kolyan8591 0 Опубликовано 3 января, 2019 Share Опубликовано 3 января, 2019 По всей видимости, майнер. Сам найти так и не смог, при открытии цп видно, что нагрузка 50% и резко падает CollectionLog-2019.01.03-21.55.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 3 января, 2019 Share Опубликовано 3 января, 2019 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\сомр\AppData\Local\Temp\csrss\scheduled.exe',''); QuarantineFile('C:\Users\сомр\AppData\Local\Temp\csrss\lsa64install.exe',''); QuarantineFile('C:\Users\сомр\AppData\Roaming\bo2xzonni1t\44220ixvro1.exe',''); QuarantineFile('C:\Users\сомр\AppData\Roaming\mll1tvhubf2\abbvmcvfbkx.exe',''); QuarantineFile('C:\Users\сомр\AppData\Roaming\dhd05xz033p\4n544atr45d.exe',''); QuarantineFile('C:\Users\сомр\AppData\Roaming\qxrxi1rvh5i\ryg3smxfgqj.exe',''); QuarantineFile('C:\Users\сомр\AppData\Roaming\4wsp4xpj2e1\ms2zrdvmkk3.exe',''); QuarantineFile('C:\Program Files (x86)\Common Files\Microsoft Shared\oykvgu.dll',''); SetServiceStart('WinmonProcessMonitor', 4); DeleteService('WinmonProcessMonitor'); SetServiceStart('WinmonFS', 4); DeleteService('WinmonFS'); SetServiceStart('Winmon', 4); DeleteService('Winmon'); SetServiceStart('CB487305D44D', 4); DeleteService('CB487305D44D'); SetServiceStart('WinDefender', 4); DeleteService('WinDefender'); QuarantineFile('C:\ProgramData\localNETService\localNETService.exe',''); DeleteService('localNETService'); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys',''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys',''); QuarantineFile('C:\Windows\CB487305D44D.sys',''); QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys',''); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\windows\windefender.exe',''); TerminateProcessByName('c:\users\сомр\appdata\local\temp\csrss\cloudnet.exe'); TerminateProcessByName('c:\windows\rss\csrss.exe'); QuarantineFile('c:\windows\rss\csrss.exe',''); QuarantineFile('c:\users\сомр\appdata\local\temp\csrss\cloudnet.exe',''); DeleteFile('c:\users\сомр\appdata\local\temp\csrss\cloudnet.exe','32'); DeleteFile('c:\windows\rss\csrss.exe','32'); DeleteFile('c:\windows\windefender.exe','32'); DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys','64'); DeleteFile('C:\Windows\CB487305D44D.sys','64'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64'); DeleteFile('C:\ProgramData\localNETService\localNETService.exe','64'); DeleteFile('C:\Program Files (x86)\Common Files\Microsoft Shared\oykvgu.dll','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\oykvgu\Parameters','ServiceDll','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','CloudNet','x64'); DeleteFile('C:\Users\сомр\AppData\Roaming\4wsp4xpj2e1\ms2zrdvmkk3.exe','64'); DeleteFile('C:\Users\сомр\AppData\Roaming\qxrxi1rvh5i\ryg3smxfgqj.exe','64'); DeleteFile('C:\Users\сомр\AppData\Roaming\dhd05xz033p\4n544atr45d.exe','64'); DeleteFile('C:\Users\сомр\AppData\Roaming\mll1tvhubf2\abbvmcvfbkx.exe','64'); DeleteFile('C:\Users\сомр\AppData\Roaming\bo2xzonni1t\44220ixvro1.exe','64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ATI','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloudNet','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\933480','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9062007','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2882881','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2707930','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\1402734','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FragrantPaper','x64'); DeleteFile('C:\Users\сомр\AppData\Local\Temp\csrss\lsa64install.exe','64'); DeleteSchedulerTask('lsa64'); DeleteSchedulerTask('ScheduledUpdate'); DeleteFile('C:\Users\сомр\AppData\Local\Temp\csrss\scheduled.exe','64'); DeleteSchedulerTask('{77A6EE90-9F7B-261B-528A-C63CA1CEEEDC}'); DeleteSchedulerTask('{B89F4090-38A6-2F4D-8851-FC33119479FB}'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
kolyan8591 0 Опубликовано 3 января, 2019 Автор Share Опубликовано 3 января, 2019 Загрузить архив с карантином не могу, выдает ошибку 413 на сайте, файл слишком большой. Логи ниже CollectionLog-2019.01.04-01.33.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 4 января, 2019 Share Опубликовано 4 января, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
kolyan8591 0 Опубликовано 4 января, 2019 Автор Share Опубликовано 4 января, 2019 Готово Архив ZIP - WinRAR.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 4 января, 2019 Share Опубликовано 4 января, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION GroupPolicy: Restriction - Windows Defender <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{1eb61500-2f94-41a8-8284-7fa6daf1f7f9} <==== ATTENTION (Restriction - IP) CHR HKLM-x32\...\Chrome\Extension: [lhemechcanjmilllmccjbjldonmnnjjj] - hxxps://clients2.google.com/service/update2/crx S3 cpuz140; \??\c:\windows\temp\cpuz140\cpuz140_x64.sys [X] U2 oykvgu; no ImagePath 2019-01-03 00:46 - 2019-01-04 01:18 - 000000000 ___HD C:\Windows\rss 2019-01-03 00:46 - 2019-01-04 01:14 - 000003172 _____ C:\Windows\System32\Tasks\csrss 2019-01-03 00:44 - 2019-01-04 01:16 - 000000000 ____D C:\Users\Все пользователи\localNETService 2019-01-03 00:44 - 2019-01-04 01:16 - 000000000 ____D C:\ProgramData\localNETService 2019-01-03 00:43 - 2019-01-03 00:43 - 000621928 _____ (VideoDriver) C:\Windows\CB487305D44D.sys 2019-01-03 01:00 - 2019-01-03 01:00 - 000000128 _____ () C:\ProgramData\appdata.dat 2019-01-03 00:54 - 2019-01-03 02:38 - 000000004 _____ () C:\ProgramData\lock.dat 2019-01-03 00:54 - 2019-01-03 00:54 - 000000008 _____ () C:\ProgramData\ts.dat 2019-01-03 01:00 - 2019-01-03 01:00 - 000000128 _____ () C:\Users\Все пользователи\appdata.dat 2019-01-03 00:54 - 2019-01-03 02:38 - 000000004 _____ () C:\Users\Все пользователи\lock.dat 2019-01-03 00:54 - 2019-01-03 00:54 - 000000008 _____ () C:\Users\Все пользователи\ts.dat C:\Windows\svchost.exe c:\users\сомр\appdata\local\temp\csrss Task: {3990681A-8556-4519-B72B-49AD203F201E} - \DriverScanner -> No File <==== ATTENTION Task: {3D8DCCC2-200D-48D5-B291-45FC4324A48E} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe <==== ATTENTION AlternateDataStreams: C:\Users\Public\AppData:CSM [476] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [470] FirewallRules: [{20CC22B0-9010-4B05-B198-F61E734083CD}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{21C4B015-6F20-49D4-A277-5C3BC4D57D09}] => (Allow) C:\Windows\rss\csrss.exe No File FirewallRules: [{5CABD973-1BBF-4950-94A7-DE8C5DD4D91B}] => (Allow) C:\Users\сомр\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File FirewallRules: [{69985D56-7083-49F5-B309-C0EF7BC59D34}] => (Allow) C:\Users\сомр\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File FirewallRules: [{842C6C82-2227-4AAD-A335-B74E2CD76BE6}] => (Allow) C:\Users\сомр\AppData\Local\Temp\csrss\lsa64.exe No File FirewallRules: [{24BDEE6C-BB9F-472D-ACE7-9BF3549F67A9}] => (Allow) C:\Users\сомр\AppData\Roaming\uTorrent\uTorrent.exe No File FirewallRules: [{A82D2A02-A834-4AFE-A412-A3BDED5AE6B2}] => (Allow) C:\Users\сомр\AppData\Roaming\uTorrent\uTorrent.exe No File File: C:\Windows\Reserve Service\daemon\service.exe Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
kolyan8591 0 Опубликовано 4 января, 2019 Автор Share Опубликовано 4 января, 2019 Готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 4 января, 2019 Share Опубликовано 4 января, 2019 Сделайте лог МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
kolyan8591 0 Опубликовано 4 января, 2019 Автор Share Опубликовано 4 января, 2019 Готово результаты.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 4 января, 2019 Share Опубликовано 4 января, 2019 Поместите в карантин МВАМ все найденное. Сделайте новые логи Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
kolyan8591 0 Опубликовано 4 января, 2019 Автор Share Опубликовано 4 января, 2019 Готово CollectionLog-2019.01.05-01.41.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 5 января, 2019 Share Опубликовано 5 января, 2019 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('CB487305D44D', 4); DeleteService('CB487305D44D'); QuarantineFile('C:\Windows\system32\ntkrnlmp.exe',''); QuarantineFile('C:\Windows\CB487305D44D.sys',''); DeleteFile('C:\Windows\CB487305D44D.sys','64'); DeleteFile('c:\windows\Fonts\svchost.exe','64'); RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64'); RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HR1PugIpla.exe','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
kolyan8591 0 Опубликовано 5 января, 2019 Автор Share Опубликовано 5 января, 2019 Логи вот. Карантин загрузить не могу, опять 413 ошибка, слишком большой запрос CollectionLog-2019.01.05-18.09.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 5 января, 2019 Share Опубликовано 5 января, 2019 Сделайте лог TDSSkiller Цитата Ссылка на сообщение Поделиться на другие сайты
kolyan8591 0 Опубликовано 5 января, 2019 Автор Share Опубликовано 5 января, 2019 Лог, в смысле, отчет по проверке? Если да, то вот он. Там 3 угрозы удалено, 1 в карантине Новый текстовый документ (2).txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.