Процесс dllhostex.exe. Третий лог

[Aleksey2501 0]

В продолжение..

Проблема с уничтожением процесса dllhostex и папки windows\networkdistribution\.KES циклически уничтожает вирус/перезагружает комп-р, но процесс раз за разом восстанавливает себя после перезагрузки. Лог 3го компьютера

CollectionLog-2019.03.29-12.38.zip

[Sandor 1 253]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 QuarantineFile('C:\Windows\System32\dllhostex.exe', '');
 QuarantineFile('C:\Windows\system32\RemoteNetBIOSEvent.dll', '');
 QuarantineFileF('C:\Windows\NetworkDistribution', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteFile('C:\Windows\System32\dllhostex.exe', '32');
 DeleteFile('C:\Windows\system32\RemoteNetBIOSEvent.dll', '64');
 DeleteFileMask('C:\Windows\NetworkDistribution', '*', true);
 DeleteDirectory('C:\Windows\NetworkDistribution');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\RemoteNetBIOSEvent\Parameters', 'ServiceDll', 'x64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено 29 марта, 2019 пользователем Sandor

[thyrex 1 468]

@Aleksey2501, пожалуйста, дублируйте отправку карантина и по ссылке https://virusinfo.info/upload_virus.php?tid=37678

[Aleksey2501 0]

Файл сохранён как

  190329_071206_quarantine_5c9dc546a911b.zip Размер файла 1804414 MD5 80970a7703f3b1e213622ca24e0a20e1

 

новый лог:

CollectionLog-2019.03.29-14.12.zip

[Sandor 1 253]

Папка не появилась?

[Aleksey2501 0]

нет, нету

 

KLAN-9823555628:

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
dllhostex.exe - HEUR:Trojan.Win32.Miner.gen

В антивирусных базах информация по присланным вами файлам отсутствует:
RemoteNetBIOSEvent.dll
libeay32.dll
libiconv-2.dll

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Изменено 29 марта, 2019 пользователем Aleksey2501

[Sandor 1 253]

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Aleksey2501 0]

лог::

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 29.03.2019 14:57:10
Path starting: C:\Users\Admin\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Admin
VersionXML: 5.94s-14.02.2019
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 17.08.2017 05:16:40
Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Opera\Launcher.exe
Системный диск: C: ФС: [NTFS] Емкость: [172.7 Гб] Занято: [36.4 Гб] Свободно: [136.3 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.16428 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 3)
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4486563 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2007 v.12.0.4518.1014
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Endpoint Security 10 для Windows (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Endpoint Security 10 для Windows (включен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Endpoint Security 10 для Windows v.10.2.1.23
Агент администрирования Kaspersky Security Center v.10.1.249
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 9.22 (x64 edition) v.9.22.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
7-Zip 15.12 (x64 edition) v.15.12.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft .NET Framework 4.6.1 (RUS) v.4.6.01055
Microsoft .NET Framework 4.6.1 v.4.6.01055
Microsoft .NET Framework 4.6.1 (Русский) v.4.6.01055
Foxit Reader v.5.3.1.606 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
TeamViewer 9 v.9.0.93332 Внимание! Скачать обновления
Архиватор WinRAR
Microsoft Office Standard 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online
TeamViewer 9 (TeamViewer9) - Служба работает
-------------------------------- [ Java ] ---------------------------------
Java 6 Update 30 v.6.0.300 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u201-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 20 ActiveX v.20.0.0.228 Внимание! Скачать обновления
Adobe Flash Player 20 NPAPI v.20.0.0.235 Внимание! Скачать обновления
Adobe Acrobat Reader DC MUI v.15.009.20069 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.73.0.3683.86 [+]
Mozilla Firefox 44.0 (x86 ru) v.44.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 35.0.2066.37 v.35.0.2066.37 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Endpoint Security Service (AVP) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe v.10.2.1.23
C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\vapm.exe v.10.1.313.0
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

 

[Sandor 1 253]

Обновляйте и исправляйте.

 

Рекомендации после удаления вредоносного ПО

[Aleksey2501 0]

Хорошо.

Спасибо за помощь!