Aleksey2501 0 Опубликовано 27 марта, 2019 Автор Share Опубликовано 27 марта, 2019 готово, uVS запаковал лог сам https://www.sendspace.com/file/gtxnfq для AutorunsVTchecker воспользовался графической версией https://www.sendspace.com/file/lnrpxt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 27 марта, 2019 Share Опубликовано 27 марта, 2019 (изменено) Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C): ;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE icsuspend zoo %Sys32%\DLLHOSTEX.EXE addsgn 1A557F9A5583388CF42BFB3A88A212FA303E1EA789056A707AD6755E01D61945271703A82BCD7D182BD07B8A5AF418FA201CBDF9B95B5C082E77A445D0EE9F8C 8 Trojan.Win32.Miner.gen [Kaspersky] 7 chklst delvir delref %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE" delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE apply deltmp czoo restartЗапустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Будет выполнена перезагрузка компьютера. В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Полученный после загрузки ответ сообщите здесь. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению. Изменено 29 марта, 2019 пользователем thyrex убрал опасные команды Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 После скрипта перезагрузки не было и логи не создались. uVS закрылся, в его папке появился каталог ZOO с одним .txt DLLHOSTEX.EXE._F3099985885AB99C73B94B93B753AE9D2189F82A.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Есть возможность загрузиться с какого-либо LiveCD\LiveUSB? Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 Да, конечно Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Тогда загрузитесь с него, запустите uVS с жесткого диска, и действуйте по инструкции https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/post-93043, начиная с п. 4 Полученный лог снова выложите на https://sendspace.com Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 готово, https://www.sendspace.com/file/2n30l7 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 (изменено) 1. Скопируйте в Блокнот предложенный ниже скрипт, сохраните его на флешку под именем script.txt ;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE zoo %Sys32%\WINDOWSRPCHELPER.DLL addsgn A7679B1928664D070E3C2BB464C8ED70357589FA768F1790343D3A43D3127D11E11BC302B5B9F749D495448F4706B68F7520FDCE45DBA0442473A4EF3813A263 32 Win32/Vools.L [ESET-NOD32] 7 zoo %Sys32%\DLLHOSTEX.EXE addsgn 1A557F9A5583388CF42BFB3A88A212FA303E1EA789056A707AD6755E01D61945271703A82BCD7D182BD07B8A5AF418FA201CBDF9B95B5C082E77A445D0EE9F8C 8 Trojan.Win32.Miner.gen [Kaspersky] 7 chklst delvir delref %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE" delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARGAMEBROWSER.EXE delref %SystemDrive%\PROGRAM FILES\ZAXAR\ZAXARLOADER.EXE apply deltmp czoo 2. Загрузитесь с LiveCD, запустите uVS с жесткого диска и далее следуйте инструкции https://safezone.cc/threads/kak-vypolnit-skript-universal-virus-sniffer-uvs.14509/post-93049, начиная с п. 5 3. В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. 4. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, загрузите его на https://sendspace.com и пришлите ссылку на скачивание. Изменено 28 марта, 2019 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 29 марта, 2019 Автор Share Опубликовано 29 марта, 2019 После работы скрипта uVS запаковал 7zip архив, а virusinfo позволяет только zip, залил в сендспейс: https://www.sendspace.com/file/8zyc17 лог: https://www.sendspace.com/file/3v48rw Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 марта, 2019 Share Опубликовано 29 марта, 2019 Вредоносный процесс не появился? Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 29 марта, 2019 Автор Share Опубликовано 29 марта, 2019 Пока не было, windows\networkdistribution после последней загрузки не заполнялся снова, KES вычистил Trojan.Win32.Miner.gen из карантинов AVZ и uVS Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 марта, 2019 Share Опубликовано 29 марта, 2019 Папку windows\networkdistribution удалите вручную. Жду ответа во второй Вашей теме. + Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10); Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу; Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt; Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt; Процитируйте содержимое файла в своем следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
Aleksey2501 0 Опубликовано 29 марта, 2019 Автор Share Опубликовано 29 марта, 2019 текст лога: SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]WebSite: www.safezone.ccDateLog: 29.03.2019 11:05:00Path starting: C:\Users\Admin\AppData\Local\Temp\SecurityCheck\SecurityCheck.exeLog directory: C:\SecurityCheck\IsAdmin: TrueUser: AdminVersionXML: 6.17is-28.03.2019___________________________________________________________________________Windows 7(6.1.7601) Service Pack 1 (x86) Ultimate Lang: Russian(0419)Дата установки ОС: 19.12.2014 02:43:36Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.Режим загрузки: NormalБраузер по умолчанию: C:\Program Files\Mozilla Firefox\firefox.exeСистемный диск: C: ФС: [NTFS] Емкость: [201.8 Гб] Занято: [54.7 Гб] Свободно: [147.1 Гб]------------------------------- [ Windows ] -------------------------------Internet Explorer 11.0.9600.19301Контроль учётных записей пользователя включен (Уровень 3)Автоматическое обновление отключеноДата установки обновлений: 2019-03-27 03:31:16Центр обновления Windows (wuauserv) - Служба работаетЦентр обеспечения безопасности (wscsvc) - Служба работаетУдаленный реестр (RemoteRegistry) - Служба остановленаОбнаружение SSDP (SSDPSRV) - Служба работаетСлужбы удаленных рабочих столов (TermService) - Служба работаетСлужба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена------------------------------- [ HotFix ] --------------------------------HotFix KB3020369 Внимание! Скачать обновленияHotFix KB3125574 Внимание! Скачать обновленияHotFix KB4012212 Внимание! Скачать обновления------------------------------ [ MS Office ] ------------------------------Microsoft Office 2007 v.12.0.4518.1014---------------------------- [ Antivirus_WMI ] ----------------------------Kaspersky Endpoint Security 10 для Windows (включен и обновлен)---------------------------- [ Firewall_WMI ] -----------------------------Kaspersky Endpoint Security 10 для Windows (включен)--------------------------- [ AntiSpyware_WMI ] ---------------------------Kaspersky Endpoint Security 10 для Windows (включен и обновлен)Windows Defender (выключен и устарел)---------------------- [ AntiVirusFirewallInstall ] -----------------------Агент администрирования Kaspersky Security Center v.10.1.249Kaspersky Endpoint Security 10 для Windows v.10.2.1.23--------------------------- [ OtherUtilities ] ----------------------------Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOfficeFoxit Reader v.5.3.1.606 Внимание! Скачать обновления^Локализованные версии могут обновляться позже англоязычных!^TeamViewer 9 Host v.9.0.93332 Внимание! Скачать обновленияАрхиватор WinRAR Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновленияMicrosoft Office Access MUI (Russian) 2007 v.12.0.4804.1000 Данная программа больше не поддерживается разработчиком.TeamViewer 9 (TeamViewer9) - Служба работает-------------------------------- [ Java ] ---------------------------------Java 7 Update 60 v.7.0.600 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u201-windows-i586.exe).Java 6 Update 17 v.6.0.170 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u201-windows-i586.exe).--------------------------- [ AdobeProduction ] ---------------------------Adobe Flash Player 30 NPAPI v.30.0.0.154 Внимание! Скачать обновленияAdobe Flash Player 30 PPAPI v.30.0.0.154 Внимание! Скачать обновленияAdobe Acrobat Reader DC - Russian v.19.010.20098------------------------------- [ Browser ] -------------------------------Google Chrome v.73.0.3683.86Mozilla Firefox 35.0 (x86 ru) v.35.0 Внимание! Скачать обновления^Проверьте обновления через меню Справка - О Firefox!^Opera Stable 58.0.3135.118 v.58.0.3135.118 Внимание! Скачать обновления^Проверьте обновления через меню О программе!^Mozilla Firefox 43.0.1 (x86 ru) v.43.0.1 Внимание! Скачать обновления^Проверьте обновления через меню Справка - О Firefox!^----------------------------- [ EmailClient ] -----------------------------Mozilla Thunderbird 60.6.0 (x86 ru) v.60.6.0 Внимание! Скачать обновления------------------ [ AntivirusFirewallProcessServices ] -------------------Kaspersky Endpoint Security Service (avp) - Служба работаетC:\Program Files\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe v.10.2.1.23C:\Program Files\Kaspersky Lab\NetworkAgent\vapm.exe v.10.1.313.0Защитник Windows (WinDefend) - Служба остановлена---------------------------- [ UnwantedApps ] -----------------------------Adblock Pro v.1.2.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!----------------------------- [ End of Log ] ------------------------------ Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 29 марта, 2019 Share Опубликовано 29 марта, 2019 Выполните рекомендованное, и на этом закончим с данным компьютером. Цитата Ссылка на сообщение Поделиться на другие сайты
Razorv 0 Опубликовано 29 марта, 2019 Share Опубликовано 29 марта, 2019 Выполните рекомендованное, и на этом закончим с данным компьютером. Добрый день. Я так понимаю описанный выше метод применим только к данному компьютеру? У меня не получилось иправить ситуацию такими методами. Компьютер в итоге был убит пересозданием MBR. Но это не беда - у меня есть еще 5 машин с таким же вирусом. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.