dllhostex.exe не удаляется

[sla7s]

Здравствуйте.

Касперский со вчерашнего дня стал находить в папке Windows/system32 файл dllhostex.exe и определять его как троян майнер. Также в папке Windows находит папку Networkdistribution, содержащую в себе кучу dll-к и 2 exe-шника: svchost.exe и spools.exe, определяя их как трояны. Проводилась полная проверка с лечением Касперским, avz, drweb_cureit, что-то находилось и успешно лечилось, но после перезагрузки все возвращается на круги своя.

Помогите решить проблему. Логи прилагаю.

 

CollectionLog-2019.03.27-14.33.zip

[thyrex]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы, загрузите лог на https://sendspace.com и сообщите ссылку на скачивание в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

[sla7s]

сделано

ссылка https://www.sendspace.com/file/szme7o

[thyrex]

Есть возможность загрузиться с какого-либо LiveCD\LiveUSB?

[sla7s]

да

[thyrex]

Тогда загрузитесь с него, запустите uVS с жесткого диска, и действуйте по инструкции https://safezone.cc/threads/kak-podgotovit-log-universal-virus-sniffer-uvs.14508/post-93043, начиная с п. 4

Полученный лог снова выложите на https://sendspace.com

[sla7s]

сделано

ссылка https://www.sendspace.com/file/cbe9h2

[thyrex]

Попробуем для начала на живой системе побороть при обычной загрузке.

 

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE

zoo %Sys32%\APPLICATIONTIMESYSTEM.DLL
zoo %Sys32%\DLLHOSTEX.EXE

sreg

del %Sys32%\APPLICATIONTIMESYSTEM.DLL
delref %Sys32%\APPLICATIONTIMESYSTEM.DLL
del zoo %Sys32%\DLLHOSTEX.EXE
delref zoo %Sys32%\DLLHOSTEX.EXE

apply
czoo
areg

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

Будет выполнена перезагрузка компьютера.

 

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к следующему своему сообщению.

[sla7s]

ответ после загрузки:

Файл сохранён как 190328_070523_ZOO_2019-03-28_13-34_5c9c72330a7ee.ZIP Размер файла 1735 MD5 795ada3438e079cd571f2bf4a4df00b9

лог:

2019-03-28_13-38-44_log.txt

[thyrex]

Вредоносный процесс присутствует?

[sla7s]

после перезагрузки папка Networkdistribution (содержит 58 файлов) и файл dllhostex.exe снова появляются, потом касперский прибивает файл и некоторые файлы из папки Networkdistribution, и далее все хорошо до следующей перезагрузки.

Еще вопрос: в локальной сети есть несколько зараженных компьютеров. На каждый из них делать новую заявку или есть какое-то целевое решение? (проблема та же).

Пока решили установками в свойствах папки и файла - полный запрет на любые действия с ними всем пользователям.

[thyrex]

Каждый компьютер в отдельную тему. И целесообразно установить на всех все доступные обновления для системы.

 

1. Скопируйте в Блокнот предложенный ниже скрипт, сохраните его на флешку под именем script.txt

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v400c
OFFSGNSAVE
zoo %Sys32%\FUNCTIONPROTOCOLSERVICE.DLL
addsgn A7679B1928664D070E3C2BB464C8ED70357589FA768F1790343D3A43D3127D11E11BC302B5B9F749D495448F4706B68F7520FDCE45DBA0442473A4EF3813A263 32 Win32/Vools.L [ESET-NOD32] 7

chklst
delvir

delall %Sys32%\DLLHOSTEX.EXE

czoo
deltmp

2. Загрузитесь с LiveCD, запустите uVS с жесткого диска и далее следуйте инструкции https://safezone.cc/threads/kak-vypolnit-skript-universal-virus-sniffer-uvs.14509/post-93049, начиная с п. 5

 

3. В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, загрузите его по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

4. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, загрузите его на https://sendspace.com и пришлите ссылку на скачивание.

[sla7s]

Еще вопрос: на некоторые компьютеры (как раз на те, которые заражены майнером) некоторые обновления не ставятся ("Не удалось настроить обновления....").

Здесь, думаю, варианта 2:

1. параллельно с лечением накатывать обновления по одному, начиная с самого младшего. Правда, пока они накатываются, зловред может сильно активироваться. Обновы идут с сервера WSUS в домене.

2. формат С, предварительно скопировав важные документы в другое место. Если при этом варианте заново поставить виндовс и, не подключая компьютер к сети, накатить нижеупоминавшиеся обновления - 4012212 для win7 и 4012598 для ХР - в этом случае после подключения компьютера в сеть ему не грозит заражение майнером?

[thyrex]

Не нужно ничего форматировать. Источник проблем с удалением с высокой долей вероятности найден.

Только имя его на разных машинах может отличаться. И обновления накатывать можно постепенно.

 

Сколько компьютеров в сети подвержено проблеме, и реально ли их на время лечения изолировать от остальных машин?

[sla7s]

ответ: 

Файл сохранён как 190329_075501_ZOO_2019-03-29_14-17-14_5c9dcf5577c87.zip Размер файла 47347 MD5

12c0da1602f293199df86c579764596c

 

лог: https://www.sendspace.com/file/sbq8x1