abonchak Опубликовано 20 августа, 2018 Автор Share Опубликовано 20 августа, 2018 (изменено) Прогнал скрипт. Выдал, что нужно обновить Microsoft Silverlight и акробат ридер. Включил UAC. Еще прогнал папку виндовс Microsoft Safety Scanner. В принципе он достаточно хорошо поработал и сделал то, что и вы мне говорили. В логе его увидел(приложу на всякий случай). Амиадмин это моё. Пока на удивление тихо. Понаблюдаю. Хм, даже касперский установился. avz_log.txt msert.log Изменено 20 августа, 2018 пользователем abonchak Ссылка на комментарий Поделиться на другие сайты More sharing options...
abonchak Опубликовано 20 августа, 2018 Автор Share Опубликовано 20 августа, 2018 Проблема не решилась. Вирус снова себя выкачал, угробил касперского и нормально поживает. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 20 августа, 2018 Share Опубликовано 20 августа, 2018 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Ссылка на комментарий Поделиться на другие сайты More sharing options...
abonchak Опубликовано 21 августа, 2018 Автор Share Опубликовано 21 августа, 2018 лог SERVER_2018-08-22_08-21-16.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 22 августа, 2018 Share Опубликовано 22 августа, 2018 Амиадмин это моё. а C:\WINDOWS\SYSWOW64\RSERVER30\RSERVER3.EXE ? Точней: Radmin Server 3.4, Radmin Viewer 3.5, Remote Administrator v2.2, TeamViewer 13, TeamViewer 8.0.22298 - это все ваши? даже касперский установился. Если у вас стоит касперский, то для чего стоит TNod User & Password Finder? Удалите его тогда. И в логе у вас вообще не заметил никакого антивируса. Он у вас стоит?И если бы касперский стоял, то он этот вирус должен был видеть и удалить. А также удалите остатки от ESET FILE SECURITY https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- bl 06E94BB4A3DB98858AAB1353DC7F39AA 5080576 zoo %SystemRoot%\SYSTEM\MSINFO.EXE delall %SystemRoot%\SYSTEM\MSINFO.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\\APPDATA\ROAMING\MICROSOFT\INSTALLER\{ACBDE01D-DBF1-4075-9128-DA553EAD0869}\_C5AB5FF6161C836198EA06.EXE delref %SystemDrive%\USERS\АДМИНИСТРАТОР\\APPDATA\ROAMING\MICROSOFT\INSTALLER\{ACBDE01D-DBF1-4075-9128-DA553EAD0869}\_D79F07499C3C9EE4F5ADBD.EXE delref MFETDI2K\[SERVICE] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] bl CF0A84238240EB47FAD9E72A0510BEF8 1269 zoo %SystemRoot%\SYSTEM\MY1.BAT delall %SystemRoot%\SYSTEM\MY1.BAT delref I:\DRIVERPACKSOLUTION.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. затем свежий лог uVS. Ссылка на комментарий Поделиться на другие сайты More sharing options...
abonchak Опубликовано 23 августа, 2018 Автор Share Опубликовано 23 августа, 2018 Радмин, тимвьювер и т.д. это все моё. Касперский установился, но после перезагрузки, за выходные он его снова угробил. Антивирус не функционировал вообще никак! Удалил я его в надежде, что ESET установится и чем-то поможет. Но при установке, как и касперский блокируется запуск экзешника антивируса и он откатывается назад. Поэтому в логах и нет антивируса, его невозможно установить. Касперский видел некоторые файлы этого вируса и удалял сначала, пока сам не сдулся. Но он не решал проблему в корне. Через минут 20 или час вирус снова восстанавливался. ESET остатки пока не удалял, что-то мне не нравится как эта утилита гробит сетевые подключения. Каким-то образом постоянно восстанавливаются c:\Windows\Temp\v.exe(это касперский не видел изначально!) и c:\Windows\Temp\conhost.exe(изначально этого файла не было, появился позже) Название архива ZOO_2018-08-23_08-37-05 (из формы после отправки, не смог скопировать полное название). лог приложил SERVER_2018-08-23_09-08-26.7z Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 23 августа, 2018 Share Опубликовано 23 августа, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.14 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- bl 2DEC082634F834079988680B21283972 1499648 zoo %SystemRoot%\TEMP\CONHOST.EXE delall %SystemRoot%\TEMP\CONHOST.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). Обновления безопасности в системе все стоят? В частности этот апдейт установлен? c:\Windows\Temp\v.exe Заархивируйте в zip архив с паролем virus и закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите мне в ЛС. Попробуйте снова установить антивирус. Ссылка на комментарий Поделиться на другие сайты More sharing options...
abonchak Опубликовано 24 августа, 2018 Автор Share Опубликовано 24 августа, 2018 (изменено) Обновления безопасности стоят. После перезагрузки CONHOST.EXE восстановился и запустился. Re: [KLAN-8600558726] В следующих файлах обнаружен вредоносный код, определяемый продуктами с включенной технологией KSN:CONHOST.EXE._9D305DB2466AB0ACF84F35DF48BECF6098277F57 - UDS:DangerousObject.Multi.GenericВ антивирусных базах информация по присланным вами файлам отсутствует:CONHOST.EXE._9D305DB2466AB0ACF84F35DF48BECF6098277F57.txt Антивирус не устанавливается. Все файлы вируса остались на местах в своих папках. Изменено 24 августа, 2018 пользователем regist удалил ссылку на вирус Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 24 августа, 2018 Share Опубликовано 24 августа, 2018 Присланный вами файл детектируется и Nod-ом и Касперским https://www.virustotal.com/ru/file/197639bdcc3d53f7767d9235ff2c7c269f44a7424019154288007ddeb48f8085/analysis/ Обновления безопасности стоят. Все? Всё равно скачайте и попробуйте вручную установить заплатку из шапки той темы. Если он стоит, то просто выдаст ошибку, что уже установлен - если не стоит, то будет залатана дыра через которую скорее всего этот вирус заново пролазиет. SMB v.1 хотя бы временно желательно отключить. Антивирус не устанавливается. попробуйте просканировать сначала с помощью https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool А потом снова поставить антивирус. Ссылка на комментарий Поделиться на другие сайты More sharing options...
abonchak Опубликовано 31 августа, 2018 Автор Share Опубликовано 31 августа, 2018 Заплатку проверил: стояла и стоит. KVRT не справляется, в принципе видит, удаляет, но после перезагрузки первым делом откуда-то вылазит конхост, затем остальное(в данном случае майнер). Антивирус все так же не дает поставить. SMB v.1 хотя бы временно желательно отключить. чем грозит отключение и для чего это нужно? Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 31 августа, 2018 Share Опубликовано 31 августа, 2018 для чего это нужно? для того чтобы быть уверенным, что у вас зараза не пролезет заново через эту дыру. Ссылка на комментарий Поделиться на другие сайты More sharing options...
abonchak Опубликовано 3 сентября, 2018 Автор Share Опубликовано 3 сентября, 2018 для чего это нужно? для того чтобы быть уверенным, что у вас зараза не пролезет заново через эту дыру. Хорошо. А как это сделать? Полистал интернет, сложно написано. В реестре таких записей не нашел(где нужно отключать). Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 3 сентября, 2018 Share Опубликовано 3 сентября, 2018 1) На всякий случай скачайте свежий KVRT и ещё раз проверьте. 2) Скачайте свежую версию uVS и сделайте свежий лог. 3) Загрузите GMER по одной из указанных ссылок:Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробную инструкцию читайте в руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
abonchak Опубликовано 3 сентября, 2018 Автор Share Опубликовано 3 сентября, 2018 Я тут устанавил Malwarebytes. Выяснилось что Конхост из папки темп ломится в интернет через Winlogon.exe. Malwarebytes это дело блокирует и после перезагрузки появляется только Конхост. Выяснить бы откуда он еще появляется. Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 3 сентября, 2018 Share Опубликовано 3 сентября, 2018 @abonchak, выполняйте, что написано выше. Я тут устанавил Malwarebytes. лучше бы хоть триального касперского поставили. Не пришлось бы тогда постоянно долечивать с помощью KVRT. На данный момент антивируса как понимаю ни одного нет?И установленный касперский возможно полностью пролечил бы систему. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти