win7, conhost, CPU загрузка 100%

Sandor · Отправлено: **12:57, 03-10-2018** | #2

Здравствуйте!

Файл

Цитата:

C:\TVschedule.bat

вам известен?

Уточните, вы точно собираетесь лечить эту виртуальную машину?

vti · Отправлено: **13:35, 03-10-2018** | #3

Sandor,
день добрый!)

Да, файл этот известен.

Именно лечить. Потому что переустанавливать ОС с нуля и настраивать сервисы - к сожалению - не вариант. Слишком большой простой будет. Рядом еще несколько виртуалок крутятся, и они зависят друг от друга.
Снэпшотов и незараженных точек отката ОС - тоже нет.

Sandor · Отправлено: **16:46, 03-10-2018** | #4

Цитата vti:

Снэпшотов и незараженных точек отката ОС - тоже нет »

Вот это плохо.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\temp\conhost.exe', '');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pvirus quarantine ./Quarantine/', 1, 0, true);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

vti · Отправлено: **18:29, 03-10-2018** | #5

Sandor, quarantine.7z отправил через форму отправки карантина.

Имя карантина - 2018.10.03_quarantine_4bf646ee4e642ebdec992a2d40b275ee.7z

Sandor · Отправлено: **08:31, 04-10-2018** | #6

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

Скачайте Universal Virus Sniffer (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

vti · Отправлено: **12:18, 04-10-2018** | #7

Sandor,

Готово.

Sandor · Отправлено: **12:31, 04-10-2018** | #8

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".

Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

Код:

;uVS v4.0.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref %SystemDrive%\USERS\KKEITH\APPDATA\LOCAL\TEMP\CHROME_BITS_3108_20157\C2986CA03609BA12064F30F60A36E6ABB8707976ADDA5FE76EDEB116923DC6EF.CRXD
apply

zoo %SystemRoot%\TEMP\CONHOST.EXE
bl F7689C53FBA27C5FBDFABDA62762F23E 219648
addsgn 925277BA106AC1CC0B24544E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.hdc [Kaspersky] 7

zoo %SystemRoot%\DEBUG\LSMOSE.EXE
bl D8AABED51E33BCE278EBD9DAC7903264 3387392
addsgn 19E4FBDD5D6A4C720BD4473C0626EDE7B18CCAC31793E64E35CFAC4566D9F725DAA1745657AC2B0CB2E97D29C96C20034B890229ACEC7D007A8EED2F339F24BA 8 Trojan.Win32.Ukpa.a [Kaspersky] 7

zoo %SystemDrive%\INSTALL\AVZ4\QUARANTINE\2018-10-03\AVZ00001.DTA
zoo %SystemRoot%\HELP\LSMOSEE.EXE
bl CFA37459C88481113B827EEBA9B1BB77 2265088
addsgn 19E4408D5D6A4C720BD4472E7DC9128E61AFFC7DDDDF1BF2C9E6CD3D95D4714C23EFCCF2EEDCD96C2F8F3B5BD9704632E10C0814860A49A36952A44914CE3890 8 HEUR:Trojan.Win32.Generic [Kaspersky] 7

chklst
delvir

deldir %SystemRoot%\DEBUG\
deldir %SystemRoot%\HELP\

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Подробнее читайте в этом руководстве.

Соберите и прикрепите контрольный лог uVS.

vti · Отправлено: **15:23, 04-10-2018** | #9

Контрольный лог.

Имя карантина: 2018.10.04_ZOO_2018-10-04_11-43-16_21fe63655bedd4e85021cd9c6730a70c.zip

Sandor · Отправлено: **15:48, 04-10-2018** | #10

Обновления системы на эту виртуалку ставите?