Процесс dllhostex.exe. Четвертый лог

[Aleksey2501]

В продолжение..

Проблема с уничтожением процесса dllhostex и папки windows\networkdistribution\.KES циклически уничтожает вирус/перезагружает комп-р, но процесс раз за разом восстанавливает себя после перезагрузки. Лог 4го компьютера

CollectionLog-2019.03.29-13.38.zip

[thyrex]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 QuarantineFile('C:\Windows\system32\FunctionProtocolClient.dll','');
 QuarantineFile('C:\Windows\System32\dllhostex.exe','');
 DeleteFile('C:\Windows\System32\dllhostex.exe','32');
 DeleteFile('C:\Windows\system32\FunctionProtocolClient.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\FunctionProtocolClient\Parameters','ServiceDll','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Aleksey2501]

Результат загрузки
Файл сохранён как    190329_071413_quarantine_5c9dc5c5c7474.zip
Размер файла    65017
MD5    5558585902eb37e6f4f0aea6650e14d5

 

новый лог:

CollectionLog-2019.03.29-14.01.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Aleksey2501]

лог frst

Work_56.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-03-29 13:16 - 2019-03-29 14:17 - 000000000 ____D C:\Windows\NetworkDistribution
2013-01-29 05:20 - 2013-01-29 05:20 - 000248008 _____ (Ask.com) C:\Users\1\AppData\Local\Temp\AskSLib.dll
Shortcut: C:\Users\1\Documents\12\Рисунки экрана.lnk -> C:\WINDOWS\Installer\{A315C579-8E9C-4C39-B13F-CD31FE47F717}\ACDSee_Dsktp_Shtcut.exe (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Сканы договоров заказчик\2017\ЗАКАЗЧИК\заказчик - Ярлык.lnk -> F:\заказчик.pdf (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\1Ведомость канцелярия МБУК ЦБС Назаровского района 2014г. 85900.lnk -> F:\1Ведомость канцелярия МБУК ЦБС Назаровского района 2014г. 85900.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\Д О В Е Р Е Н Н О С Ть в налог..lnk -> E:\DataCustomerURM\Мои документы старый компьютер\доверенность\Д О В Е Р Е Н Н О С Ть в налог..doc (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\договора,мк\МК на услуги, исправл..lnk -> G:\МК на услуги, исправл..doc (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\договора,мк\Муниципальный Пичугина.lnk -> F:\Муниципальный Пичугина.docx (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\Гарантийн пис,устав\Zavod.lnk -> C:\zavod\Zavod.bat (No File)
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\Гарантийн пис,устав\АЦК - очистка временных файлов.lnk -> C:\client_R_2014\killcache.bat (No File)
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\Гарантийн пис,устав\Гарантийное письмо ЦБС 14год.LNK -> C:\Users\1\Desktop\Реквизиты учрежден,доверен.письма .уставы\Гарантийное письмо ЦБС 14год.doc (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\Гарантийн пис,устав\информация для Комаровой.lnk -> G:\администрация.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\Гарантийн пис,устав\Ярлык для Копия Пример заполнения форм.lnk -> G:\культура\Копия Пример заполнения форм.xlsx (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Реквизиты учрежден,доверен.письма .уставы\Гарантийн пис,устав\Ярлык для Пример заполнения форм.lnk -> G:\культура\Пример заполнения форм.xlsx (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\Ярлык для Output.lnk -> C:\Users\1\Desktop\РДКрасчет и отчет по СМП\Output.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\Ярлык для Фристайл.lnk -> F:\Фристайл.xlsm (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\Ярлык Фрист. для Output.lnk -> C:\Users\1\Desktop\ЦБС расчет и отчет по СМП\Output.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\Ярлык ЦБС для Output.lnk -> C:\Users\1\Desktop\отчет по 44-ФЗ\ЦБС расчет и отчет по СМП\Output.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\44-ФЗ 15г.(план-факт)\Ярлык (2) для 44-ФЗ ЦБС.lnk -> C:\WINDOWS\Temp\44-ФЗ ЦБС.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\44-ФЗ 15г.(план-факт)\Ярлык для 44-ФЗ РДК 15г..lnk -> C:\WINDOWS\Temp\44-ФЗ РДК 15г..xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\44-ФЗ 15г.(план-факт)\Ярлык для 44-ФЗ ЦБС часть 2.lnk -> C:\WINDOWS\Temp\44-ФЗ ЦБС часть 2.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\44-ФЗ 14г.(факт)\Ярлык для 44-ФЗ РДК 14год.lnk -> C:\WINDOWS\Temp\44-ФЗ РДК 14год.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\44-ФЗ 14г.(факт)\Ярлык для 44-ФЗ Фристайл 14г.lnk -> C:\WINDOWS\Temp\44-ФЗ Фристайл 14г.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\отчет по 44-ФЗ\44-ФЗ 14г.(факт)\Ярлык для 44-ФЗ ЦБС.lnk -> C:\WINDOWS\Temp\44-ФЗ ЦБС.xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Образ.счет,счф\счет  фактура выст.твор.кол.за март).lnk -> E:\DataCustomerURM\Мои документы старый компьютер\счет  фактура выст.твор.кол.за март).doc (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Доп.согл. по бюдж.учр.2017 г\Инфор(согл.граф.расш) террит.каз-во 14г\мониторинг РДК и ЦБС (Пыжанкова)\Копия Приложение 2-1 (1) РДК и ЦБС.lnk -> C:\Users\1\Documents\Downloads\Приложение 2-1 (1).xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Доп.согл. по бюдж.учр.2017 г\Инфор(согл.граф.расш) террит.каз-во 14г\мониторинг РДК и ЦБС (Пыжанкова)\Приложение 2-1 (1) РДК и ЦБС.lnk -> C:\Users\1\Documents\Downloads\Приложение 2-1 (1).xls (No File) <==== Cyrillic
Shortcut: C:\Users\1\Desktop\Разное\Акты вып.раб.для Жени,закупки для Жени\Сканы-извещ. РДК 17г\Сканы-извещ.РДК-Ростел\РДК-Ростел.л.3.lnk -> F:\0001.jpg (No File) <==== Cyrillic
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Aleksey2501]

готово

Fixlog.txt

[thyrex]

Проблема решена?

[Aleksey2501]

Обнаружений после авз-скрипта не было.

Большое спасибо что помогли.

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Aleksey2501]

лог:

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 29.03.2019 15:52:15
Path starting: C:\Users\1\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: user
VersionXML: 6.17is-28.03.2019
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 30.08.2017 08:54:00
Статус лицензии: Windows® 7, Ultimate edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [172.7 Гб] Занято: [52.2 Гб] Свободно: [120.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.19301
Контроль учётных записей пользователя включен (Уровень 2)
Автоматическое обновление отключено
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба работает
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Endpoint Security 10 для Windows (включен и обновлен)
---------------------------- [ Firewall_WMI ] -----------------------------
Kaspersky Endpoint Security 10 для Windows (отключен)
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Endpoint Security 10 для Windows (включен и обновлен)
Windows Defender (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Endpoint Security 10 для Windows v.10.2.1.23
Агент администрирования Kaspersky Security Center v.10.1.249
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 15.12 (x64 edition) v.15.12.00.0 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Foxit Reader v.5.3.1.606 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
K-Lite Mega Codec Pack 12.3.5 v.12.3.5 Внимание! Скачать обновления
TeamViewer 9 v.9.0.93332 Внимание! Скачать обновления
WinRAR 4.00 (32-разрядная) v.4.00.0 Внимание! Скачать обновления
TeamViewer 9 (TeamViewer9) - Служба работает
-------------------------------- [ Java ] ---------------------------------
Java 6 Update 30 v.6.0.300 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u201-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 32 ActiveX v.32.0.0.156
Adobe Flash Player 32 NPAPI v.32.0.0.156
Adobe Flash Player 32 PPAPI v.32.0.0.156
Adobe Acrobat Reader DC MUI v.15.009.20069 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.73.0.3683.86
Mozilla Firefox 47.0.2 (x86 ru) v.47.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 58.0.3135.118 v.58.0.3135.118 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Endpoint Security Service (AVP) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows\avp.exe v.10.2.1.23
C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\vapm.exe v.10.1.313.0
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------

 

[thyrex]

Выполните рекомендованное, и с этим компьютером закончим.

 

Пароль от RDP, если пользуетесь, меняйте на более сложный.

[Aleksey2501]

Хорошо.