sla7s 0 Опубликовано 27 марта, 2019 Share Опубликовано 27 марта, 2019 Здравствуйте. Касперский со вчерашнего дня стал находить в папке Windows/system32 файл dllhostex.exe и определять его как троян майнер. Также в папке Windows находит папку Networkdistribution, содержащую в себе кучу dll-к и 2 exe-шника: svchost.exe и spools.exe, определяя их как трояны. Проводилась полная проверка с лечением Касперским, avz, drweb_cureit, что-то находилось и успешно лечилось, но после перезагрузки все возвращается на круги своя. Помогите решить проблему. Логи прилагаю. CollectionLog-2019.03.27-14.33.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 27 марта, 2019 Share Опубликовано 27 марта, 2019 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы, загрузите лог на https://sendspace.com и сообщите ссылку на скачивание в теме. !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Подробнее читайте в руководстве Как подготовить лог UVS. Цитата Ссылка на сообщение Поделиться на другие сайты
sla7s 0 Опубликовано 27 марта, 2019 Автор Share Опубликовано 27 марта, 2019 сделано ссылка https://www.sendspace.com/file/szme7o Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 27 марта, 2019 Share Опубликовано 27 марта, 2019 Есть возможность загрузиться с какого-либо LiveCD\LiveUSB? Цитата Ссылка на сообщение Поделиться на другие сайты
sla7s 0 Опубликовано 27 марта, 2019 Автор Share Опубликовано 27 марта, 2019 да Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 27 марта, 2019 Share Опубликовано 27 марта, 2019 Тогда загрузитесь с него, запустите uVS с жесткого диска, и действуйте по инструкции https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/post-93043, начиная с п. 4 Полученный лог снова выложите на https://sendspace.com Цитата Ссылка на сообщение Поделиться на другие сайты
sla7s 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 сделано ссылка https://www.sendspace.com/file/cbe9h2 Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Попробуем для начала на живой системе побороть при обычной загрузке. Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C): ;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE zoo %Sys32%\APPLICATIONTIMESYSTEM.DLL zoo %Sys32%\DLLHOSTEX.EXE sreg del %Sys32%\APPLICATIONTIMESYSTEM.DLL delref %Sys32%\APPLICATIONTIMESYSTEM.DLL del zoo %Sys32%\DLLHOSTEX.EXE delref zoo %Sys32%\DLLHOSTEX.EXE apply czoo areg Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Будет выполнена перезагрузка компьютера. В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Полученный после загрузки ответ сообщите здесь. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
sla7s 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 ответ после загрузки: Файл сохранён как 190328_070523_ZOO_2019-03-28_13-34_5c9c72330a7ee.ZIP Размер файла 1735 MD5 795ada3438e079cd571f2bf4a4df00b9 лог: 2019-03-28_13-38-44_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Вредоносный процесс присутствует? Цитата Ссылка на сообщение Поделиться на другие сайты
sla7s 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 после перезагрузки папка Networkdistribution (содержит 58 файлов) и файл dllhostex.exe снова появляются, потом касперский прибивает файл и некоторые файлы из папки Networkdistribution, и далее все хорошо до следующей перезагрузки. Еще вопрос: в локальной сети есть несколько зараженных компьютеров. На каждый из них делать новую заявку или есть какое-то целевое решение? (проблема та же). Пока решили установками в свойствах папки и файла - полный запрет на любые действия с ними всем пользователям. Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Каждый компьютер в отдельную тему. И целесообразно установить на всех все доступные обновления для системы. 1. Скопируйте в Блокнот предложенный ниже скрипт, сохраните его на флешку под именем script.txt ;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv5.2 v400c OFFSGNSAVE zoo %Sys32%\FUNCTIONPROTOCOLSERVICE.DLL addsgn A7679B1928664D070E3C2BB464C8ED70357589FA768F1790343D3A43D3127D11E11BC302B5B9F749D495448F4706B68F7520FDCE45DBA0442473A4EF3813A263 32 Win32/Vools.L [ESET-NOD32] 7 chklst delvir delall %Sys32%\DLLHOSTEX.EXE czoo deltmp 2. Загрузитесь с LiveCD, запустите uVS с жесткого диска и далее следуйте инструкции https://safezone.cc/threads/kak-vypolnit-skript-universal-virus-sniffer-uvs.14509/post-93049, начиная с п. 5 3. В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Полученный после загрузки ответ сообщите здесь. 4. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, загрузите его на https://sendspace.com и пришлите ссылку на скачивание. Цитата Ссылка на сообщение Поделиться на другие сайты
sla7s 0 Опубликовано 28 марта, 2019 Автор Share Опубликовано 28 марта, 2019 Еще вопрос: на некоторые компьютеры (как раз на те, которые заражены майнером) некоторые обновления не ставятся ("Не удалось настроить обновления...."). Здесь, думаю, варианта 2: 1. параллельно с лечением накатывать обновления по одному, начиная с самого младшего. Правда, пока они накатываются, зловред может сильно активироваться. Обновы идут с сервера WSUS в домене. 2. формат С, предварительно скопировав важные документы в другое место. Если при этом варианте заново поставить виндовс и, не подключая компьютер к сети, накатить нижеупоминавшиеся обновления - 4012212 для win7 и 4012598 для ХР - в этом случае после подключения компьютера в сеть ему не грозит заражение майнером? Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 462 Опубликовано 28 марта, 2019 Share Опубликовано 28 марта, 2019 Не нужно ничего форматировать. Источник проблем с удалением с высокой долей вероятности найден. Только имя его на разных машинах может отличаться. И обновления накатывать можно постепенно. Сколько компьютеров в сети подвержено проблеме, и реально ли их на время лечения изолировать от остальных машин? Цитата Ссылка на сообщение Поделиться на другие сайты
sla7s 0 Опубликовано 29 марта, 2019 Автор Share Опубликовано 29 марта, 2019 ответ: Файл сохранён как 190329_075501_ZOO_2019-03-29_14-17-14_5c9dcf5577c87.zip Размер файла 47347 MD5 12c0da1602f293199df86c579764596c лог: https://www.sendspace.com/file/sbq8x1 Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.