regist 617 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 @_Rom, понаблюдайте, что с проблемой. + Проверьте этот файл на virustotal C:\WINDOWS\SYSWOW64\REGSEARCH.DLLкнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 7 декабря, 2018 Автор Share Опубликовано 7 декабря, 2018 conhost.exe - остался. к пк нельзя получить доступ по протоколу smb https://www.virustotal.com/ru/file/09c88acf9bf005b5b4fb12259b14371c054a9c42deee6db36b7213271de39874/analysis/1544161406/ Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 декабря, 2018 Share Опубликовано 7 декабря, 2018 @_Rom, свежий образ автозапуска сделайте. Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 7 декабря, 2018 Автор Share Опубликовано 7 декабря, 2018 вот SERVER_2018-12-07_12-59-17_v4.1.2.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 декабря, 2018 Share Опубликовано 7 декабря, 2018 1) На всякий случай проверьте эти файлы на virustotal C:\WINDOWS\SYSWOW64\CRTSLV.DLL C:\WINDOWS\SYSWOW64\CRVIEWERX.DLL C:\WINDOWS\SYSWOW64\EXPORTMODELLER.DLL C:\WINDOWS\SYSWOW64\FREXTENSION2.DLL C:\WINDOWS\SYSWOW64\REGTRANS.DLL C:\WINDOWS\SYSWOW64\ETFONDSRV.DLL C:\WINDOWS\SYSWOW64\HICLGRID.OCXкнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме. 2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.0 v400c BREG delref HTTP://JS.FTP0930.HOST:280/V.SCT zoo %SystemRoot%\DEBUG\LSMOSE.EXE bl 0C17491CBA1062BE447C0076EBF47896 5929472 addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.Win64.Miner.jlm [Kaspersky] 7 zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL bl 3F5363C475177E62AC64309785754C9D 10135552 addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 64 Win64.BitCoinMiner.irwy [Kaspersky] 7 zoo %SystemRoot%\DEBUG\ITEM.DAT bl 5506F673EB568897B1DB7C06EB4E761A 2359296 addsgn 19E477AA516A4C720BD4CE5964C81205780B11E689FA1FF968ABC32D505CF5680B17C357BEAD9C46AF87849F46777A3A3D1DE472BCDEB02C2D30AEEF9EBE4A75 64 Trojan.Win32.DiskWriter.gen [Kaspersky] 7 zoo %SystemRoot%\TEMP\CONHOST.EXE bl DB0E205613407C4E260BCB585270D8CD 782848 addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7 chklst delvir ;---------command-block--------- delref %SystemDrive%\USERS\9335~1\APPDATA\LOCAL\TEMP\ATICDSDR.SYS apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN). 3) Проверьте систему с помощью Kaspersky Virus Removal Tool. Результат сообщите. Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 7 декабря, 2018 Автор Share Опубликовано 7 декабря, 2018 (изменено) 1) https://www.virustotal.com/ru/file/0b39b442e27645f8dc54d0a724fff883d3db42e2ce33992216863bc1a7436a78/analysis/1544187097/ https://www.virustotal.com/ru/file/e3b3e0ee3f0e03c8f24ecdee2689026beab4dfb7a8633073c429ac253506a38d/analysis/1544187165/ https://www.virustotal.com/ru/file/21d6b9321ac86dc68505d6be546f9f4858ef7ead4f3313ddf1cd8d547235069a/analysis/1544187248/ https://www.virustotal.com/ru/file/62593f0cf8b12baf9e077d6f0c47214b625296b481d42275c0ef83dfbf71c133/analysis/1544187354/ https://www.virustotal.com/ru/file/8c5acc6577d325d759d72c19952000d0c7e7a1da69ed64b9e91d17037442ae41/analysis/1544187395/ https://www.virustotal.com/ru/file/175bb5e1ea90865435ba4e35af1c11c11734ce136a01e56a8b391e58ef137eeb/analysis/1544187510/ https://www.virustotal.com/ru/file/3bd2770708bae412d0f0cd9ff15f0942485a61612616f968d1e61e2e52e9e193/analysis/1544187640/ 2) Скрипт выполнил. Архив отправил, KLAN-9235243643 В следующих файлах обнаружен вредоносный код:CONHOST.EXE._5382188BCBEB66B40BDCD8AE618561F9A2FF1464 - Trojan.Win64.Miner.ijcВ антивирусных базах информация по присланным вами файлам отсутствует:CONHOST.EXE._5382188BCBEB66B40BDCD8AE618561F9A2FF1464.txtФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. 3) Результат проверки KVRT: Trojan.Multi.GenAutorunReg.a Системная память Троянская программа -------------------------------------------------------- not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen Файл: C:\Windows\SysWOW64\drivers\vdm4mtg5.sys Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя MD5: 8698843A69A239FF023AEC6CAF3939CC SHA256: 8680259309E2D54B51292637761EEAF40FE74907F9085A2560E33F21DAFF08BD -------------------------------------------------------- Trojan.Win64.Miner.ijc Файл: C:\Windows\Temp\conhost.exe Троянская программа MD5: DB0E205613407C4E260BCB585270D8CD SHA256: 1169576411670C9305B921D2C2C1500EBBAE0158FB9CC3E43A5042237A3D00D9 -------------------------------------------------------- HEUR:Trojan.Win32.DiskWriter.gen Файл: C:\Windows\Debug\item.dat Троянская программа MD5: 5506F673EB568897B1DB7C06EB4E761A SHA256: AE161E582DE9EC380B3E0B295EFFD62EB8889AC35BC6631A9492CF41563ED14A -------------------------------------------------------- Trojan.Win64.Miner.jlm Файл: C:\Windows\Debug\lsmose.exe Троянская программа MD5: 0C17491CBA1062BE447C0076EBF47896 SHA256: EAEF82223EEB8CF404A1D46613D36B9E582304B215201B5E557DB578DD73E04E -------------------------------------------------------- not-a-virus:RiskTool.Win64.BitCoinMiner.irwy Файл: C:\Windows\Debug\xmrstak_cuda_backend.dll Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя MD5: 3F5363C475177E62AC64309785754C9D SHA256: A6FA12FEC1BA2D857E6B956117C533E3A711035AE1940D2111AAA0F4D4920FB1 KVRT проверил, пролечил (удалил). После перезагрузки в процессах опять висит conhost.exe Изменено 7 декабря, 2018 пользователем _Rom Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 7 декабря, 2018 Share Опубликовано 7 декабря, 2018 @_Rom, какой-нибудь Live CD/USB у вас есть? + Загрузите GMER по одной из указанных ссылок:Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку) Временно отключите драйверы эмуляторов дисков. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши). Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No. Из всех дисков оставьте отмеченным только системный диск (обычно C:\) Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Подробную инструкцию читайте в руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.