Перейти к содержанию

Подозрение на остатки вирусов + невозможность запустить KVRT


Рекомендуемые сообщения

Неделю назад была поймана пачка вирусов. Встроенный дефендер не справился, поэтому сразу были предприняты меры по очистке через cruel it (вирус предварительно заблокировал переход на большинство сайтов с антивирусами перенаправив их на localhost, но cruel перекинул с другого пк).

После тщательной проверки была найдена пачка вирусов, среди них был rdp. После cruel, прогнал AVZ. После лечения большая часть симптомов ушла. В скрытых процессах не наблюдалось ничего. Но, подозрение на существование угрозы всё ещё сохранилось. Сейчас решил проверить ПК через  

malwarebytes, но его установить не удалось (сперва ошибка "недопустимый путь" при указании папки c:\\program files, а при указании иной - после перезагрузки "Возникла ошибка").

Далее решено было попробовать через KVRT. Запустить удалось, но не нажимается кнопка "начать проверку", анимация нажатия есть, но ничего не происходит.

Также обратил внимание, что остались скрытые папки в program files (rdp, kaspersky lab, возможно и другие).

Avast, ESET nod 32  - ничего не показали.

Полагаю, что что-то до сих пор осталось на ПК. 

Прощу помощи в устранении проблемы

 

CollectionLog-2021.02.13-22.43.zip

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger


{ Перед использованием скрипта убедитесь, что в системе не установлены упомянутые в скрипте антивирусы. Автор скрипта: regist. Modification: thyrex}
var ProgramData, ProgramFiles, ProgramFiles86, fname, OSVer: string;
    PD_folders, PF_folders, O_folders, L_SID: TStringList;

procedure FillList;
begin
 PD_folders:= TStringList.Create;
 PD_folders.Add('360TotalSecurity');
 PD_folders.Add('360safe');
 PD_folders.Add('AVAST Software');
 PD_folders.Add('Avg');
 PD_folders.Add('Avira');
 PD_folders.Add('ESET');
 PD_folders.Add('Indus');
 PD_folders.Add('Kaspersky Lab Setup Files');
 PD_folders.Add('Kaspersky Lab');
 PD_folders.Add('MB3Install');
 PD_folders.Add('Malwarebytes');
 PD_folders.Add('McAfee');
 PD_folders.Add('Microsoft\Check');
 PD_folders.Add('Microsoft\Intel');
 PD_folders.Add('Microsoft\temp');
 PD_folders.Add('Norton');
 PD_folders.Add('grizzly');
 PD_folders.Add('RealtekHD');
 PD_folders.Add('RunDLL');
 PD_folders.Add('Setup');
 PD_folders.Add('System32');
 PD_folders.Add('Windows');
 PD_folders.Add('WindowsTask');
 PD_folders.Add('install');
 PD_folders.Add('Doctor Web');
 PD_folders.Add('bebca3bc90');
 PF_folders:= TStringList.Create;
 PF_folders.Add('360');
 PF_folders.Add('AVAST Software');
 PF_folders.Add('AVG');
 PF_folders.Add('ByteFence');
 PF_folders.Add('Zaxar');
 PF_folders.Add('COMODO');
 PF_folders.Add('Cezurity');
 PF_folders.Add('Common Files\McAfee');
 PF_folders.Add('ESET');
 PF_folders.Add('Enigma Software Group');
 PF_folders.Add('GRIZZLY Antivirus');
 PF_folders.Add('Kaspersky Lab');
 PF_folders.Add('Malwarebytes');
 PF_folders.Add('Microsoft JDX');
 PF_folders.Add('Panda Security');
 PF_folders.Add('SpyHunter');
 PF_folders.Add('RDP Wrapper');
 O_folders:= TStringList.Create;
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\AdwCleaner'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\rdp'));
 O_folders.Add(NormalDir('%SYSTEMDRIVE%'+'\KVRT_Data'));
 O_folders.Add(NormalDir('%windir%'+'\NetworkDistribution'));
 O_folders.Add(NormalDir('%windir%'+'\speechstracing'));
 O_folders.Add(NormalDir('%windir%'+'\Fonts\Mysql'));
end;

procedure Del_folders(path: string; AFL: TStringList);
var i, A: integer;
    s: string; 
begin
 for i:= 0 to AFL.Count - 1 do
  begin
   fname:= NormalDir(path + AFL[i]);
   if DirectoryExists(fname)
    then
     begin
      s:= 'Found ' + fname + ' (';
      A:= GetAttr(fname);
      if A and 4 = 4
       then s:= s + 'S';  
      if A and 2 = 2
       then s:= s + 'H';  
      s:= s + 'D)';
      AddToLog(s);
      QuarantineFileF(fname, '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
      DeleteFileMask(fname, '*', true);
      FSResetSecurity(fname);
      DeleteDirectory(fname);
     end;
 end;
end;

procedure Del_DisallowRun(SID_Name: string);
const
 PolExplKey = '\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\';
 DR = 'DisallowRun';
var name1, name2: string;
begin
 name1:= SID_Name + PolExplKey;
 name2:= name1 + DR;
 if (RegKeyExists('HKEY_USERS', name2))
  then
   begin
    AddToLog('HKEY_USERS\' + name2 + ' - Exists');
    BackupRegKey('HKEY_USERS', name1, DR + SID_Name);
    RegKeyDel('HKEY_USERS', name2);
    RegKeyParamDel('HKEY_USERS', name1, DR);
   end;
end;

procedure swprv;
begin
 ExecuteFile('sc.exe', 'create "swprv" binpath= "%SystemRoot%\System32\svchost.exe -k swprv" type= own start= demand depend= RPCSS', 0, 15000, true);
 RegKeyParamDel ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'wow64');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'Description', '@%SystemRoot%\System32\swprv.dll,-102');
 RegKeyStrParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'DisplayName', '@%SystemRoot%\System32\swprv.dll,-103');
 RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv', 'ServiceSidType', '1');
 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%Systemroot%\System32\swprv.dll');
 OSVer := RegKeyStrParamRead('HKLM','SOFTWARE\Microsoft\Windows NT\CurrentVersion','CurrentVersion');
 if OSVer > '6.1' then RegKeyIntParamWrite ('HKLM', 'SYSTEM\CurrentControlSet\Services\swprv\Parameters', 'ServiceDllUnloadOnStop', '1');;
 ExecuteFile('sc.exe', 'privs "swprv" SeBackupPrivilege/SeChangeNotifyPrivilege/SeCreateGlobalPrivilege/SeCreatePermanentPrivilege/SeImpersonatePrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeIncreaseBasePriorityPrivilege/SeManageVolumePrivilege/SeRestorePrivilege/SeTcbPrivilege', 0, 15000, true);
 ExecuteFile('net.exe', 'start "swprv"', 0, 15000, true);
end;

procedure  AV_block_remove;
var i: integer;
begin
 Clearlog;
 FillList;
 ProgramData:= GetEnvironmentVariable('ProgramData') + '\';
 ProgramFiles:= NormalDir('%PF%');
 ProgramFiles86:= NormalDir('%PF% (x86)');
 Del_folders(ProgramData, PD_folders);
 Del_folders(ProgramFiles, PF_folders);
 Del_folders(ProgramFiles86, PF_folders);
 Del_folders('', O_folders);

 L_SID:= TStringList.Create;
 RegKeyEnumKey('HKEY_USERS', '\', L_SID);
 for i:= 0 to L_SID.Count-1 do
  Del_DisallowRun(L_SID[i]);
 L_SID.Free;

 RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\services\TermService\Parameters', 'ServiceDll', 'REG_EXPAND_SZ', '%SystemRoot%\System32\termsrv.dll');
 swprv;
 BackupRegKey('HKLM', 'System\Remote Manipulator System', 'RMS');
 RegKeyDel('HKLM', 'System\Remote Manipulator System');
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="allow RDP" protocol=tcp localport=3389', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=445', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=445', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=tcp localport=139', 0, 15000, true);
 ExecuteFile('netsh.exe', 'advfirewall firewall delete rule name="Port Blocking" protocol=udp localport=139', 0, 15000, true);
 if MessageDLG('Удалить пользователя "John" ?'+ #13#10 + 'Если пользователь с таким именем вам не знаком, то нажмите "Да".', mtConfirmation, mbYes+mbNo, 0) = 6
  then ExecuteFile('net.exe', 'user john /delete', 0, 15000, true);
 PD_folders.Free;
 PF_folders.Free;
 O_folders.Free;
end;

begin
 if GetAVZVersion < 5.18
  then
   begin
    ShowMessage('Пожалуйста, используйте актуальную версию AVZ, например, из папки AutoLogger-а.'+#13#10+'Please use actual AVZ version, for example from AutoLogger’s folder.');
    AddToLog('Текущая версия - '+FormatFloat('#0.00', GetAVZVersion));
    exitAVZ;
   end;
 AV_block_remove;
 fname:= ProgramData + 'RDPWinst.exe';
 if FileExists(fname) then DeleteFile(fname);
 fname:= '%windir%'+'\WrpYGF74DrEm.ini';
 if FileExists(fname) then DeleteFile(fname);
 ExecuteSysClean; 
 SaveLog(GetAVZDirectory +'AV_block_remove.log');
 RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678


Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.


 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1498132072-2871565490-1805436923-1000\...\MountPoints2: {0d105cd0-1934-11eb-a68a-800a7451f45b} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1498132072-2871565490-1805436923-1000\...\MountPoints2: {38624d4a-259c-11eb-a68c-af01226e77dc} - "E:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-1498132072-2871565490-1805436923-1000\...\MountPoints2: {48c1f449-4887-11eb-a695-beb929a0d200} - "E:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-1498132072-2871565490-1805436923-1000\...\MountPoints2: {8ca2f38c-46ab-11eb-a695-beb929a0d200} - "E:\Install MegaFon Internet.exe" 
HKU\S-1-5-21-1498132072-2871565490-1805436923-1000\...\MountPoints2: {8ca2f4c2-46ab-11eb-a695-beb929a0d200} - "E:\Install MegaFon Internet.exe" 
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-1498132072-2871565490-1805436923-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
FirewallRules: [{3E21E524-E084-470E-BB59-3FC0E0100936}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
FirewallRules: [{522B3807-1AB0-46DF-B8E1-384E8EF8900D}] => (Block) LPort=139
FirewallRules: [{6A594237-9171-4510-8E11-87CD943A4F33}] => (Block) LPort=139
FirewallRules: [{7D39F234-CF9E-4403-8EAC-195BA7CB1A94}] => (Allow) LPort=3389
Reboot:
End::


2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Ссылка на сообщение
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Процитируйте содержимое файла в своем следующем сообщении.


 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От eugene_peeers
      Доброго времени суток уважаемые форумчане,столкнулся с проблемой,не запускается Установщик Kaspersky Total Security.
      Были вирусы, полностью вычистил KVRT не помогло.
      CollectionLog-2021.03.02-22.58.zip
    • От bakeryamaker
      Добрый вечер! 
      Рассказываю ситуацию : подхватил вирус на свой ноутбук, открыв папку с вирусом, антивирус сразу заругался, вылезло насколько окон о том, что "...файл помещен в карантин..."
      Я подумал, что можно не волноваться (моя глупость) ещё намного поработал, и успешно выключил ноутбук. 
      После последующего запуска системы, решил зайти в антивирус, проверить ноутбук, мало ли что осталось. Но антивирус не запускается, сколько бы я не тыкал мышкой. Хорошо, решил поискать в интернете, что это за проблема, жму на иконку хрома, а там все то же самое, но, попрошу заметить: работает проводник! 
      От имени администратора запустить тоже ничего нельзя, кнопки просто нет. 
      Командную строку через Win+R запустить тоже не получается, выбивает ошибку: Интерфейс не поддерживается. 
      Видел примерно такую же проблему на этом форуме, но там как то получилось поставить ComboFix, у меня же он просто не запустился, как и все остальные программы. 
      Диспетчер задач, что угодно вообще не открываются.... 
      Не могли бы вы мне помочь? Буду очень благодарен за помощь! 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • От anspasper
      лог не могу применить в AVZ, пишет установите новую версию, где взять ее


    • От Bagration
      Здравствуйте.
      Подозреваю, что словил какой-то майнер, или другую бяку.

      При высоких нагрузках, а особенно задействующих видеоадаптер (например, игра или даже просмотр ютуба в 1080р), внезапно появляется нагрузка ЦП в 100%, при этом процессор (видеоадаптер встроенный) совсем некрасиво греется до 80-90+ градусов. И это при свежей-то термопасте. 
      В общем, подозреваю, что что-то маскируется в системе и врубается "под шумок", когда присутствует другая нагрузка. 

      Система - некроноут ThinkPad T420, 4Гб ОЗУ, Win7. 

      Прошу помощи экспертов.
      CollectionLog-2021.02.25-22.55.zip
×
×
  • Создать...