликовано 31 августа, 2018 для чего это нужно? для того чтобы быть уверенным, что у вас зараза не пролезет заново через эту дыру.
abonchak Опубликовано 3 сентября, 2018 Автор Опубликовано 3 сентября, 2018 для чего это нужно? для того чтобы быть уверенным, что у вас зараза не пролезет заново через эту дыру. Хорошо. А как это сделать? Полистал интернет, сложно написано. В реестре таких записей не нашел(где нужно отключать).
regist Опубликовано 3 сентября, 2018 Опубликовано 3 сентября, 2018 1) На всякий случай скачайте свежий KVRT и ещё раз проверьте. 2) Скачайте свежую версию uVS и сделайте свежий лог. 3) Загрузите GMER по одной из указанных ссылок:Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробную инструкцию читайте в руководстве.
abonchak Опубликовано 3 сентября, 2018 Автор Опубликовано 3 сентября, 2018 Я тут устанавил Malwarebytes. Выяснилось что Конхост из папки темп ломится в интернет через Winlogon.exe. Malwarebytes это дело блокирует и после перезагрузки появляется только Конхост. Выяснить бы откуда он еще появляется.
regist Опубликовано 3 сентября, 2018 Опубликовано 3 сентября, 2018 @abonchak, выполняйте, что написано выше. Я тут устанавил Malwarebytes. лучше бы хоть триального касперского поставили. Не пришлось бы тогда постоянно долечивать с помощью KVRT. На данный момент антивируса как понимаю ни одного нет?И установленный касперский возможно полностью пролечил бы систему.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти