Уничтожить dllhostex.exe

[Aleksey2501]

готово, uVS запаковал лог сам

https://www.sendspace.com/file/gtxnfq

для AutorunsVTchecker воспользовался графической версией

https://www.sendspace.com/file/lnrpxt

[thyrex]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
icsuspend
zoo %Sys32%\DLLHOSTEX.EXE
addsgn 1A557F9A5583388CF42BFB3A88A212FA303E1EA789056A707AD6755E01D61945271703A82BCD7D182BD07B8A5AF418FA201CBDF9B95B5C082E77A445D0EE9F8C 8 Trojan.Win32.Miner.gen [Kaspersky] 7
chklst
delvir

delref %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE"
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
apply
deltmp
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

Будет выполнена перезагрузка компьютера.

 

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению.

Изменено 29 марта, 2019 пользователем thyrex
убрал опасные команды

[Aleksey2501]

После скрипта перезагрузки не было и логи не создались. uVS закрылся, в его папке появился каталог ZOO с одним .txt

DLLHOSTEX.EXE._F3099985885AB99C73B94B93B753AE9D2189F82A.txt

[thyrex]

Есть возможность загрузиться с какого-либо LiveCD\LiveUSB?

[Aleksey2501]

Да, конечно

[thyrex]

Тогда загрузитесь с него, запустите uVS с жесткого диска, и действуйте по инструкции https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/post-93043, начиная с п. 4

Полученный лог снова выложите на https://sendspace.com

[Aleksey2501]

готово, https://www.sendspace.com/file/2n30l7

[thyrex]

1. Скопируйте в Блокнот предложенный ниже скрипт, сохраните его на флешку под именем script.txt

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
zoo %Sys32%\WINDOWSRPCHELPER.DLL
addsgn A7679B1928664D070E3C2BB464C8ED70357589FA768F1790343D3A43D3127D11E11BC302B5B9F749D495448F4706B68F7520FDCE45DBA0442473A4EF3813A263 32 Win32/Vools.L [ESET-NOD32] 7

zoo %Sys32%\DLLHOSTEX.EXE
addsgn 1A557F9A5583388CF42BFB3A88A212FA303E1EA789056A707AD6755E01D61945271703A82BCD7D182BD07B8A5AF418FA201CBDF9B95B5C082E77A445D0EE9F8C 8 Trojan.Win32.Miner.gen [Kaspersky] 7

chklst
delvir
delref %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE"
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE
delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE
apply

deltmp
czoo

2. Загрузитесь с LiveCD, запустите uVS с жесткого диска и далее следуйте инструкции https://safezone.cc/threads/kak-vypolnit-skript-universal-virus-sniffer-uvs.14509/post-93049, начиная с п. 5
 
3. В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите здесь.
 
4. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, загрузите его на https://sendspace.com и пришлите ссылку на скачивание.

Изменено 28 марта, 2019 пользователем regist

[Aleksey2501]

После работы скрипта uVS запаковал 7zip архив, а virusinfo позволяет только zip, залил в сендспейс: https://www.sendspace.com/file/8zyc17

лог: https://www.sendspace.com/file/3v48rw

[thyrex]

Вредоносный процесс не появился?

[Aleksey2501]

Пока не было, windows\networkdistribution после последней загрузки не заполнялся снова, KES вычистил Trojan.Win32.Miner.gen из карантинов AVZ и uVS

[thyrex]

Папку windows\networkdistribution удалите вручную.

 

Жду ответа во второй Вашей теме.

 

+ Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Aleksey2501]

текст лога:

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 29.03.2019 11:05:00
Path starting: C:\Users\Admin\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Admin
VersionXML: 6.17is-28.03.2019
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)
Дата установки ОС: 19.12.2014 02:43:36
Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exe
Системный диск: C: ФС: [NTFS] Емкость: [201.8 Гб] Занято: [54.7 Гб] Свободно: [147.1 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19301
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
Дата установки обновлений: 2019-03-27 03:31:16
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.4518.1014
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Endpoint Security 10 для Windows (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Endpoint Security 10 для Windows (включен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Endpoint Security 10 для Windows (включен и обновлен)
Windows Defender (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Агент администрирования Kaspersky Security Center v.10.1.249
Kaspersky Endpoint Security 10 для Windows v.10.2.1.23
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Foxit Reader v.5.3.1.606 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
TeamViewer 9 Host v.9.0.93332 Внимание! Скачать обновления
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
Microsoft Office Access MUI (Russian) 2007 v.12.0.4804.1000 Данная программа больше не поддерживается разработчиком.
TeamViewer 9 (TeamViewer9) - Служба работает
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 60 v.7.0.600 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u201-windows-i586.exe).
Java 6 Update 17 v.6.0.170 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u201-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 30 NPAPI v.30.0.0.154 Внимание! Скачать обновления
Adobe Flash Player 30 PPAPI v.30.0.0.154 Внимание! Скачать обновления
Adobe Acrobat Reader DC - Russian v.19.010.20098
------------------------------- [ Browser ] -------------------------------
Google Chrome v.73.0.3683.86
Mozilla Firefox 35.0 (x86 ru) v.35.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 58.0.3135.118 v.58.0.3135.118 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
----------------------------- [ EmailClient ] -----------------------------
Mozilla Thunderbird 60.6.0 (x86 ru) v.60.6.0 Внимание! Скачать обновления
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Endpoint Security Service (avp) - Служба работает
C:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe v.10.2.1.23
C:\Program Files\Kaspersky Lab\NetworkAgent\vapm.exe v.10.1.313.0
Защитник Windows (WinDefend) - Служба остановлена
---------------------------- [ UnwantedApps ] -----------------------------
Adblock Pro v.1.2.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
----------------------------- [ End of Log ] ------------------------------

 

[thyrex]

Выполните рекомендованное, и на этом закончим с данным компьютером.

[Razorv]

Выполните рекомендованное, и на этом закончим с данным компьютером.

Добрый день. Я так понимаю описанный выше метод применим только к данному компьютеру? У меня не получилось иправить ситуацию такими методами. Компьютер в итоге был убит пересозданием MBR. Но это не беда - у меня есть еще 5 машин с таким же вирусом.