Перейти к содержанию

[РЕШЕНО] KIS отреагировал сообщениями (майнер) после установки игрового софта.


Рекомендуемые сообщения

Выполните скрипт в AVZ из папки Autologger


{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i: integer;
    A: integer; 
    s: string; 
    r: boolean;
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   r:= False;
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then
        begin
         r:= True;
         s:= s + 'S';  
        end;
      if A and 2 = 2
       then
        begin
         r:= True;
         s:= s + 'H';  
        end;
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      if r then FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);
 if RegKeyParamExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun')
  then RegKeyParamDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer', 'DisallowRun');
 if RegKeyExists('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun')
  then
   begin
    ExpRegKey('HKCU','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun','DisallowRun_backup.reg');
    RegKeyDel('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun');
   end;
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на сообщение
Поделиться на другие сайты
12 минут назад, thyrex сказал:

Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы.

Установлен KIS 2021. Скрипт надо как-то изменить?

Ссылка на сообщение
Поделиться на другие сайты

Если сами вручную снимете атрибуты "Скрытый Системный" у папки C:\Program Files\Kaspersky Lab, тогда строки

Цитата

 

PD_folders.Add('Kaspersky Lab Setup Files');

PD_folders.Add('Kaspersky Lab');

PF_folders.Add('Kaspersky Lab');

 

можно убрать из скрипта

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, thyrex сказал:

после загрузки ответ сообщите здесь.

Результат загрузки
Файл сохранён как    201210_175639_quarantine_5fd26157ec95d.zip
Размер файла    26717360
MD5    222980fdd52591dd62f5a5aa551545c3

 

При создании карантина часть dta-файлов KIS удалил.

 

CollectionLog-2020.12.10-21.01.zip

Изменено пользователем Peter15
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, thyrex сказал:

загрузите по ссылке

Этим самым файлы отправлены в Лабораторию Касперского, или стороннюю организацию?

utrr.zip

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {14E650CC-AC39-4CD3-8974-FAF23B5E5A7E} - \Microsoft\Windows\Wininet\Cleaner -> No File <==== ATTENTION
Task: {16072959-2334-45D1-B241-BBB1757237A4} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> No File <==== ATTENTION
Task: {3565C359-8F85-4018-8FB6-DB2585353BE5} - \Microsoft\Windows\Wininet\Taskhost -> No File <==== ATTENTION
Task: {5BB874A2-6949-4466-9115-EEA24A40B5CB} - \Microsoft\Windows\Wininet\RealtekHDControl -> No File <==== ATTENTION
Task: {F091C170-4E02-4DEA-BF44-A5A31B082DC1} - \Microsoft\Windows\Wininet\Taskhostw -> No File <==== ATTENTION
FirewallRules: [{273883EA-080F-415F-B16F-7B07B369F7E1}] => (Block) LPort=445
FirewallRules: [{CE8F6C1D-12DA-418E-BD81-3854C9D6A7A4}] => (Block) LPort=445
FirewallRules: [{FC238FF2-10C6-41A9-BAA2-1D0C13582A2B}] => (Block) LPort=139
FirewallRules: [{A2C0538B-74E8-49E2-9C47-009DC95676E9}] => (Block) LPort=139
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

Что-то могло остаться? Вроде антивирус больше на инсталляционный пакет не реагирует (там, судя по всему,  был один только файл, с которого шло заражение), но в игре дергается картинка.

CollectionLog-2020.12.13-13.26.zip

Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, фан-клуб "Лаборатории Касперского".

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • PierreDolas
      От PierreDolas
      Майнер нагружает процессор, временами даже на 100%. Когда открываю диспетчер задач нагрузка ЦП - 100%, и сразу падает к 3%.
      Несколько раз переустановил виндовс с форматированием всех дисков. Вирус начинает нагружать ЦП еще на стадии установки виндовса.
      Антивирусы ничего не видят. Kaspersky Virus Removal Tool, Dr. Web  тоже не видят вирус.
    • GreyCats
      От GreyCats
      Здравствуйте! При включении компьютера произвольно открывается основной браузер (в моём случае Opera) с новой рандомной вкладкой, от безобидной рекламы до сайтов-вымогателей и порно. Не уверен, есть ли тут прямая связь, но при работе с браузером иногда выключается монитор и зависает компьютер. Хотя при работе с видеоредактором или в играх такой проблемы нет. Сканирование на вирусы выявило несколько нежелательных элементов, от одного из которых - mysql в папке fonts - так просто не избавиться. Прикрепляю логи (не знаю, насколько это критично, но я ошибся и второй раз запустил тот же Avbr после первой проверки, так что прикрепил оба)
      AV_block_remove_2022.12.02-18.04.log CollectionLog-2022.12.02-18.23.zip AV_block_remove_2022.12.02-18.12.log
    • Moonka
      От Moonka
      Здравствуйте, dialersvc32.job и dialersvc64.job   не удаляются, что делать?

    • lep1k
      От lep1k
      Здравствуйте. Смотрел нагрузку в AMD и узнал что у меня майнер. Попытался погуглить с ПК - на сайты либо не пускает (перенаправляет на dns.google), либо вовсе закрывает браузер.
       Скачал Anvir - не дает открыть и закрывает его. Скачал AV Blocker - та же история. Пишу с телефона ибо даже на этот форум не пускает. Что делать?
    • Fidel29
      От Fidel29
      Добрый день! Подцепил вирус, с KMS, хотел активировать Office. Брал здесь: удалено.
      Вначале не запускался Kaspersky KIS. Переустановка KIS тоже не удалась.Конфиг старый (2013 года), HDD старые и битые, поэтому тормоза списывал на старость железа заметил не сразу, а вот закрытие браузеров и диспетчера задач было признаком, что скорее свего вирус-майнер.
      Кстати, Victoria 5.37.2 c оффсайта стала запускаться тоже через раз, может как-то связано. Что было сделано.
      У приятеля записал болванку с DrWeb CureIt, KVRT, avz, и AVbr два разных установщика (один для безопасного записал, второй для обычного).
      Итог: KVRT не запускается даже с cd-диска пишет: Операция отклонена, вследствии действующих для компьютера ограничений. Обратитесь к администратору сети. Dr.Web CrIt в безопасном режиме нашёл Trojan.AutoIt.1128 в C:\programdata\realtekhd\taskhostw.exe .
      Прошёлся avz в безопасном режиме, есть логи, затем в безопасном AVbr. Затем новый установщик Avbr прошелся в обычном режиме. Логи есть, но не знаю как безопасно скинуть, так как KIS не запускается, а без него лезть в интернет боязно. Мучаюсь больше недели. Флешку вставлять не хочется, чтобы с рабочего компа загружать логи, мало ли что могу с флешкой занести, да и комп по сути "лежит", сейчас пишу с чужого ноута. Как можно запустить KIS, чтобы продолжить дальнейшее лечение: выложить в теме логи, и не нацеплять ещё вирусов?
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте ссылки на вредоносные файлы и варез.
×
×
  • Создать...