csrss.exe

[kdotq]

Добрый день, поймал вирус. Цп загружен на 100. В mse постоянно находит трояны, нажимаю удалять, но спустя пару минут опять находит эти трояны, и так до бесконечности. drweb так же находит, но не помогает. 

показывает trojan win32 triggre rfn, trojan win64 rootagent, и trojan win32 glupteba

так же отображает csrss.exe и winmon

CollectionLog-2018.10.10-12.30.zip

Изменено 10 октября, 2018 пользователем kdotq

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 StopService('ESEADriver2');
 QuarantineFile('C:\Users\toshiba\AppData\Local\Temp\csrss\scheduled.exe', '');
 QuarantineFile('C:\Users\toshiba\AppData\Local\Temp\ESEADriver2.sys', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('c:\windows\windefender.exe', '');
 DeleteFile('C:\Users\toshiba\AppData\Local\Temp\csrss\scheduled.exe', '64');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('C:\Windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\rss\csrss.exe', '64');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('ScheduledUpdate');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RestlessTree', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RestlessTree', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

 

Полученный ответ сообщите здесь (с указанием номера KLAN)

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 10 октября, 2018 пользователем regist

[kdotq]

Как отправить quarantine.zip, если при попытке отправки пишет что обнаружен вирус? 

Или я что-то не понял? 

[regist]

@kdotq, попробуйте отправить с другой почты. Вы с Gmail отправляете?

[kdotq]

да, пробовал с gmail. 

 

1) [KLAN-8894033517]

 

2) https://virusinfo.info/virusdetector/report.php?md5=2E7879E692D5005AF9623ECD3CDBA0CA

 

3) прикрепил

 

4) прикрепил 

ClearLNK-2018.10.10_13.12.34.log

CollectionLog-2018.10.10-16.35.zip

[Sandor]

KLAN-8894033517

Номер вы указали, а ответ - нет.

[kdotq]

Извиняюсь.

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В следующих файлах обнаружен вредоносный код:

scheduled.exe - Trojan.Win32.Chapak.ayaw

csrss.exe - Trojan.Win32.Chapak.ayaw

windefender.exe - Trojan-Dropper.Win32.Agent.bjwkfq

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\toshiba\appdata\local\temp\csrss\cloudnet.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\windows\windefender.exe');
 QuarantineFile('c:\users\toshiba\appdata\local\temp\csrss\cloudnet.exe', '');
 QuarantineFile('C:\Users\toshiba\AppData\Local\Temp\csrss\scheduled.exe', '');
 QuarantineFile('C:\Users\toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('c:\windows\windefender.exe', '');
 QuarantineFileF('c:\windows\rss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFileF('c:\users\toshiba\appdata\roaming\epicnet inc\cloudnet\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('c:\users\toshiba\appdata\local\temp\csrss\cloudnet.exe', '');
 DeleteFile('c:\users\toshiba\appdata\local\temp\csrss\cloudnet.exe', '32');
 DeleteFile('C:\Users\toshiba\AppData\Local\Temp\csrss\scheduled.exe', '64');
 DeleteFile('C:\Users\toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32');
 DeleteFile('C:\Users\toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '64');
 DeleteFile('c:\windows\rss\csrss.exe', '');
 DeleteFile('C:\Windows\rss\csrss.exe', '64');
 DeleteFile('c:\windows\windefender.exe', '32');
 DeleteSchedulerTask('csrss');
 DeleteSchedulerTask('ScheduledUpdate');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - MSConfig\startupreg: PenTabletClient [command] = PenTabletClient.exe (HKLM) (2016/11/28) (file missing)
O15 - Trusted Zone: http://hola.org
O22 - Task: (disabled) Red Giant Link - C:\Program Files\Red Giant Link\Red Giant Link.exe --silent (file missing)
O22 - Task: (disabled) {264756E8-C619-47FF-9BB9-9BC673422654} - C:\Program Files (x86)\KotOR - антология\Knight of the Old Republic\launcher.exe (file missing)
O22 - Task: (disabled) {4C91F7C6-8360-4B47-8AA8-FD394C256825} - C:\Program Files (x86)\KotOR - антология\Knight of the Old Republic\launcher.exe (file missing)
O22 - Task: (disabled) {BBD2FA97-7964-4369-97F9-84D7514B77E3} - C:\Program Files (x86)\KotOR - антология\Knight of the Old Republic\launcher.exe (file missing)

 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено 10 октября, 2018 пользователем regist

[kdotq]

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
cloudnet.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gen
cloudnet_0.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gen
csrss.exe - Trojan.Win32.Chapak.ayaw
windefender.exe - Trojan-Dropper.Win32.Agent.bjwkfq

 

В антивирусных базах информация по присланным вами файлам отсутствует:

scheduled.exe

TOSHIBA-ПК_2018-10-11_15-06-42_v4.1.7z

Изменено 11 октября, 2018 пользователем kdotq

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %Sys32%\DRIVERS\WINMON.SYS
   bl 69989105F151015C16A2F422F5722590 9352
   addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCDEDB2F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728C0BA2FC74EA98A 64 Rootkit.Win64.Agent.avo [Kaspersky] 7
   
   zoo %Sys32%\DRIVERS\WINMONFS.SYS
   bl C6100C067D1E619B730BF23AB4045B17 23272
   addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BC33B7D47F48530E9D4C57C32017376613F9941FD57B025E2D2273 64 Rootkit.Win64.Agent.avn [Kaspersky] 7
   
   chklst
   delvir
   
   ;---------command-block---------
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
   delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\D62AB1E57AFC06A9F046CDAF1E96043F\AFC91B92252996EFB2634F1CD35362CF5E2D991E
   delref %SystemDrive%\PROGRAM FILES\LOGITECH GAMING SOFTWARE\DRIVERS\LGJOYHID\LGHPPFRC.DLL
   delref %SystemDrive%\PROGRAM FILES\LOGITECH GAMING SOFTWARE\DRIVERS\LGJOYHID\LGHPPFRC32.DLL
   delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
   delref {5F327514-6C5E-4D60-8F16-D07FA08A78ED}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref F:\AUTORUN.EXE
   delref H:\AUTORUN.EXE
   delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
   delref F:\LGAUTORUN.EXE
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Сделайте свежий лог uVS.
 

[kdotq]

2018.10.11_ZOO_2018-10-11_16-30-01_27f34868897a08482f903b067ca89c31.zip

 

 

TOSHIBA-ПК_2018-10-11_16-38-54_v4.1.7z

[regist]

Что с проблемой?
 

+

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

[kdotq]

Реже, но порой так же выскакивают уведомления от mse. И через drweb все так же находит вирусы. 

И цп так же загружен. Видимо проблема не решена.

Еще выскакивает уведомление о том, что windows требуется драйвер для wimmon.sys и wimmonfs.sys, которые были заражены. 

AdwCleanerS00.txt

Изменено 12 октября, 2018 пользователем kdotq

[regist]

1)

Ace Stream Media 3.1.28 [2018/06/04 15:19:51]-->C:\Users\toshiba\AppData\Roaming\ACEStream\Uninstall.exe

деинсталируйте.

Java 8 Update 131 (64-bit) [20170423]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F64180131F0}

это устаревшая (уязвимая) версия, её тоже деинсталируйте.

2)

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt.
• Прикрепите отчет к своему следующему сообщению.

 

3) Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

[kdotq]

.

AdwCleanerS03.txt

CBS.LOG

sfcdoc.log