Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Компьютер заражен conhost.exe

Ответить
Настройки темы
Компьютер заражен conhost.exe

Старожил


Сообщения: 165
Благодарности: 1

Профиль | Отправить PM | Цитировать


Изменения
Автор: A_kitten
Дата: 20-02-2019
Не могу победить conhost.exe. Несколько раз пролечила через DrWeb Cureit в основном и безопасном режимах. При первом прогоне было 203 зараженных файла, потом все меньше и меньше, но этот зловред пока непобедим. Выполнила 8 стандартную утилиту при открытых браузераз, файл прилагаю, а также утилиты № 2 и № 3. Ссылка на файл по утилите № 8 https://cloud.mail.ru/public/6eRb/BXGYXXFh9
Спасибо, жду помощи, Очень!

Отправлено: 19:31, 17-02-2019

 

Аватара для Sandor

Ветеран


Консультант


Сообщения: 4276
Благодарности: 1053

Профиль | Отправить PM | Цитировать


Скриншоты можно в виде картинки прикреплять.

Сделайте свежий лог uVS.

Отправлено: 09:31, 20-02-2019 | #31



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Старожил


Сообщения: 165
Благодарности: 1

Профиль | Отправить PM | Цитировать


Cвежий лог uVS.

Последний раз редактировалось A_kitten, 20-02-2019 в 14:50.


Отправлено: 10:17, 20-02-2019 | #32


Аватара для Sandor

Ветеран


Консультант


Сообщения: 4276
Благодарности: 1053

Профиль | Отправить PM | Цитировать


  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код: Выделить весь код
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    
    ;---------command-block---------
    delref HTTP://JS.1226BYE.XYZ:280/V.SCT
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MFMJPFOGGIKOLKFILOFBPGCNHDCGAHIB\3.0.2_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFJGIBHMCGNCMJHDODPAOLFBJPJJAJAL\3.0.2_0\ПОИСК MAIL.RU
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.24.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LADDJIJKCFPAKBBNNEDBHNNCIECIDNCP\8.23.0_0\ПОИСК ЯНДЕКСA
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.15_0\СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.0.1_0\СТАРТОВАЯ — ЯНДЕКС
    bl BF69865A3ACD3379B0A8D870CCD43618 113
    zoo %SystemRoot%\WEB\N.VBS
    delall %SystemRoot%\WEB\N.VBS
    delref A.EXE
    delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
    delref S.DAT
    delref S.RAR
    delref S&C:\WINDOWS\UPDATE.EXE
    zoo %SystemRoot%\DEBUG\ITEM.DAT
    delall %SystemRoot%\DEBUG\ITEM.DAT
    apply
    
    zoo %SystemRoot%\INF\MSIEF.EXE
    bl 9091762417FBD6E7DFC3E024ECE18DF4 304983
    addsgn 1A22739A5583C28CF42B95BCAC695105D7FFFE044A08F63C83C3C53F31D271C7E294A25F3E92DC4DE38FC79F81173DE33EDF2B27DE36E6D3587F2FDE2FA8178C 8 Trojan.BAT.Starter.ly [Kaspersky] 7
    
    chklst
    delvir
    
    czoo
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.


Ещё раз лог uVS, пожалуйста сделайте.

Отправлено: 10:29, 20-02-2019 | #33


Старожил


Сообщения: 165
Благодарности: 1

Профиль | Отправить PM | Цитировать


Выполнила скрипт, отправила файлы в форме, прилагаю свежий лог

Последний раз редактировалось A_kitten, 21-02-2019 в 10:27.


Отправлено: 14:50, 20-02-2019 | #34


Аватара для Sandor

Ветеран


Консультант


Сообщения: 4276
Благодарности: 1053

Профиль | Отправить PM | Цитировать


Не сдается. Ну ничего, мы тоже не сдаемся ))
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Запустите файл TDSSKiller.exe.
  3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
  4. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  8. Самостоятельно без указания консультанта ничего не удаляйте!!!
  9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  10. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

Отправлено: 15:14, 20-02-2019 | #35


Старожил


Сообщения: 165
Благодарности: 1

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt TDSSKiller.3.1.0.26_21.02.2019_01.09.25_log.txt
(4.7 Kb, 1 просмотров)
Тип файла: rar tmp.rar
(62.4 Kb, 1 просмотров)

Утилиту выполнила, ком-р предложил перезагрузку, сделала, утилита снова стартанула теперь сама, снова проверила, и так несколько раз, т.к. один файл не излечивается. приложила все логи.

Отправлено: 21:17, 20-02-2019 | #36


Аватара для Sandor

Ветеран


Консультант


Сообщения: 4276
Благодарности: 1053

Профиль | Отправить PM | Цитировать


Цитата A_kitten:
один файл не излечивается »
Нет, просто система заражается по новой.

Проверьте еще раз уязвимости, на этот раз так:
Выполните скрипт в AVZ при наличии доступа в интернет:

Код: Выделить весь код
var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else 
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) 
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

После устранения возможных уязвимостей ещё раз соберите лог TDSS.

Отправлено: 10:05, 21-02-2019 | #37


Старожил


Сообщения: 165
Благодарности: 1

Профиль | Отправить PM | Цитировать


Большое спасибо за помощь. Отпишусь теперь уже после отпуска. ДО отпуска сделать не успею. Убегаю, но я вернусь, т.к. вопрос не закрыт.
СПАСИБО!!!!

Отправлено: 10:30, 21-02-2019 | #38



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Компьютер заражен conhost.exe

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] Процессы makecab.exe, conhost.exe тормозят систему. ytty Лечение систем от вредоносных программ 3 30-11-2015 20:39
Conhost.exe, csrss.exe, nvvsvc.exe и прочее VELDO Лечение систем от вредоносных программ 12 26-05-2015 10:21
[решено] Процессы conhost.exe, csrss.exe и т.д., подозрение на вирусы. Vicarious Лечение систем от вредоносных программ 18 03-12-2014 16:19
Заражен rundll32.exe Stokkador Лечение систем от вредоносных программ 1 04-07-2011 10:43
Заражен winlogon.exe Zuxel Лечение систем от вредоносных программ 7 06-08-2009 10:58




 
Переход