NetworkDistribution + DLLHOSTEX.EXE

[ler0i]

Доброго времени суток. NetworkDistribution + DLLHOSTEX.EXE. Все как обычно, удаляешь после ребута снова появляется

Лог

CollectionLog-2019.11.19-14.14.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\mssecsvc.exe');
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 StopService('mssecsvc2.0');
 QuarantineFile('C:\Users\Nettop\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cash.bat', '');
 QuarantineFile('c:\windows\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\System32\dllhostex.exe', '');
 QuarantineFile('C:\Windows\tasksche.exe', '');
 DeleteFile('c:\windows\mssecsvc.exe', '');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('C:\Windows\System32\dllhostex.exe', '32');
 DeleteFile('C:\Windows\tasksche.exe', '');
 DeleteService('mssecsvc2.0');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[ler0i]

После перезагрузки снова появился

CollectionLog-2019.11.20-13.49.zip

[Sandor]

Программу LiteManager Pro устанавливали самостоятельно?

 

Антивирус надо бы обновить до актуальной версии.

Проверим уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[thyrex]

Обязательно сделать перед выполнением рекомендаций из сообщения №4!

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Windows\system32\ApplicationProtocolSystem.dll','');
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 DeleteFile('C:\Windows\System32\dllhostex.exe','32');
 DeleteFile('C:\Windows\system32\ApplicationProtocolSystem.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\ApplicationProtocolSystem\Parameters','ServiceDll','x64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.