Вирус conhost.exe TODO: <文件说明> создающий файлы mysa1/2/3ok

[Werero]

Попытался загрузить с диска, ничего не произошло, черный экран

Бесконечная попытка запустить пк и все

[regist]

@Werero, пока диск отложите, может уже и не понадобится.
Скачайте эту версию TDSSKiller-а, просканируйте и пролечите им найденное. Отчет его работы потом прикрепите.

[Werero]

Вот что после него осталось
И conhost.exe он не нашел

TDSSKiller.3.1.0.26_16.01.2019_17.53.03_log.txt

TDSSKiller.3.1.0.26_16.01.2019_17.56.52_log.txt

[regist]

Отлично, сделайте теперь свежий лог uVS.

[Werero]

Вот

ВОВА-ПК_2019-01-16_19-23-04_v4.1.2.7z

[regist]

1) Удалите остатки MBAM с помощью http://downloads.malwarebytes.org/file/mbam_clean

2) выполните скрипт uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref S.DAT
delref HTTP://173.208.139.170/2.TXT
delref HTTP://35.182.171.137/3.TXT
delref HTTP://JS.1226BYE.XYZ:280/V.SCT
delref HTTP://WMI.1217BYE.HOST/1.TXT
delref A.EXE
delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref S.RAR
delref S&C:\WINDOWS\UPDATE.EXE
delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
delref %Sys32%\DRIVERS\93144070.SYS
delref %Sys32%\DRIVERS\97006948.SYS
delref %Sys32%\DRIVERS\14455910.SYS
apply

czoo
restart
 

3) Ещё раз просканируйте с помощью TDSSKiller-а, свежий лог прикрепите.

4) Сделайте и прикрепите свежий лог uVS.

+ Auslogics Disk Defrag, Auslogics Registry Defrag - советую деинсталировать.

[Werero]

Сделал
И удалил Auslogics Disk Defrag, Auslogics Registry Defrag, но что с ними не так? Просто интересно, я люблю подобным якобы чистить пк (хотя бы делать вид)

ВОВА-ПК_2019-01-16_21-33-54_v4.1.2.7z

TDSSKiller.3.1.0.26_16.01.2019_21.27.25_log.txt

TDSSKiller.3.1.0.26_16.01.2019_21.30.03_log.txt

[regist]

 

 

удалил Auslogics Disk Defrag, Auslogics Registry Defrag, но что с ними не так?

относятся к PUP - то есть Потенциально Нежелательным Программам. Странно, что MBAM у вас на них не ругался.

 

 

 

1) Удалите остатки MBAM с помощью http://downloads.mal...file/mbam_clean

так и сделали. Сделайте это.

Затем сохраните скрипт uVS на компьютере в текстовый файл. Отключитесь от интернета и выполните заново написанное в предыдущем посте.

[Werero]

Я удалил остатки MBAM, мне заново запустить скрипт, отключить интернет и снова делать TDSSKiller, uVS?

[regist]

 

 

мне заново запустить скрипт, отключить интернет и снова делать TDSSKiller, uVS?

да, с той лишь поправкой, что сначала отключить интернет, а потом выполнить скрипт. А то при подключённом интернете зараза похоже успевает себя выкачать заново и заразить.

[Werero]

Отключил интернет, выполнил скрипт, включил и все сделал

TDSSKiller.3.1.0.26_17.01.2019_12.49.58_log.txt

ВОВА-ПК_2019-01-17_12-51-48_v4.1.2.7z

[regist]

@Werero, похоже наконец вылечили. Хвосты от MBAM только до сих пор остались. Чтобы зачистить выполнить скрипт в uVS

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
zoo %Sys32%\DRIVERS\MBAMCHAMELEON.SYS
delall %Sys32%\DRIVERS\MBAMCHAMELEON.SYS
zoo %Sys32%\DRIVERS\MBAMSWISSARMY.SYS
delall %Sys32%\DRIVERS\MBAMSWISSARMY.SYS
delref %Sys32%\DRIVERS\02135430.SYS
apply

czoo
restart

+ обязательно поставьте SP1 и обновления безопасности. Если бы у вас хотя бы сервис пак стоял, то столько мучаться с вами не пришлось бы.

 

+

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[Werero]

Значит вирус удален? Но conhost.exe остался
Пытался установить SP1, неудачно, надпись "продолжение установки невозможно, отсутствует один или несколько системных компонентов, необходимых для пакета обновления"

Изменено 17 января, 2019 пользователем Werero

[regist]

Значит вирус удален?

да.

Но conhost.exe остался

как это проявляется? По последним логам его не увидел.

Соберите на всякий случай ещё раз логи Автологером.

[Werero]

Он все так же находится в c:\windows\temp\conhost.exe
 

CollectionLog-2019.01.17-20.31.zip