Уничтожить dllhostex.exe Второй лог

[Aleksey2501]

,

Сегодня на нескольких машинах проявилась проблема с уничтожением процесса dllhostex и папки windows\networkdistribution\.

KES циклически уничтожает вирус/перезагружает комп-р, но процесс раз за разом восстанавливает себя после перезагрузки.

Помогите уничтожить.

логи второго компьютера

CollectionLog-2019.03.25-11.14.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Aleksey2501]

лог frst:

Work.zip

[thyrex]

(ATTENTION: The user is not administrator)

 

Переделывайте, дав учетке права администратора

[Aleksey2501]

переделал

frst.zip

[thyrex]

Если загрузиться в безопасном режиме, вредоносный процесс тоже обнаруживается?

[Aleksey2501]

Вроде бы нет, но в безопасном и сетевой активности без сет.карты нет. Хотя networkdistribution успевает как-то заполнится dll. Завтра попробую ещё поперезагружаться.

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
BHO: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
CHR HKU\S-1-5-21-2364975431-1213707830-1775260447-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [kmibfmmikhbomjcihhmfndldkolomdpm] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2364975431-1213707830-1775260447-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2364975431-1213707830-1775260447-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2364975431-1213707830-1775260447-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-2364975431-1213707830-1775260447-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] - hxxps://clients2.google.com/service/update2/crx
Folder: C:\Windows\NetworkDistribution
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Aleksey2501]

[iifchhfnnmpdbibifmljnfjhpififfog] это не "CryptoPro Extension for CAdES Browser Plug-in"? Он нужен для работы с электронными подписями.

Изменено 25 марта, 2019 пользователем Aleksey2501

[thyrex]

Ну удалите из скрипта, предварительно скопировав его куда-нибудь.

Хотя судя по другому логу

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\iifchhfnnmpdbibifmljnfjhpififfog]
"Path"=

 

[Aleksey2501]

Всё верно, эта строка отвечает за плагин Криптопро, после выполнения скрипта его нет в расширениях. Ладно, восстановить нетрудно.

Ещё, на этом комп-ре я переделывал NetworkDistribution в файл

После перезагрузки процесс dllhostex найден снова

Fixlog.txt

Изменено 26 марта, 2019 пользователем Aleksey2501

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\RemoteUpdateSystem.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

 

 

+ На этой машине тоже сделайте лог uVS, загрузившись с LiveCD

[Aleksey2501]

 Результат загрузки
Файл сохранён как    190329_034835_quarantine_5c9d95935cb72.zip
Размер файла    64611
MD5    bbe5d5f866a4dd4328947217a6f77838
 

лог uVS: https://www.sendspace.com/file/5caeal

[thyrex]

Пробуем убить стандартным способом.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteFile('c:\windows\system32\dllhostex.exe','32');
DeleteFile('c:\windows\system32\dllhostex.exe','64');
DeleteFile('C:\Windows\system32\RemoteUpdateSystem.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\RemoteUpdateSystem\Parameters','ServiceDll','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Aleksey2501]

новый лог