Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.
Касперский free обнаруживает вирус PDM:Trojan.Win32.Generic на windows10 pro x64.
После лечения, вирус находиться снова. Касперский опять его лечит, и так до бесконечности.
Пробовали лечить kaspersky removal tool, затем cureit. Не помогло.
Дополнительная информация: на момент обнаружения, политиками было запрещено запускать диспетчер задач и править реестр.
При загрузке появлялся такой же профиль, как оригинальный, только с паролем. После входа в свой профиль, профиль клон пропадает.

находит: C:\ProgramData\xmrig.cmd
и еще один: C:\ProgramData\Internet Explorer\RtkAudio.exe

оба файла, после удаления, появляются вновь.

smb протокол "Запилен"

cureit находит кучу dll (скриншот прилагаю)

Сделал сбор логов с помощью AutoLogger.exe

ConnectWise Control_PK6_2021-09-08_4.png

CollectionLog-2021.09.08-16.00.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

6 минут назад, valentin_ubuntu сказал:

Сделал сбор логов с помощью AutoLogger.exe

Вынужден не согласиться :)

В архиве логи утилиты FRST, их пока никто не запрашивал. Переделайте по правилам.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('loadhost Dhcp');
 QuarantineFile('C:\Windows\INF\host.cmd','');
 QuarantineFile('C:\Windows\INF\IntelSvc.exe','');
 QuarantineFile('C:\Users\Public\Music\loadhost.exe','');
 DeleteFile('C:\Users\Public\Music\loadhost.exe','64');
 DeleteFile('C:\Windows\INF\IntelSvc.exe','64');
 DeleteSchedulerTask('Intel(R)Updata');
 DeleteSchedulerTask('GoogleUpdateUser');
 DeleteFile('C:\Windows\INF\host.cmd','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты
Цитата

Запущено с помощью share (ВНИМАНИЕ: Пользователь не является Администратором) на PK6 (Acer Veriton S2610G) (13-09-2021 10:57:33)

Придется переделать, дав учетке права администратора
 

Ссылка на сообщение
Поделиться на другие сайты

Уважаемый, Thyrex!

Большое спасибо, что откликнулись и помогли нам, с нашей проблемой.

 

По итогу: вылечились с помощью eset online scaner, который нашел все места, куда прописалась зараза. После лечения eset, касперский  free смог удалить командный сценарий C:\ProgramData\xmrig.cmd.

Далее подправили групповые политики, через которые были заблокированы: Диспетчер задач и вправка в реестр.

Далее, разобрались с мифической учетной записью, которая появлялась, на короткое время, при перезагрузке пк, затем пропадала.

Чтоб непонятная учетка не лезла в автозагрузке, выправили реестр:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
DefaultUserName - было проставлено имя учетки, под которой пролез вирус + имя последнего сеанса входа тоже было прописано для данной учетки desktop (исправили)
AutoAdminLogon - был параметр единица, выправили на ноль.

 

На данный момент видимых признаков заражения нет. Рекламные баннеры не выскакивают. Касперский молчит.

Вот, как-то так. Надеюсь, кому-то, данная информация, поможет :)
 

 

 

Изменено пользователем valentin_ubuntu
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От SecHijack
      Доброго дня форумчане! Беда у меня! На сервере под ОС Windows server 2016 появился коронавирус. Утилита Emsisoft распознает его как SecHijack но удалить его не может. Он (или не он) блокирует панель управления. Меня политику, менял реестр, ничего не помогло. Сам вирус тоже не удаляется. С реестра напрямую удалил, какое-то время его не было, но потом опять появился. Это одна из бед. Когда удалось мне запустить диспетчер задач, то обнаружил в процессах некий процесс под названием VMware Tools Core Service. Также в службах непонятную службу с названием X. После удаления с реестра файла, на которого ссылался sechijack, отключил службу Х. Но с появлением нового SecHijack появилась новая службу под названием XX


      Также как видите в 1 скрине работают какие то непонятные службы от непонятных юзеров. Прошу помочь с удалением вируса 
       
    • От Phantom581
      Недавно я заметил что какая то программа сильно грузит мой процессор. Когда я открыл "диспетчер задач" я увидел на 2 секунды что процес под названием "Система прерывания" грузит мой компьютер а именно процессор на 100%, затем нагрузка на процессор резко понизилась а сам процесс исчез из моего поля зрения. Сам процесс не появляется и нагрузка на процессор не возникает пока открыт диспетчер задач, после закрытия "диспетчера задач" процесс появляется снова спустя некоторое время и начинает грузить мой пк. Проблем с драйверами точно нету.....
      Добрый люди пожалуйста помогите мне!
      Также забыл уточнить что я сканировал свой компьютер с помощью таких программ как Kaspersky Internet Security, Malwarebytes, HitmanPro. Программы вирус не нашли!
      CollectionLog-2021.10.20-17.54.zip
    • От Максим Павельев
      Добрый день.
      KES 11.1.1.126
      KSC 11
       
      на все библиотеки Miranda ругается, при запуске батника. У других 68 пользователей такого нет(Соответственно базы у всех одинаковые), что можно сделать?
      естественно ничего вредоносного нет
       
       
       

    • От DarDOne
      Поймал вирус майнер и возможно не только его который жрет оперативку почти под 100%, после нескольких манипуляций в /PrgramData нашел папку "Puzzle media"
      CollectionLog-2021.10.17-03.47.zip
    • От OrionBlack
      На работе подключил свою флешку  к компу
      вернулся домой на флешке файлы MusaLLaT.exe
      Ozel Dosyalar.exe
      на компе не было антивирусника успел заразиться 
      вирус блокает диспетчер задач командную строку и редактор реестра 
      с помощью 
      Kaspersky Virus Removal Tool;
      реестр стал открываться пока правок не делал
      диспетчер всё так же в отключке 
      права администратора забрал себе вирусник CollectionLog-2021.10.14-19.12.zip
×
×
  • Создать...