Telemex 0 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 KVRT обнаруживает в памяти Trojan.Multi.GenAutorunBITS.a. Удалить не может. После перезагрузки опять находит его. В безопасном режиме трояна в памяти и на диске не обнаруживает. Прошу помощи в удалении. Лог прилагается: CollectionLog-2018.11.18-18.02.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 (изменено) Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): {Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модицифирован по согласованию с авторами - представителями SafeZone.cc При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязателена. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := 'восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); ExecuteRepair(10); RebootWindows(false); end. После выполнения скрипта компьютер перезагрузится. Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему посту. Скачайте AdwCleaner и сохраните его на Рабочем столе. Запустите его через правую кн. мыши от имени администратора, нажмите кнопку "Scan Now" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[s00].txt. Прикрепите отчет к своему следующему сообщению. Изменено 18 ноября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Telemex 0 Опубликовано 18 ноября, 2018 Автор Share Опубликовано 18 ноября, 2018 Благодарю за оперативность. Выполнил все по инструкции. Файлы прикрепил. Correct_wuauserv&BITS.log AdwCleanerS05.txt Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 18 ноября, 2018 Share Опубликовано 18 ноября, 2018 Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. не сделали. Цитата Ссылка на сообщение Поделиться на другие сайты
Telemex 0 Опубликовано 19 ноября, 2018 Автор Share Опубликовано 19 ноября, 2018 Добрался до компа. Лог прикрепил. CollectionLog-2018.11.18-20.45.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 19 ноября, 2018 Share Опубликовано 19 ноября, 2018 @Telemex, поишите там в папке с AVZ файлы wuauserv.regBITS.reg заархивируйте их и прикрепите. + Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Цитата Ссылка на сообщение Поделиться на другие сайты
Telemex 0 Опубликовано 20 ноября, 2018 Автор Share Опубликовано 20 ноября, 2018 AutorunsVTchecker после завершения сообщил: "Все файлы из автозапуска были проверены на Virustotal. ОК". Никаких логов не оставил. Файлы прикрепляю. ЗЫ: KVRT ни в памяти, ни на диске ничего не обнаруживает. BITS_wauserv.zip MAGEIA4_2018-11-20_15-00-13_v4.1.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 ноября, 2018 Share Опубликовано 20 ноября, 2018 1) Удалите остатки avast и COMODO INTERNET SECURITY 2) Cisco LEAP Module - как понимаю уже тоже удалено и только записи в реестре остались? 3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG regt 20 ;---------command-block--------- zoo %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.7.16065.215\NPQMEXTENSIONSMOZILLA.DLL delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.7.16065.215\NPQMEXTENSIONSMOZILLA.DLL delref %Sys32%\DRIVERS\10730227.SYS delref %Sys32%\DRIVERS\51716005.SYS delref %Sys32%\DRIVERS\61024858.SYS delref %Sys32%\DRIVERS\65547634.SYS delref %Sys32%\DRIVERS\75343875.SYS delref %Sys32%\DRIVERS\79711862.SYS delref {EBD0B8F4-A9A0-41B7-9695-030CD264D9C8}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\AMIEXT\BROWSESAFELY\FF delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {67EB453C-1BE1-48EC-AAF3-23B10277FCC1}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_111\BIN\WSDETECT.DLL apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. 4) Сделайте свежий образ автозапуска. Цитата Ссылка на сообщение Поделиться на другие сайты
Telemex 0 Опубликовано 21 ноября, 2018 Автор Share Опубликовано 21 ноября, 2018 Остатки avast и comodo удалил. Cisco LEAP был давно деинсталлирован. Скрипт выполнил. Образ прикрепил. MAGEIA4_2018-11-21_14-50-33_v4.1.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 ноября, 2018 Share Опубликовано 21 ноября, 2018 1) [*]Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. [*]Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". [*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG uidel MsiExec.exe /I{51C7AD07-C3F6-4635-8E8A-231306D810FE} uidel MsiExec.exe /I{ED5776D5-59B4-46B7-AF81-5F2D94D7C640} regt 20 restart[*]В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." [*]Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен./LIST] 2) Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
Telemex 0 Опубликовано 22 ноября, 2018 Автор Share Опубликовано 22 ноября, 2018 Сделал. Выкладываю лог. CBS_sfcdoc.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 22 ноября, 2018 Share Опубликовано 22 ноября, 2018 Удалите обновление KB4457144, потом поставьте его заново.После этого свежие логи этим батником соберите. Цитата Ссылка на сообщение Поделиться на другие сайты
Telemex 0 Опубликовано 23 ноября, 2018 Автор Share Опубликовано 23 ноября, 2018 Обновление удалил. Попытка установить заново не увенчалась успехом: "Установщик обнаружил ошибку: 0x800700002. Не удается найти указанный файл". Вошел в управление службами - служба автоматического обновления не запущена. При попытке запустить её выдает сообщение: "Не удалось запустить службу.на локальном компьютере. Ошибка 2 - не удается найти указанный файл". Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 23 ноября, 2018 Share Опубликовано 23 ноября, 2018 Этот батник ещё раз запустите в режиме рассширенного восстановления. Потом здесь выложите свежие логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Telemex 0 Опубликовано 24 ноября, 2018 Автор Share Опубликовано 24 ноября, 2018 Запустил в режиме расширенного восстановления. Логи прикладываю. На всякий случай перезагрузился, но служба автоматического обновления все-равно не запускается: "Не удалось запустить службу.на локальном компьютере. Ошибка 2 - не удается найти указанный файл". CBS_sfcdoc_.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.