Вирус.

[mhsk]

Добрый вечер, столкнулся со следующей проблемой.

 

Сказали что принтер не печатает (принтеры сетевые) Начал смотреть. Не печатает только word и excel (офис в общем). С блокнота, pdf, пробная печать - работает, всё печатает. Переустановил принтер, потом офис всё так же не дает печатать.

Начал сканировать на вирусы нашёл:

 

Так же была обнаружена программа CloudNet. При удалении этой программы в командной строке он просит ввести цифры 28530. Вводить ничего не стал.

 

В общем суть всей писанины:

1. Имею зараженный компьютер, который не могут печать с офиса, вирусы не удаляются после перезагрузки они на месте

2. Сам я не сисадмин, просто самый молодой приходится разбираться.

3. Обнулять всё не желательно совсем.

 

Спасибо за внимание.

Изменено 4 декабря, 2018 пользователем mhsk

[mike 1]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

1 тема - 1 ПК

Изменено 4 декабря, 2018 пользователем mike 1

[mhsk]

https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

 

1 тема - 1 ПК

Отредактировал

[mike 1]

Не вижу лога.

[mhsk]

Не вижу лога.

Сделал

CollectionLog-2018.12.04-20.55.zip

[mike 1]

Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

 

Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи.

 

Здравствуйте! 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced','HideFileExt', 0);

 QuarantineFile('C:\Users\root\AppData\Roaming\WINDOW~1\helper.vbs','');

 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','');

 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys','');

 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys','');

 StopService('WinmonProcessMonitor');

 StopService('WinmonFS');

 StopService('Winmon');

 DeleteService('WinmonProcessMonitor');

 DeleteService('WinmonFS');

 DeleteService('Winmon');

 StopService('WinDefender');

 DeleteService('WinDefender');

 QuarantineFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\ucl.dll','');

 QuarantineFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\tucl-1.dll','');

 QuarantineFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\trfo-2.dll','');

 QuarantineFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\trch-1.dll','');

 QuarantineFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\tibe-2.dll','');

 QuarantineFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\posh-0.dll','');

 QuarantineFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\libxml2.dll','');

 QuarantineFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\exma-1.dll','');

 QuarantineFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\coli-0.dll','');

 TerminateProcessByName('c:\windows\windefender.exe');

 QuarantineFile('c:\windows\windefender.exe','');

 TerminateProcessByName('c:\users\root\appdata\local\temp\csrss\mrt.exe');

 QuarantineFile('c:\users\root\appdata\local\temp\csrss\mrt.exe','');

 TerminateProcessByName('c:\users\root\appdata\local\temp\csrss\smb\rzyxkskqzzzca\eternalblue-2.2.0.exe');

 QuarantineFile('c:\users\root\appdata\local\temp\csrss\smb\rzyxkskqzzzca\eternalblue-2.2.0.exe','');

 TerminateProcessByName('c:\windows\rss\csrss.exe');

 QuarantineFile('c:\windows\rss\csrss.exe','');

 TerminateProcessByName('c:\users\root\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe');

 QuarantineFile('c:\users\root\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','');

 DeleteFile('c:\users\root\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe','32');

 DeleteFile('c:\windows\rss\csrss.exe','32');

 DeleteFile('c:\users\root\appdata\local\temp\csrss\smb\rzyxkskqzzzca\eternalblue-2.2.0.exe','32');

 DeleteFile('c:\users\root\appdata\local\temp\csrss\mrt.exe','32');

 DeleteFile('c:\windows\windefender.exe','32');

 DeleteFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\coli-0.dll','32');

 DeleteFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\exma-1.dll','32');

 DeleteFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\libxml2.dll','32');

 DeleteFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\posh-0.dll','32');

 DeleteFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\tibe-2.dll','32');

 DeleteFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\trch-1.dll','32');

 DeleteFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\trfo-2.dll','32');

 DeleteFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\tucl-1.dll','32');

 DeleteFile('C:\Users\root\AppData\Local\Temp\csrss\smb\rzyxkSkqZZZCA\ucl.dll','32');

 DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64');

 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64');

 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FrostyMeadow','x32');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','FrostyMeadow','x64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloudNet','x64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FrostyMeadow','x64');

 DeleteFile('C:\Users\root\AppData\Roaming\WINDOW~1\helper.vbs','64');

 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^root^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^helper.lnk','x64');

 DeleteSchedulerTask('csrss');

 DeleteSchedulerTask('MRT');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

RebootWindows(true);

end.

 

Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ:

 

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 

end.

 

quarantine.zip из папки AVZ отправьте по адресу mike1@avp.su.

1. В заголовке письма напишите "Карантин".

2. В письме напишите ссылку на Вашу тему.

3. Прикрепите файл карантина и нажмите "Отправить"

 

Пофиксите следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

 

R3 - HKU\.DEFAULT\..\URLSearchHooks: (no name) -  - (no file)

R3 - HKU\.DEFAULT\..\URLSearchHooks: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

 

Установите обновление из этой https://forum.kasperskyclub.ru/index.php?showtopic=55543&page=1 темы. Это обязательно!

 

Сделайте новые логи Автологгером. 

 

[mhsk]

@mike 1, Пофиксил, логи прикрепил, на почту вам скинул.

 

CollectionLog-2018.12.05-11.53.zip

Изменено 5 декабря, 2018 пользователем mhsk

[mike 1]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.