kdotq 0 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 (изменено) Добрый день, поймал вирус. Цп загружен на 100. В mse постоянно находит трояны, нажимаю удалять, но спустя пару минут опять находит эти трояны, и так до бесконечности. drweb так же находит, но не помогает. показывает trojan win32 triggre rfn, trojan win64 rootagent, и trojan win32 glupteba так же отображает csrss.exe и winmon CollectionLog-2018.10.10-12.30.zip Изменено 10 октября, 2018 пользователем kdotq Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 (изменено) Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\windows\rss\csrss.exe'); StopService('ESEADriver2'); QuarantineFile('C:\Users\toshiba\AppData\Local\Temp\csrss\scheduled.exe', ''); QuarantineFile('C:\Users\toshiba\AppData\Local\Temp\ESEADriver2.sys', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFile('c:\windows\windefender.exe', ''); DeleteFile('C:\Users\toshiba\AppData\Local\Temp\csrss\scheduled.exe', '64'); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('C:\Windows\rss\csrss.exe', '32'); DeleteFile('C:\Windows\rss\csrss.exe', '64'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('ScheduledUpdate'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RestlessTree', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'RestlessTree', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(1); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в АВЗ: - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN)- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Изменено 10 октября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 Как отправить quarantine.zip, если при попытке отправки пишет что обнаружен вирус? Или я что-то не понял? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 @kdotq, попробуйте отправить с другой почты. Вы с Gmail отправляете? Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 да, пробовал с gmail. 1) [KLAN-8894033517] 2) https://virusinfo.info/virusdetector/report.php?md5=2E7879E692D5005AF9623ECD3CDBA0CA 3) прикрепил 4) прикрепил ClearLNK-2018.10.10_13.12.34.log CollectionLog-2018.10.10-16.35.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 KLAN-8894033517Номер вы указали, а ответ - нет. Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 10 октября, 2018 Автор Share Опубликовано 10 октября, 2018 Извиняюсь. Присланные вами файлы были проверены в автоматическом режиме. В следующих файлах обнаружен вредоносный код: scheduled.exe - Trojan.Win32.Chapak.ayaw csrss.exe - Trojan.Win32.Chapak.ayaw windefender.exe - Trojan-Dropper.Win32.Agent.bjwkfq Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 10 октября, 2018 Share Опубликовано 10 октября, 2018 (изменено) Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('c:\users\toshiba\appdata\local\temp\csrss\cloudnet.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\users\toshiba\appdata\local\temp\csrss\cloudnet.exe', ''); QuarantineFile('C:\Users\toshiba\AppData\Local\Temp\csrss\scheduled.exe', ''); QuarantineFile('C:\Users\toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', ''); QuarantineFile('c:\windows\rss\csrss.exe', ''); QuarantineFile('c:\windows\windefender.exe', ''); QuarantineFileF('c:\windows\rss\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); QuarantineFileF('c:\users\toshiba\appdata\roaming\epicnet inc\cloudnet\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('c:\users\toshiba\appdata\local\temp\csrss\cloudnet.exe', ''); DeleteFile('c:\users\toshiba\appdata\local\temp\csrss\cloudnet.exe', '32'); DeleteFile('C:\Users\toshiba\AppData\Local\Temp\csrss\scheduled.exe', '64'); DeleteFile('C:\Users\toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '32'); DeleteFile('C:\Users\toshiba\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '64'); DeleteFile('c:\windows\rss\csrss.exe', ''); DeleteFile('C:\Windows\rss\csrss.exe', '64'); DeleteFile('c:\windows\windefender.exe', '32'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('ScheduledUpdate'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '32'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'CloudNet', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN)"Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - MSConfig\startupreg: PenTabletClient [command] = PenTabletClient.exe (HKLM) (2016/11/28) (file missing) O15 - Trusted Zone: http://hola.org O22 - Task: (disabled) Red Giant Link - C:\Program Files\Red Giant Link\Red Giant Link.exe --silent (file missing) O22 - Task: (disabled) {264756E8-C619-47FF-9BB9-9BC673422654} - C:\Program Files (x86)\KotOR - антология\Knight of the Old Republic\launcher.exe (file missing) O22 - Task: (disabled) {4C91F7C6-8360-4B47-8AA8-FD394C256825} - C:\Program Files (x86)\KotOR - антология\Knight of the Old Republic\launcher.exe (file missing) O22 - Task: (disabled) {BBD2FA97-7964-4369-97F9-84D7514B77E3} - C:\Program Files (x86)\KotOR - антология\Knight of the Old Republic\launcher.exe (file missing) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Изменено 10 октября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 11 октября, 2018 Автор Share Опубликовано 11 октября, 2018 (изменено) Присланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:cloudnet.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gencloudnet_0.exe - HEUR:Trojan-Proxy.Win32.Glupteba.gencsrss.exe - Trojan.Win32.Chapak.ayawwindefender.exe - Trojan-Dropper.Win32.Agent.bjwkfq В антивирусных базах информация по присланным вами файлам отсутствует: scheduled.exe TOSHIBA-ПК_2018-10-11_15-06-42_v4.1.7z Изменено 11 октября, 2018 пользователем kdotq Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG zoo %Sys32%\DRIVERS\WINMON.SYS bl 69989105F151015C16A2F422F5722590 9352 addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCDEDB2F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728C0BA2FC74EA98A 64 Rootkit.Win64.Agent.avo [Kaspersky] 7 zoo %Sys32%\DRIVERS\WINMONFS.SYS bl C6100C067D1E619B730BF23AB4045B17 23272 addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BC33B7D47F48530E9D4C57C32017376613F9941FD57B025E2D2273 64 Rootkit.Win64.Agent.avn [Kaspersky] 7 chklst delvir ;---------command-block--------- delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\D62AB1E57AFC06A9F046CDAF1E96043F\AFC91B92252996EFB2634F1CD35362CF5E2D991E delref %SystemDrive%\PROGRAM FILES\LOGITECH GAMING SOFTWARE\DRIVERS\LGJOYHID\LGHPPFRC.DLL delref %SystemDrive%\PROGRAM FILES\LOGITECH GAMING SOFTWARE\DRIVERS\LGJOYHID\LGHPPFRC32.DLL delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC delref {5F327514-6C5E-4D60-8F16-D07FA08A78ED}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref F:\AUTORUN.EXE delref H:\AUTORUN.EXE delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID] delref F:\LGAUTORUN.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Сделайте свежий лог uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 11 октября, 2018 Автор Share Опубликовано 11 октября, 2018 2018.10.11_ZOO_2018-10-11_16-30-01_27f34868897a08482f903b067ca89c31.zip TOSHIBA-ПК_2018-10-11_16-38-54_v4.1.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 11 октября, 2018 Share Опубликовано 11 октября, 2018 Что с проблемой? + Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 12 октября, 2018 Автор Share Опубликовано 12 октября, 2018 (изменено) Реже, но порой так же выскакивают уведомления от mse. И через drweb все так же находит вирусы. И цп так же загружен. Видимо проблема не решена. Еще выскакивает уведомление о том, что windows требуется драйвер для wimmon.sys и wimmonfs.sys, которые были заражены. AdwCleanerS00.txt Изменено 12 октября, 2018 пользователем kdotq Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 12 октября, 2018 Share Опубликовано 12 октября, 2018 1) Ace Stream Media 3.1.28 [2018/06/04 15:19:51]-->C:\Users\toshiba\AppData\Roaming\ACEStream\Uninstall.exe деинсталируйте. Java 8 Update 131 (64-bit) [20170423]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F64180131F0} это устаревшая (уязвимая) версия, её тоже деинсталируйте. 2) Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. 3) Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
kdotq 0 Опубликовано 12 октября, 2018 Автор Share Опубликовано 12 октября, 2018 . AdwCleanerS03.txt CBS.LOG sfcdoc.log Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.