Winmon.sys, winmonfs.sys и другие заразили мой ноутбук

[Nowham]

Вот что обнаружило, все остальное что оно найшло , лежит в папке з карантином.

Нажал в конце кнопку нейтрализовать все.

Если нужно скинуть логи, то где лежит файл?

Изменено 2 апреля, 2020 пользователем Nowham

[Sandor]

Папку C:\KVRT_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.

[Nowham]

Reports.zip

[SQ]

В логах фигурировал путь:

C:\Users\asus\AppData\Local\Temp\csrss\smb\sc.bin

Мы лечили следующий:

C:\Users\asus.asus-ПК\AppData\Local\Temp\csrss\smb\sc.bin

Уточните пожалуйста у Вас два пользователя Asus (например локальный и доменный)?

Уточните пожалуйста у Вас прямой доступ в интернет или через роутер?

Уточните пожалуйста, что с проблемой?

[Nowham]

1. В папке C:\Users\asus.asus-ПК\   лежат все мои файлы и как я понимаю это тот пользователь , под которым я сижу

А второй asus возможно был создан при переустановке Виндовса, но точно я не знаю, так как не я устанавливал .

 

2.У меня прямой доступ в интернет.

 

3.Не вижу , чтобы вирус ел системные ресурсы, и его признаков деятельности тоже не вижу. Но как показала проверка, он еще есть на моем ПК.

[SQ]

2.У меня прямой доступ в интернет.

Убедитесь, чтобы у Вас был включен Windows Firewall и закрыт как минимум порт на SMB(порты 445 и 139).

 

Смените пароль на Windows и проверьте еще раз утилитой KVRT если угроза еще присутствует.

[Nowham]

Подскажите, пожалуйста, как закрыть эти порты?

[SQ]

Подскажите, пожалуйста, как закрыть эти порты?

Посмотрите пожалуйста тут, если владеете английским языком.

 

Либо выполните в командной строке следующие команды в привилегированном режиме (Run as Administrator):

 

netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=135 name=″Block_TCP-135″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=137 name=″Block_TCP-137″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=138 name=″Block_TCP-138″
netsh advfirewall firewall add rule dir=in action=block protocol=tcp localport=139 name=″Block_TCP-139″
netsh advfirewall firewall add rule dir=in action=block protocol=TCP localport=445 name="Block_TCP-445"

Также выполните следующую команду:

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" SMB1 -Type DWORD -Value 0 -Force

 

[Nowham]

"Set-ItemProperty" не является внутренней или внешней командой ....

Что делать?

[SQ]

"Set-ItemProperty" не является внутренней или внешней командой ....

Что делать?

Необходимо выполнять в Powershell, введите команду powershell.exe после этого команду выше.

[Nowham]

Все выполнил

[SQ]

Проверьте контрольный раз антивирусной утилитой KVRT, если проблема ушла.

[Nowham]

Проверил, ничего не обнаружено)

[SQ]

Отлично, если все ок, то.

В завершение:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• 
    
• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
     
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
     
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
     
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
     
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
     
• Прикрепите этот файл к своему следующему сообщению.
  

[Nowham]

SecurityCheck.txt