Хитрый Worm.NSIS.BitMin.d

[SergD29 0]

Добрый день господа, с недавних пор в локальной папки с обновлениями касперского начал появляться файл  E:\Update\VID001.exe  Тип :    Вирус  Название :Worm.NSIS.BitMin.d, Kaspersky Endpoint Security его постоянно обнаруживает и удаляет  но а источник найти не может, при обновлении Kaspersky  сообщает  "Компонент :    Обновление Ошибка :    Недостаточно прав для выполнения файловой операции " , соответственно компьютер остается зараженным ,  я нашел некоторое задание в планировщике (Optimize Start Menu Cache Files-S-1-5-21-171144569-2579681818-3363539637-1001 и User_Feed_Synchronization-{83883FEA-F164-43A2-90B0-C94AD62C0AFA}) отключил его. активность вируса снизилась но полностью не ушла . Как победить заразу.

 

AutoLogger

https://disk.yandex.ru/d/lYzpTRYEzIKHOg

[Sandor 1 252]

Здравствуйте!

 

Перепаковывать ничего не нужно было, только сам архив CollectionLog, который легко прикрепляется к сообщению.

 

Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

25 минут назад, SergD29 сказал:

в локальной папки с обновлениями касперского начал появляться файл

KSC не используете?

 

Много расшаренных папок

Цитата

 

C:\Users\Admin\Desktop\Больница\ShareLinux

E:\Update

C:\Users

E:\Марченко

E:\Марченко2

 

На папку E:\Update открыт общий доступ?

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[SergD29 0]

1.Файл весит 350 мб, и не загружается на virusinfo.info на 2 минуте выдает ошибку "Страница недоступна" , могу разместить ня яндекс диске 
2.Нет
3.Такая работа
4.Да (но сейчас от неё ПК отключены)
5.Выполнил

scan.txt

[Sandor 1 252]

8 минут назад, SergD29 сказал:

могу разместить ня яндекс диске

Подойдет.

 

В Malwarebytes удалять ничего не нужно.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[SergD29 0]

avz4

https://disk.yandex.ru/d/CjqMQ2myvbCkVw

Farbar Recovery Scan Tool

 

Addition.txt FRST.txt

[Sandor 1 252]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: J - "J:\Autorun.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: K - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL install-doc\index.html
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {089a4562-ab48-11e8-826f-50465d8e2d06} - "F:\LGAutoRun.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {15a5ee3c-86ec-11eb-82d5-18c04d3100d1} - "J:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {19a2be7a-5c9b-11e8-8260-aeba2aa119e0} - "D:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {19a2c5b3-5c9b-11e8-8260-aeba2aa119e0} - "F:\Setup.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {3653a2b1-836e-11e9-8299-90f652028a1f} - "F:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {38c5f91c-ebde-11e8-827a-50465d8e2d06} - "D:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {4b40601c-5489-11ea-82bc-90f652028a1f} - "G:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {5616d736-9c82-11e9-829c-90f652028a1f} - "F:\AutoRun.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {5616d765-9c82-11e9-829c-90f652028a1f} - "F:\AutoRun.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {6e5699ff-8913-11e9-8299-90f652028a1f} - "D:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {6fe30776-e039-11e9-82a4-90f652028a1f} - "D:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {6fe307ab-e039-11e9-82a4-90f652028a1f} - "D:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {73e914fd-8045-11e9-8298-90f652028a1f} - "D:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {7d47db76-f17c-11e8-827c-50465d8e2d06} - "F:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {7d47dce0-f17c-11e8-827c-50465d8e2d06} - "F:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {958b3e11-247c-11e9-8285-50465d8e2d06} - "F:\Setup.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {c9e48f2f-a169-11e9-829d-90f652028a1f} - "F:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {cfb49e22-3629-11e8-8258-50465d8e2d06} - "G:\Lenovo_Suite.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {e8c5da1d-d086-11ea-82c1-90f652028a1f} - "G:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-171144569-2579681818-3363539637-1001\...\MountPoints2: {e8c5da93-d086-11ea-82c1-90f652028a1f} - "J:\HiSuiteDownLoader.exe" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
  GroupPolicyScripts: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Admin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  FirewallRules: [{08080C0C-E935-4091-946B-21ED9D148472}] => (Allow) ASAM_Server.exe => Нет файла
  FirewallRules: [{1C6AC3C9-23A6-46BE-BA7F-3F66A643FEEF}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
  FirewallRules: [{8A93BE7F-90DD-457D-A33D-D7F8716CA528}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла
  FirewallRules: [{8AC3B81A-26B6-4B3C-9474-D453C987F57F}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
  FirewallRules: [{03F349A8-9912-4DE5-B5F0-2720EED9C5D3}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла
  FirewallRules: [{3303BFE0-74D5-467A-81FE-A7006478DFA5}] => (Allow) LPort=1433
  FirewallRules: [{725FCDBC-5C7E-4DE9-B7DD-BEEC4C794564}] => (Allow) LPort=135
  FirewallRules: [{53046FA9-1C4A-4BE4-B309-47BFC758B738}] => (Allow) LPort=1434
  FirewallRules: [{321391CF-4D74-43E9-B8C9-5B023947CF19}] => (Allow) LPort=1434
  FirewallRules: [{786CA6C1-E76B-4FC7-9047-CD8DFBFE8BA4}] => (Allow) LPort=80
  FirewallRules: [{DE507661-7356-4162-B74D-4A5B618A2823}] => (Allow) LPort=443
  FirewallRules: [{D32B847B-9B26-499C-9AA3-5C74537D700F}] => (Allow) LPort=135
  FirewallRules: [{54576C2D-B2E5-473B-963B-9F9EA7BFFB64}] => (Allow) LPort=1433
  FirewallRules: [{01311496-8DEF-4824-ACCA-5C79BF7F54F9}] => (Allow) LPort=1434
  FirewallRules: [{7F8FABBF-A8C5-4B69-8944-5A872C8B8B24}] => (Allow) LPort=1434
  FirewallRules: [{FFC098C3-DFDD-4507-A2A2-77B66D3FD886}] => (Allow) LPort=8745
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[SergD29 0]

 

Fixlog

Fixlog.txt

[Sandor 1 252]

Источник заражения нужно искать в вашей сети.  Если будет подозрение, можем тут на форуме проверить, только действуйте по принципу один компьютер - одна тема.

 

Здесь проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.