pastral 0 Опубликовано 31 мая, 2020 Share Опубликовано 31 мая, 2020 Добрый день. Поймал на компьютер майнер, маскрующийся под бездействие системы, создающий дубли исполняемых файлов, новыхпользователей и прочую нечисть. кратко описал проблему тут: https://community.kaspersky.com/kaspersky-rescue-disk-79/virus-menyaet-parametry-zagruzki-9189 за последние 2 дня прошёл систему на несколько раз KVRT и Cure IT KVRT перестал вообще что либо обнаруживать, CureIT крайний раз нашёл 4 dll от майнера и удалил. По реестру и загрузке системы вижу что малварь в системе и ни куда не делся. Часть настроек системы не доступна из-за пониженных привелегий пользователя вирусом. Прикладываю крайний лог работы AVZ. Что делать и как бороться не знаю, систему форматировать в 0 очень не хочется. CollectionLog-2020.05.31-23.15.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 1 июня, 2020 Share Опубликовано 1 июня, 2020 @pastral, 1) Просьба сделайте экспорт ключа реестра HKEY_LOCAL_MACHINE, SYSTEM\CurrentControlSet\Services\Eventlog\System\ 2) Скачайте актуальную версию Автологера, ваша уже устарела. 3) Просьба соберите логи свежей версией Автологера запустив его с ключом -! dbg=y Это можно сделать например создав ярлык для запуска Автологера и дописав этот ключ в поле "Объект" после имени файла, либо просто запустим с этим ключом с командной строки. 4) Прикрепите свежие логи Автологера, а также файлы report* которые будут созданы в папке с ним. Цитата Ссылка на сообщение Поделиться на другие сайты
pastral 0 Опубликовано 1 июня, 2020 Автор Share Опубликовано 1 июня, 2020 Добрый день. Готово. CollectionLog-2020.06.01-13.53.zip report1.log report2.log system.reg Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 июня, 2020 Share Опубликовано 1 июня, 2020 Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 июня, 2020 Share Опубликовано 1 июня, 2020 Дополнительно (2) Еще раз, пожалуйста, скачайте Автологер (он уже обновился) и соберите CollectionLog стандартно (без ключей). Цитата Ссылка на сообщение Поделиться на другие сайты
pastral 0 Опубликовано 1 июня, 2020 Автор Share Опубликовано 1 июня, 2020 Готово. FRST.txt Addition.txt Готово (2) CollectionLog-2020.06.01-19.24.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 1 июня, 2020 Share Опубликовано 1 июня, 2020 Судя по скриншотам из темы на Community, у вас включен GodMode. Проблема стала проявляться до его включения? Цитата Ссылка на сообщение Поделиться на другие сайты
pastral 0 Опубликовано 1 июня, 2020 Автор Share Опубликовано 1 июня, 2020 Он включается автоматически, даже если загружаюсь в ограниченном режиме. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 1 июня, 2020 Share Опубликовано 1 июня, 2020 Просьба удалите ранее скачанный Автологер и собранные им логи, ещё раз скачайте свежий и соберите свежие логи. Там просто неправильно парсило и по вашему экспорту реестра доработан вывод в лог. Сейчас пнул сборку вручную и уже должен быть свежий (выше, что просил Сандор собрать был ещё предыдущий). Цитата Ссылка на сообщение Поделиться на другие сайты
pastral 0 Опубликовано 1 июня, 2020 Автор Share Опубликовано 1 июня, 2020 Готово CollectionLog-2020.06.01-21.39.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 1 июня, 2020 Share Опубликовано 1 июня, 2020 Странно, вы опять собрали предыдущей версией. Видать у вас закешировался файл. Перезалил его сюда, попробуйте скачать отсюда. Дополнительно перепроверить скачали действительно свежий если откроете AVZ (появится в папке Автологера после его запуска) и проверите версию. То есть открыть AVZ - Справка - О программе. Должно быть написано версия 5.16 от 01.06.2020. Либо проконтролировать эту версию в html логах (написана внизу лога) которые входят в комплект логов которые собирает Автологер. Цитата Ссылка на сообщение Поделиться на другие сайты
pastral 0 Опубликовано 1 июня, 2020 Автор Share Опубликовано 1 июня, 2020 Готово. Версия в AVZ-Справка 5.16 от 01.06.2020 CollectionLog-2020.06.01-22.17.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 1 июня, 2020 Share Опубликовано 1 июня, 2020 (изменено) Здравствуйте! 1) Включите восстановление системы. 2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\VirusovNet\AppData\Roaming\vcredistx86.exe', ''); QuarantineFile('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows\system32\iologmsg.dll', ''); QuarantineFileF('D:\7Work\Mount\Windows\System32\config\SYSTEM\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0); DeleteFile('C:\Users\VirusovNet\AppData\Roaming\vcredistx86.exe', '64'); DeleteFile('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows\system32\iologmsg.dll', '64'); DeleteFileMask('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows', '*', true); DeleteDirectory('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft visual C++ 2010', '64'); RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zona', 'x64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. 3) - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) 4) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - MSConfig\startupfolder: C:^Users^VirusovNet^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^EmEditor.lnk [backup] => C:\Program Files (x86)\EmEditor\emedtray.exe (2020/05/27) (file missing) O4 - MSConfig\startupreg: Microsoft visual C++ 2010 [command] = C:\Users\VirusovNet\AppData\Roaming\vcredistx86.exe (HKCU) (2020/04/15) (file missing) O4 - MSConfig\startupreg: Zona [command] = C:\Program Files (x86)\Zona\Zona.exe /MINIMIZED (HKCU) (2020/04/03) (file missing) O4 - MSConfig\startupreg: clip2net [command] = C:\Program Files (x86)\Clip2net\Clip2net.exe (HKCU) (2020/04/03) (file missing) O23 - Service S2: Adobe Acrobat Update Service - (AdobeARMservice) - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe (file missing) 5) - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. 6) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Изменено 1 июня, 2020 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
pastral 0 Опубликовано 1 июня, 2020 Автор Share Опубликовано 1 июня, 2020 (изменено) Вижу что вы редактируете периодически свой пост. Начинаю все с п.1 сейчас. 23:11 и так же вопрос по отправке на newvirus@kaspersky.com ответ придет спустя какое то время или сразу? UPD: quarantine.zip пустой 1 - готово 2 - готово 3 - готово, архив пустой. 4 - готово 5 - https://virusinfo.info/virusdetector/report.php?md5=879BD281AB5E7A69ECBFB441397D4C15 CollectionLog-2020.06.02-00.50.zip Изменено 1 июня, 2020 пользователем pastral Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 2 июня, 2020 Share Опубликовано 2 июня, 2020 При выполнение предыдущего скрипта некорректно отработала чистка реестра. 1) Скачайте свежую (исправленную) версию AVZ по ссылке. 2) Добавьте в реестр рег-файл экспорт которого вы раньше делали. На случай если он у вас не сохранился добавил его в архив с AVZ. 3) Выполните скрипт в AVZ begin DeleteFile('D:\7Work\Mount\Windows\System32\config\SYSTEM\Windows\system32\iologmsg.dll', '64'); ExecuteSysClean; SaveLog(GetAVZDirectory+'ExecuteSysClean.log'); RebootWindows(false); end. После скрипта компьютер перезагрузится. 4) Файл ExecuteSysClean.log из папки с AVZ просьба прикрепите. 5) Соберите свежие логи Автологером. 6) Отпишите подробней проблему, по каким признакам вы видите наличие вируса. И заодно есть ли улучшения после скрипта? Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.