Решена rootkit bootkit darkgalaxy + майнеры

Статус
В этой теме нельзя размещать новые ответы.

Erivil

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Здравствуйте. Посодействуйте в лечении.
Ноут терял отзывчивость, периодические зависал намертво, краш видеодрайвера, недоступность диспетчера задач, недоступность некоторых сетевых адресов и служб обновления ms, было невозможно запустить AV сканер или инсталлировать AV.

В планировщике были таски: Mysa(1-3), ok.

С безопасного режима можно было запустить KVRT, который удалял список ниже, но при перезагрузке все повторялось.
c:\windows\degub\item.dat
c:\windows\degub\ok.dat
c:\windows\help\lsmosee.exe
c:\windows\syswow64\drivers\64.exe
c:\windows\TEMP\conhost.exe

В папках кеша ie - майнеры.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,475
Реакции
13,381
Баллы
2,203
Карантин от TDSS убрал.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\temp\conhost.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Erivil

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Имя карантина:
2019.02.12_quarantine_d2efdcb42a9a82994c279d62c14b127d.7z

При загрузке теперь появляется такое оповещение:
42823
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,475
Реакции
13,381
Баллы
2,203
Машина офисная?
 

Erivil

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Нет, но сейчас стоит в офисе. Принесли посмотреть.
 

akok

Команда форума
Администратор
Сообщения
17,475
Реакции
13,381
Баллы
2,203
Проверьте запуск одноименной службы, ее стандартное значение запуска "автоматически"

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    Task: {02C6136A-A603-40A2-AC8D-8AD6393614FA} - \ok -> No File <==== ATTENTION
    Task: {272E28CB-D52D-4AB2-AD5E-4E789FC98710} - \Mysa3 -> No File <==== ATTENTION
    Task: {739EF136-F7CF-440E-B7F9-B3AB57FA7497} - \Mysa2 -> No File <==== ATTENTION
    Task: {7FF7687B-6C02-45F6-BF7C-E5A69DACEB60} - \Mysa1 -> No File <==== ATTENTION
    Task: {AE2A15ED-23CF-4640-9041-C4A720343D90} - \Mysa -> No File <==== ATTENTION
    Task: {D8A1D332-356D-4F18-9969-0329B2A4654D} - \cvc -> No File <==== ATTENTION
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Erivil

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Код:
C:\Windows\system32>sc config gpsvc start= auto
[SC] OpenService: ошибка: 5:

Отказано в доступе.


C:\Windows\system32>sc start gpsvc
[SC] StartService: OpenService: ошибка: 5:

Отказано в доступе.
 

Вложения

akok

Команда форума
Администратор
Сообщения
17,475
Реакции
13,381
Баллы
2,203
С зловредом все. Появляться окно стало после скрипта AVZ или раньше?
 

Erivil

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
Спасибо. В журнале впервые "Клиент групповой политики" появился вчера. Сейчас каждые 2-4 минуты не может запуститься "Теневое копирование тома"
Окно да, после avz. Я пытался удалить conhost.exe avz вчера используя конструкцию

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\temp\conhost.exe', '32');
DeleteFile('c:\windows\debug\item.dat','32');
DeleteFile('c:\windows\debug\ok.dat','32');
DeleteSchedulerTask('Mysa');
DeleteSchedulerTask('Mysa1');
DeleteSchedulerTask('Mysa2');
DeleteSchedulerTask('Mysa3');
DeleteSchedulerTask('ok');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
 
Последнее редактирование:

akok

Команда форума
Администратор
Сообщения
17,475
Реакции
13,381
Баллы
2,203
Не должно ломать.

С лечением все, финализируем

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
С gpsvc будем искать решение в профильной теме, там могут отвечать больше специалистов чем лечении. +

+++ сразу приложите экспорт ветки реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\gpsvc
 
Последнее редактирование:

Erivil

Новый пользователь
Сообщения
12
Реакции
0
Баллы
1
SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 12.02.2019 23:05:00
Path starting: C:\Users\Dom\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Dom
VersionXML: 5.93is-10.02.2019
___

Windows 7(6.1.7601) Service Pack 1 (x64) Professional Lang: Russian(0419)
Дата установки ОС: 10.07.2018 04:14:00
Статус лицензии: Windows(R) 7, Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [117.1 Гб] Занято: [26.6 Гб] Свободно: [90.5 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя включен (Уровень 3)
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2019-02-12 18:16:44
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Kaspersky Free (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Kaspersky Free (включен и обновлен)
Windows Defender (выключен и устарел)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Kaspersky Free v.19.0.0.1088
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062
Microsoft .NET Framework 4.6.1 (RUS) v.4.6.01055
Microsoft .NET Framework 4.6.1 (Русский) v.4.6.01055
7-Zip 18.06 v.18.06
Foxit Reader v.9.4.1.16828
------------------------------- [ Browser ] -------------------------------
Google Chrome v.72.0.3626.96
------------------ [ AntivirusFirewallProcessServices ] -------------------
Kaspersky Anti-Virus Service 19.0.0 (AVP19.0.0) - Служба работает
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\avp.exe v.19.0.0.1088
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\avpui.exe v.19.0.0.1088
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------
 

akok

Команда форума
Администратор
Сообщения
17,475
Реакции
13,381
Баллы
2,203
На этом с лечением все.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу