Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте!

 

Собирать логи и выполнять скрипты нужно из консоли, т.е. непосредственно на компьютере, а не через терминальное соединение.

 

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    () [File not signed] C:\Windows\mssecsvc.exe
    (Microsoft Corporation) [File not signed] C:\Windows\System32\dllhostex.exe
    HKLM-x32\...\RunOnce: [360safeuninst_e9048aaf6e42a1cdca7745131e8a707c] => C:\Users\836D~1\AppData\Local\Temp\2\e9048aaf6e42a1cdca7745131e8a707c_remove360.bat [662 2020-10-29] () [File not signed] <==== ATTENTION
    R2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe [3723264 2020-10-29] () [File not signed]
    U4 QHActiveDefense; "D:\Program Files (x86)\360\Total Security\safemon\QHActiveDefense.exe" [X]
    R3 360netmon; system32\DRIVERS\360netmon.sys [X]
    2020-10-29 12:55 - 2020-10-29 12:55 - 000000000 __SHD C:\ProgramData\360Quarant
    2020-10-29 12:31 - 2020-10-29 12:31 - 003723264 ____S C:\Windows\mssecsvc.exe
    2020-10-29 12:22 - 2020-10-29 12:22 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\360DrvMgr
    2020-10-29 11:57 - 2020-10-29 11:57 - 000000000 ____D C:\Windows\Tasks\360Disabled
    2020-10-29 11:21 - 2020-10-29 12:56 - 000000000 ____D C:\Users\Администратор\AppData\Roaming\360DesktopLite
    2020-10-30 08:05 - 2020-06-30 16:11 - 011435008 _____ C:\ProgramData\temp5.exe
    2020-10-30 08:01 - 2017-11-27 07:51 - 003514368 ____S C:\Windows\tasksche.exe
    2020-10-29 11:11 - 2020-06-29 14:56 - 000000000 __SHD C:\ProgramData\Doctor Web
    2020-10-28 19:27 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\Windows
    2020-10-28 19:27 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\RealtekHD
    2020-10-28 19:26 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-10-28 19:26 - 2020-06-29 14:55 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-10-28 19:12 - 2020-06-29 14:56 - 000000000 __SHD C:\KVRT_Data
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\kz.exe
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\lsass.exe
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\lsass2.exe
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\olly.exe
    2020-06-29 14:56 - 2020-06-29 14:56 - 000000000 ___SH () C:\ProgramData\script.exe
    2020-06-30 16:11 - 2020-10-30 08:05 - 011435008 _____ () C:\ProgramData\temp5.exe
    FCheck: C:\Windows\boy.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder)
    FCheck: C:\Windows\java.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder)
    FCheck: C:\Windows\svchost.exe [2020-06-29] <==== ATTENTION (zero byte File/Folder)
    FirewallRules: [{31BF29CF-3948-4BCA-B003-DAA131D66EE7}] => (Allow) LPort=1521
    FirewallRules: [{64018D1A-2427-41DA-948F-982322D9804B}] => (Allow) LPort=3389
    FirewallRules: [{CD19D121-4180-49A1-A987-BB387E97195C}] => (Block) LPort=445
    FirewallRules: [{2BBDA3B0-5232-4162-98E1-5B5E425A45E7}] => (Block) LPort=139
    FirewallRules: [{9BEFC500-79DF-4AA3-9AC3-AA70FDD08E57}] => (Block) LPort=445
    FirewallRules: [{3FD217BD-932A-40FB-8931-F624DA2E86DC}] => (Block) LPort=139
    FirewallRules: [{84A53A09-5388-4617-9237-1B60A1F56AD5}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed]
    FirewallRules: [{D0E97455-4CAB-4CC4-AAA0-D18EEE45863C}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
    FirewallRules: [{A55C7701-C890-4224-BB37-E020718216D7}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{7A30A2DB-436C-413A-8FBF-EC287D757B0B}] => (Allow) C:\ProgramData\WindowsTask\MicrosoftHost.exe (Microsoft Corporation) [File not signed]
    FirewallRules: [{5AF70547-29BE-4ECE-A97F-8336DEA29F39}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => No File
    FirewallRules: [{9EFC1741-FD9F-4424-BEBA-98727CE83036}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => No File
    FirewallRules: [{A6191616-E95E-4924-AF46-83BEB46EA485}] => (Allow) C:\ProgramData\RealtekHD\taskhostw.exe => No File
    FirewallRules: [{1B78B73B-9ADC-470F-99A6-1BF55B036F07}] => (Allow) C:\ProgramData\windows\rutserv.exe => No File
    FirewallRules: [{7139999C-1204-45DE-86F4-DB74251D7640}] => (Allow) C:\ProgramData\rundll\system.exe => No File
    FirewallRules: [{3E1953AB-ABDA-4391-8A2F-2D6D55106109}] => (Allow) C:\ProgramData\rundll\rundll.exe => No File
    FirewallRules: [{5A65C1A2-0BB2-42E8-93E5-3DF0E56E7570}] => (Allow) C:\ProgramData\rundll\Doublepulsar-1.3.1.exe
    FirewallRules: [{A9900709-E7F1-4AC6-A5EC-998BB2EF5223}] => (Allow) C:\ProgramData\rundll\Eternalblue-2.2.0.exe
    FirewallRules: [{0538DA13-7BD3-491D-BE83-B6C73B4D6D1D}] => (Allow) LPort=9494
    FirewallRules: [{7A16AB6C-0681-467B-BC72-3433B11FF002}] => (Allow) LPort=9393
    FirewallRules: [{FD846D60-0313-446C-96D8-6901121256CB}] => (Allow) LPort=9494
    FirewallRules: [{0FBDDFA7-8B9B-4927-AAAE-F14C045D9777}] => (Allow) LPort=9393
    FirewallRules: [{5A08977D-18E6-4C4C-B1D7-46A73C51DD15}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
    FirewallRules: [{5F4347F3-F94C-4BAE-BB94-164AFA0D09EE}] => (Allow) D:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => No File
    Zip: c:\FRST\Quarantine\
    End::

     


  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 


Компьютер перезагрузите вручную.

Подробнее читайте в этом руководстве.

 

Соберите новые лолги FRST.

Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

{Перед использованием скрипта убедиться, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist}
var
ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
PD_folders, PF_folders, O_folders : TStringList;

procedure FillList;
begin
 PD_folders := TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PF_folders := TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders := TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path:string; AFL : TStringList);
var
i : integer;
begin
 for i := 0 to AFL.Count - 1 do
 begin
  fname := NormalDir(path + AFL[i]);
  if DirectoryExists(fname) then
	  begin
		  QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
		  DeleteFileMask(fname, '*', true);
		  DeleteDirectory(fname);
	  end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 clearlog;
 FillList;
 ProgramData := GetEnvironmentVariable('ProgramData');
 ProgramFiles := NormalDir('%PF%');
 ProgramFiles86 := NormalDir('%PF% (x86)');
 Del_folders(ProgramData +'\', PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
 RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDlll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6 then
	ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
 ExecuteSysClean;
end;

begin
 AV_block_remove;
end.

 

Перезагрузите компьютер вручную. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\networkdistribution\svchost.exe');
 TerminateProcessByName('C:\Windows\System32\dllhostex.exe');
 QuarantineFileF('C:\Windows\NetworkDistribution\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 QuarantineFile('C:\Windows\System32\dllhostex.exe','');
 QuarantineFile('c:\windows\networkdistribution\svchost.exe','');
 QuarantineFile('C:\Windows\system32\WindowsSSDPService.dll','');
 DeleteFile('C:\Windows\system32\WindowsSSDPService.dll','64');
 DeleteFile('c:\windows\networkdistribution\svchost.exe','64');
 DeleteFile('C:\Windows\System32\dllhostex.exe','32');
 DeleteFileMask('C:\Windows\NetworkDistribution\', '*', true);
 DeleteDirectory('C:\Windows\NetworkDistribution\');
ExecuteSysClean;
end.

 

Компьютер перезагрузите вручную.

 

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Ещё раз соберите новый CollectionLog.

Изменено пользователем Sandor
Ссылка на сообщение
Поделиться на другие сайты

2020.10.30_quarantine_650f7ac3643c927e7734d44b24d0224f.zip

CollectionLog-2020.10.30-19.37.zip

 

Вопрос на будущее. есть ли руководство, как самому составлять скрипты, чтобы очищать компьютер от вирусов?

и правила использования всех утилит? 

Ссылка на сообщение
Поделиться на другие сайты

антивирус установился, спасибо! Отправлял повторные логи, чтобы устранить остальные ошибки, если они есть.

Есть ли еще ошибки в логах,  либо полностью их не удалить?

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Konstantin1702 сказал:

Есть ли еще ошибки в логах

Вредоносного не видно.

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Проверьте уязвимые места:

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. 
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты


https://virusinfo.info/virusdetector/ report.php?md5=B382E56362FF2D81F5B8719DB3931E5C

Что означают следующие предложения, что с ними делать?

[микропрограмма лечения]> изменен параметр DisableATMFD ключа HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Обнаружено уязвимостей: много.

 

сейчасҐс покаҐа ставлюҐwind7ows¥s servise¥e pack¥ 1

иҐ почемуҐ символыҐы д1обавляютсяҐя неизвестные?

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От Elly
      Друзья!
       
      Пришла пора провести первую викторину 2021 года, которая посвящается десяти продуктам "Лаборатории Касперского".
      Формат этой викторины предельно простой. Вам будет задано 10 вопросов по 10 продуктам* (актуальных версий, доступных для установки и загрузки в данное время), то есть каждому из вопросов соответствует только одно из защитных решений. Ответы на вопросы вы можете найти в сети Интернет, либо при непосредственной установке и использовании продуктов.
       
      НАГРАЖДЕНИЕ
      Без ошибок - 800 баллов
      1 ошибка - 600 баллов
      2 ошибки - 400 баллов

      ПРАВИЛА ПРОВЕДЕНИЯ
      Викторина проводится до 21:00 7 февраля 2021 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины**.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Mrak (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины. При ответе на вопросы викторины настоятельно рекомендуется не использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса. 
       
      Любые вопросы, связанные с викториной, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения её итогов. Викторина является собственностью фан-клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации фан-клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
       
      -----
      *вопросы касаются сборок продуктов для Российского сегмента.
      **для оформления заказа и отправки в ваш адрес посылки, необходимо сделать заказ на 2000 баллов. Подробнее здесь.
    • От Иван71
      Итак, проблема в том что KIS ни в какую не хочет ставиться.. не совсем понятно это все еще вирус или уже нет, но с соседней ветки коллеги отправили сюда.. вот ссылка на тему :
       
      GSI : https://www.getsysteminfo.com/report/2b60442f6e1fb3a574f41ed9cd9fe27f
    • От Алексан
      Как быстро уйти от мошенников, которые зашифровали файлы на компьютере
    • От Kwentar
      Проблема как в недавней теме у другого человека. Обнаружил признаки заражения, сайты антивирусов открываются с боем, установочный файл касперского просто не запускается
      Логи прилагаю
       
      CollectionLog-2021.01.14-16.18.zip
×
×
  • Создать...