Помощь в удалении вируса dllhostex.exe

[Sadomov.va]

Добрый день!

Касперский обнаруживает вирус в папке C:\Windows\System32\dllhostex.exe, в этом файле прописана установка соединения по https с конкретным IP.

Антивирус успешно удаляет этот файл, но после перезагрузки этот файл появляется снова.

Пытался использовать разные средства защиты, все они находят вирус, удаляют, но после ребута системы, он появляется снова.

Высылаю логи.

CollectionLog-2019.03.25-09.55.zip

Изменено 25 марта, 2019 пользователем Sadomov.va

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 QuarantineFile('C:\Windows\System32\dllhostex.exe','');
 DeleteFile('C:\Windows\System32\dllhostex.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','1','x32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

Сделайте лог TDSSkiller

[Sadomov.va]

Полученный ответ:

Файл сохранён как 190325_052637_quarantine_5c98668d32252.zip Размер файла 583328 MD5 f1eccfed9639cf34e04127af102a65d2

Логи также во вложении.

CollectionLog-2019.03.25-12.30.zip

tdsskiller.txt

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Sadomov.va]

Логи во вложении.

логи 2.7z

[thyrex]

Загрузитесь в БЕЗОПАСНОМ режиме

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
C:\Windows\System32\dllhostex.exe
HKU\S-1-5-21-3495407729-278462005-3922159149-1338\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2019-03-25 13:24 - 2019-03-25 13:25 - 000000000 _____ C:\Users\localadmin\Desktop\dllhostex.exe
ShellIconOverlayIdentifiers: [    YndCase0Sync] -> {63D48440-63AB-44D0-B323-4731DFCDE9E9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase1Modified] -> {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase2Error] -> {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} =>  -> No File
ShellIconOverlayIdentifiers: [    YndCase3Shared] -> {AF8D197E-7022-4c3d-BD88-68AD35C9C169} =>  -> No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Sadomov.va]

логи во вложении.

Fixlog.txt

[thyrex]

Знаки двоеточия в строчках кто за Вас копировать будет? Переделывайте выполнение скрипта

[Sadomov.va]

Извиняюсь, не заметил.

Fixlog.txt

[thyrex]

После перезагрузки вирус снова воскрес?

[Sadomov.va]

Да, после ребута появился заново.

[thyrex]

Попробуйте пока установить ВСЕ обновления для системы, включая MS17-010

 

Запустите TDSSkiller из командной строки так

TDSSkiller -qboot -qmbr

На диске С появится папка с карантином утилиты. Заархивируйте ее с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

[Sadomov.va]

 

Файл сохранён как

 

190326_072201_TDSSKiller_Quarantine_5c99d31945181.zip

 

Размер файла

 

346126

 

MD5

 

88ea2121a5bfafea237b77a4a9b12e3c

 

[thyrex]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы, загрузите лог на https://sendspace.com и сообщите ссылку на скачивание в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[Sadomov.va]

Ссылка на скачивание: https://www.sendspace.com/file/ttlzpj