Aleksey2501 0 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Добрый день, Сегодня на нескольких машинах проявилась проблема с уничтожением процесса dllhostex и папки windows\networkdistribution\. KES циклически уничтожает вирус/перезагружает комп-р, но процесс раз за разом восстанавливает себя после перезагрузки. Помогите уничтожить. логи прилагаю CollectionLog-2019.03.25-11.14.zip CollectionLog-2019.03.25-12.37.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Скрипт написан по логам, созданным в 12:37. Вторые логи выложите в отдельную тему. Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\windows\system32\dllhostex.exe'); QuarantineFile('c:\windows\system32\dllhostex.exe',''); DeleteFile('c:\windows\system32\dllhostex.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. + Сделайте лог TDSSkiller Цитата Ссылка на сообщение Поделиться на другие сайты
zmnz 0 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 (изменено) Борюсь с четверга с ним, накопал что эта штука устанавливает соединение с хостом coco.miniast.com по порту 443, пока позакрывал на роутере исходящие соединения к этому хосту, процесс перестал грузить системы. Кстати из папки windows\networkdistribution работает процес svchost.exe, тоже неубиваемый. При удалении папки - она восстанавливается через сеть. Дело было в отсутствии обновлений MS17-010. Временно решил так: создал в папке WINDOWS\ 2 файла: NetworkDistribution и SoftwareDistribution, предварительно удалив каталоги. Но это все лирика, ждем правильного решения! Изменено 25 марта, 2019 пользователем zmnz Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 После выполнения скрипта и перезагрузки KES снова нашёл заразу.. Результат загрузкиФайл сохранён как 190325_070559_quarantine_5c987dd7c4256.zipРазмер файла 597316MD5 9ff0f38afd8f8e2dad3a4498fa2afd3f CollectionLog-2019.03.25-14.44.zip TDSSKiller.3.1.0.26_25.03.2019_14.20.04_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 логи frst: Work.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 И здесь переделывайте в учетке с правами администратора Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 25 марта, 2019 Автор Share Опубликовано 25 марта, 2019 Здесь "администратор" был.. для уверенности сменил учётку и переделал frst_37.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 25 марта, 2019 Share Опубликовано 25 марта, 2019 Time tasks удалите через Установку программ. Загрузитесь в БЕЗОПАСНОМ режиме 1. Выделите следующий код: Start:: CreateRestorePoint: C:\Windows\System32\dllhostex.exe Toolbar: HKU\S-1-5-21-3854512391-460519351-2575165851-500 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx 2015-04-16 14:23 - 2015-04-16 14:23 - 000004608 _____ () C:\Users\Администратор\AppData\Local\Temp\cppsro1g.dll 2015-04-16 14:25 - 2015-04-16 14:25 - 000004608 _____ () C:\Users\Администратор\AppData\Local\Temp\fkzclhe0.dll 2016-03-16 04:14 - 2016-03-16 04:14 - 000289232 _____ () C:\Users\Администратор\AppData\Local\Temp\png3.exe Task: {C99CAA41-CA73-4C47-BAB3-4F521940E0E4} - \RotatorCom -> No File <==== ATTENTION FirewallRules: [{EA473876-18B5-440B-9011-53709FAC23A1}] => (Allow) C:\Users\Администратор\AppData\Local\Temp\7zSAE5C.tmp\SymNRT.exe No File FirewallRules: [{33A8A4A7-1366-46F0-861D-48DC70330FAC}] => (Allow) C:\Users\Администратор\AppData\Local\Temp\7zSAE5C.tmp\SymNRT.exe No File Folder: C:\Windows\NetworkDistribution Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 26 марта, 2019 Автор Share Опубликовано 26 марта, 2019 (изменено) После перезагрузки KES снова нашёл dllhostex лог: Fixlog.txt Изменено 26 марта, 2019 пользователем Aleksey2501 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 марта, 2019 Share Опубликовано 26 марта, 2019 Попробуйте пока установить ВСЕ обновления для системы, включая MS17-010. Запустите TDSSkiller из командной строки так TDSSkiller -qboot -qmbrНа диске С появится папка с карантином утилиты. Заархивируйте ее с паролем virus (в имени архива не должно быть символов кириллицы) и пришлите по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 26 марта, 2019 Автор Share Опубликовано 26 марта, 2019 Результат загрузкиФайл сохранён как 190326_052105_TDSSKiller_Quarantine_5c99b6c17ad56.zipРазмер файла 191334MD5 9a75cf883c5ee8c4d44de58484f95f7c Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 26 марта, 2019 Share Опубликовано 26 марта, 2019 Продублируйте этот архив, выложив его на https://sendspace.com и прислав ссылку на загрузку мне в ЛС Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 27 марта, 2019 Автор Share Опубликовано 27 марта, 2019 Установил MS17-010, затем обновления безопасности, пока центр обновлений не иссяк (на сегодняшний день). После процедуры лечения с перезагрузкой от KES dllhostex появляется снова.. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 марта, 2019 Share Опубликовано 27 марта, 2019 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы, загрузите лог на https://sendspace.com и сообщите ссылку на скачивание в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.