Решена Нужна помощь с трояном в заданиях планировщика

Статус
В этой теме нельзя размещать новые ответы.
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.1 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    bl BF69865A3ACD3379B0A8D870CCD43618 113
    zoo %SystemRoot%\WEB\N.VBS
    delall %SystemRoot%\WEB\N.VBS
    delref A.EXE
    delref %SystemRoot%\DEBUG\ITEM.DAT
    delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
    delref %SystemRoot%\DEBUG\OK.DAT
    delref S.DAT
    delref S.RAR
    delref S&C:\WINDOWS\UPDATE.EXE
    zoo %SystemRoot%\INF\MSIEF.EXE
    bl 5CA04ED0CEB72994A57B264427DB1671 302750
    addsgn 1A22739A5583C28CF42B95BCAC695105D7FFFE044A08F63C83C3C53F31D271C7E294A25F3E92DC4DE38FC79F81173DE33EDF2B27DE36E6D3587F2FDE2FA8178C 8 Trojan.BAT.Starter.ly [Kaspersky] 7
    
    chklst
    delvir
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.

Соберите и прикрепите новый лог uVS.

А также:
  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 

Вложения

  • ADMIN-ПК_2018-11-22_11-55-24_v4.1.7z
    620.1 KB · Просмотры: 1
  • SecurityCheck.txt
    19.5 KB · Просмотры: 2
Карантин не нужно прикреплять к сообщению. Нужно его отправить по инструкции.

Как и предполагалось, закрывайте уязвимые места системы:
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18449 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4467107 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^
Java(TM) SE Development Kit 10.0.1 (64-bit) v.10.0.1.0
Java SE Development Kit 8 Update 161 (64-bit) v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u192-windows-x64.exe)^
Java 10.0.1 (64-bit) v.10.0.1.0
Java 8 Update 102 v.8.0.1020.14 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^
Java SE Development Kit 8 Update 161 v.8.0.1610.12 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jdk-8u192-windows-i586.exe)^
------------------------------- [ Browser ] -------------------------------
Google Chrome v.70.0.3538.102 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 
В целом, после установки нескольких hotfix'ов и антивируса, проблема в целом пропала. Антивирус блокирует всякие попытки трояна, потому думаю проблема решена. Спасибо всем за помощь!
 
Сделайте свежий лог автологера для контроля. Если все чисто, то будем завершать.
 
Сделайте свежий лог автологера для контроля. Если все чисто, то будем завершать.
conhost.exe из временной папки всё ещё появляется, и пытается запуститься, антивирус блокирует эту возможность... но меня смущает что он пытается это сделать.. а так всё хорошо. Разве что Chrome очень долго открывается (по сравнению с прошлыми разами).

Ах да, забыл сказать: некоторых HotFix'ы не применяются к моему компьютеру.
 

Вложения

  • CollectionLog-2018.11.23-12.48.zip
    32.4 KB · Просмотры: 1
Последнее редактирование модератором:
Автологер отработал неверно. Для выяснения причины этого:
Выполните скрипт в AVZ из папки ...Autologger\AVZ\ (Файл - Выполнить скрипт):

Код:
var PathAutoLogger, CMDLine : string;

 begin
 clearlog;
 PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
 AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
 SaveLog(PathAutoLogger+'report3.log');
 if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
 AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
 end.

архив Report.7z из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению.

conhost.exe из временной папки всё ещё появляется, и пытается запуститься
Соберите свежий лог uVS.
 
Автологер отработал неверно. Для выяснения причины этого:
Выполните скрипт в AVZ из папки ...Autologger\AVZ\ (Файл - Выполнить скрипт):

Код:
var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
    then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
    else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
     ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.
Код выполнился успешно, но вот avz далее просто виснит, и ничего не делает, пытается открыть что-то в автологере.
 
Антивирус отключаете?
 
Скрипт AVZ выполните, загрузив систему в безопасном режим.

Свежий лог uVS соберите из нормального режима.
 
Это вы карантин вместо лога прикрепили.
 
Это вы карантин вместо лога прикрепили.
тьфу блин, никак не могу разобраться в этом всем. :)

Давайте, наверное, закрывать эту тему. Хотя бы на пару дней. В целом эта фигня больше не проявляет себя так опасно, как это было до этого. Спасибо Вам всем за помощь! Приятного Вам времяпровождения! :)

Если что-то случится, можно ли обращаться ещё к Вам?
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу