[РЕШЕНО] Проблемы с Winmon.sys, winmonfs.sys, csrss.exe

[EvgRts]

Доброго времени суток! Подцепили данную гадость, судя по всему расползается по сети, т. к. изначально проблема проявлялась в высокой нагрузке на ЦП на другом ПК, в диспетчере задач процесса с большой нагрузкой на ЦП не нашел,  решил просканировать ПК KVRT  - в результате утилита нашла руткиты в файлах Winmon.sys, winmonfs.sys, подтвердил удаление с перезагрузкой, но при повторном сканировании они определяются вновь. Сейчас аналогичная проблема на ПК с которого пишу, лог с Autologger'a приложить не могу - AVZ виснет после начала сканирования (после этапа, когда нужно свернуть запустившиеся IE и Chrome), ждал 40 минут - без изменений.

[Sandor]

Здравствуйте!

 

Только что, EvgRts сказал:

AVZ виснет после начала сканирования

Сеть (локальная или внешняя) в это время отключена?

Пробуйте собрать в безопасном режиме.

[EvgRts]

Сеть подключена, получилось снять логи в безопасном режиме

CollectionLog-2021.06.21-16.12.zip

[Sandor]

7 минут назад, EvgRts сказал:

Сеть подключена

На время лечения отключите и попробуйте собрать логи без сети в нормальном режиме (не в безопасном).

[EvgRts]

Отключение сети не помогло, все так же виснет

[Sandor]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[EvgRts]

все файлы из автозагрузки были проверены на VirusTotal. По поводу uVS - зависает на этапе формирования списка

[Sandor]

Соберите этот лог из под WinPE или из среды восстановления.

[EvgRts]

Снял лог через PE

ADM_2021-06-22_12-10-02_v4.1.7z

[Sandor]

Выполните следующий скрипт:

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
;---------command-block---------
delref %SystemRoot%\RSS\CSRSS.EXE
delref %SystemDrive%\USERS\7272~1\APPDATA\LOCAL\TEMP\HALENG.EXE
delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\TEMP\V8_1DA0_16.TMP
apply

 

Войдите в нормальный режим.

Если файл

Цитата

C:\TOOLKIT-LE_2\渥矮璢ｬ･ｭ粱 -LE_2\X527-渥矮璢ｬ･ｭ粱.CMD

известен, упакуйте всю папку в архив с перемещением. Если не известен, просто удалите и пробуйте собрать CollectionLog Автологером.

[EvgRts]

Скрипт выполнил, папка известная, но на всякий случай удалил, загрузился в обычный режим. Запустил Autologger - тоже самое что и в предыдщий раз, за исключением того, что теперь виснет вся система, а не только AVZ

[Sandor]

По логам особо плохого больше не видно. Давайте попробуем выяснить причину зависания:

которая скорее всего кроется в сторонней службе или программе. В этом случае выполните следующие действия.
Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft.
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке Автозагрузка.
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте здесь.
 

[EvgRts]

Отключил все не майкрософтовские службы кроме Nvidia  - лог удалось снять, в автозагрузке тоже все поотключал

CollectionLog-2021.06.22-13.18.zip

[Sandor]

По предложенной выше методике попробуйте теперь определить кто "вешает" систему.

В логах порядок. Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[EvgRts]

Пытаюсь отследить службу, лог от SecurityCheck прилагаю

SecurityCheck.txt

со службой разобрался - это были 3 службы программы ViTerminal, пользовались ей давно, поэтому отключил за ненадобностью, теперь логи снимаются нормально