Уничтожить dllhostex.exe

[Aleksey2501]

Добрый день,

Сегодня на нескольких машинах проявилась проблема с уничтожением процесса dllhostex и папки windows\networkdistribution\.

KES циклически уничтожает вирус/перезагружает комп-р, но процесс раз за разом восстанавливает себя после перезагрузки.

Помогите уничтожить.

логи прилагаю

CollectionLog-2019.03.25-11.14.zip

CollectionLog-2019.03.25-12.37.zip

[thyrex]

Скрипт написан по логам, созданным в 12:37. Вторые логи выложите в отдельную тему.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\system32\dllhostex.exe');
 QuarantineFile('c:\windows\system32\dllhostex.exe','');
 DeleteFile('c:\windows\system32\dllhostex.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

+ Сделайте лог TDSSkiller

[zmnz]

Борюсь с четверга с ним, накопал что эта штука устанавливает соединение с хостом coco.miniast.com по порту 443, пока позакрывал на роутере исходящие соединения к этому хосту, процесс перестал грузить системы. Кстати из папки  windows\networkdistribution работает процес svchost.exe, тоже неубиваемый. При удалении папки - она восстанавливается через сеть. Дело было в отсутствии обновлений MS17-010. Временно решил так: создал в папке WINDOWS\ 2 файла: NetworkDistribution и SoftwareDistribution, предварительно удалив каталоги. Но это все лирика, ждем правильного решения!

Изменено 25 марта, 2019 пользователем zmnz

[Aleksey2501]

После выполнения скрипта и перезагрузки KES снова нашёл заразу..

 

Результат загрузки
Файл сохранён как    190325_070559_quarantine_5c987dd7c4256.zip
Размер файла    597316
MD5    9ff0f38afd8f8e2dad3a4498fa2afd3f

 

 

 

CollectionLog-2019.03.25-14.44.zip

TDSSKiller.3.1.0.26_25.03.2019_14.20.04_log.txt

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Aleksey2501]

логи frst:

Work.zip

[thyrex]

И здесь переделывайте в учетке с правами администратора

[Aleksey2501]

Здесь "администратор" был.. для уверенности сменил учётку и переделал

frst_37.zip

[thyrex]

Time tasks удалите через Установку программ.

 

 

Загрузитесь в БЕЗОПАСНОМ режиме

 

1. Выделите следующий код:

Start::
CreateRestorePoint:
C:\Windows\System32\dllhostex.exe
Toolbar: HKU\S-1-5-21-3854512391-460519351-2575165851-500 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
2015-04-16 14:23 - 2015-04-16 14:23 - 000004608 _____ () C:\Users\Администратор\AppData\Local\Temp\cppsro1g.dll
2015-04-16 14:25 - 2015-04-16 14:25 - 000004608 _____ () C:\Users\Администратор\AppData\Local\Temp\fkzclhe0.dll
2016-03-16 04:14 - 2016-03-16 04:14 - 000289232 _____ () C:\Users\Администратор\AppData\Local\Temp\png3.exe
Task: {C99CAA41-CA73-4C47-BAB3-4F521940E0E4} - \RotatorCom -> No File <==== ATTENTION
FirewallRules: [{EA473876-18B5-440B-9011-53709FAC23A1}] => (Allow) C:\Users\Администратор\AppData\Local\Temp\7zSAE5C.tmp\SymNRT.exe No File
FirewallRules: [{33A8A4A7-1366-46F0-861D-48DC70330FAC}] => (Allow) C:\Users\Администратор\AppData\Local\Temp\7zSAE5C.tmp\SymNRT.exe No File
Folder: C:\Windows\NetworkDistribution
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Aleksey2501]

После перезагрузки KES снова нашёл dllhostex

лог:

Fixlog.txt

Изменено 26 марта, 2019 пользователем Aleksey2501

[thyrex]

Попробуйте пока установить ВСЕ обновления для системы, включая MS17-010.

 

Запустите TDSSkiller из командной строки так

TDSSkiller -qboot -qmbr

На диске С появится папка с карантином утилиты. Заархивируйте ее с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

[Aleksey2501]

Результат загрузки
Файл сохранён как    190326_052105_TDSSKiller_Quarantine_5c99b6c17ad56.zip
Размер файла    191334
MD5    9a75cf883c5ee8c4d44de58484f95f7c

[thyrex]

Продублируйте этот архив, выложив его на https://sendspace.com и прислав ссылку на загрузку мне в ЛС

[Aleksey2501]

Установил MS17-010, затем обновления безопасности, пока центр обновлений не иссяк (на сегодняшний день). После процедуры лечения с перезагрузкой от KES dllhostex появляется снова..

[thyrex]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы, загрузите лог на https://sendspace.com и сообщите ссылку на скачивание в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.