Решена Заражение вирусами. Множественные процессы powershell.exe, cmd.exe. и др.

Статус
В этой теме нельзя размещать новые ответы.

Bludger

Новый пользователь
Сообщения
8
Реакции
0
Добрый день! Умудрились поймать вирус/вирусы на компьютере. Началось с того, что появились проблемы с интернетом, а именно - менялись dns-сервера, с автоматических на 8.8.8.8. и 9.9.9.9. соответственно( т.к. это предприятие, на некоторые локальные программы это влияло отрицательно). В файле hosts были вписано куча левых адресов. Также некоторые окна автоматом закрывались стоит их только запустить, замечено было на Google Chrome и КриптоПро. Стоит отметить что на этом моменте множество процессов powershell.exe, cmd.exe и др. не было замечено.​

В общем решили почистить своими силами, а именно - Dr. Web CureIt последней версией (проверка всех компонентов и жесткого диска), KVRT(тоже что можно было выбрать, выбрали) ну и AVZ(настройки на полную проверку и вперед!). Dr.Web нашел примерно 70 вирусов(многие названия повторялись, менялся лишь их порядковый номер). KVRT ничего не выявил. AVZ вроде 3-4 шт. После проверок утилитами и замены файла host на стандартный, окна (КриптоПро и Chrome) стали нормально открываться и не закрываться, компьютер стал меньше виснуть, но проблема с DNS-серверами не ушла( они также спустя некоторое время работы сами менялись на 8-ки и 9-ки). Также появились левые процессы powershell.exe и др.(скриншоты прикладываю. Кстати интересно что когда делал скриншот, нагрузка на процессор и память были по 0%, а тут корректно отображает). Спустя некоторое время экран просто темнеет и "разбудить" комп получается с Ctrl+Alt+Delete. Стал конкретно зависать сам проводник.​

Стоит отметить что когда скачал AutoLogger и попробовал собрать логи, то программа не запустилась ссылаясь на ошибку связанную с памятью(извиняюсь, забыл сделать скриншот). Перезагрузился в безопасном и запустил, но снял он логи не до конца(понял что сглупил и так логи не стоило делать) и видимо AVZ часть этой заразы грохнул, потому что ребутнувшись в обычное состояние Windows, процессы powershell и др. ушли, но что-то чувствую ненадолго. Прикрепленные логи уже сделал в нормальном режиме проблемного ПК. Прошу помощи с лечением данной заразы. Спасибо.​

Информация о системе:​
  • Windows 7 32-bit​
  • 2GB ОЗУ​
  • Антивируса не установлено​
  • Интернет, локальная сеть имеются​
 

Вложения

  • 1.jpg
    1.jpg
    101.4 KB · Просмотры: 144
  • 2.jpg
    2.jpg
    107 KB · Просмотры: 105
  • 3.jpg
    3.jpg
    93.5 KB · Просмотры: 112
  • Ethernet Properties.jpg
    Ethernet Properties.jpg
    39.7 KB · Просмотры: 109
  • CollectionLog-2020.07.09-16.33.zip
    107.8 KB · Просмотры: 10
Последнее редактирование:
Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\java.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\TEMP\cfxrlyk.exe', '');
 DeleteSchedulerTask('4dCLtuQM\dUHlx4KjJD');
 DeleteSchedulerTask('FVJ54Pls2\i2yRakExX');
 DeleteSchedulerTask('Microsoft\Windows\cfxrlyk');
 DeleteSchedulerTask('Microsoft\Windows\phy8PAL\iUYBAwlOmc');
 DeleteSchedulerTask('RNqtFcSTY2');
 DeleteSchedulerTask('SyFjBWZum');
 DeleteSchedulerTask('t.zer9g.com');
 DeleteFile('C:\Windows\java.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\TEMP\cfxrlyk.exe', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis:
Код:
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Инякина\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2018/04/11) (file missing)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKU\.DEFAULT\..\Policies\Explorer: [DisallowRun] = 1
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\Wbem

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Прикрепите к следующему сообщению свежий CollectionLog.
 
В понедельник отпишусь с прикреплением логов.
 
Прикрепляют логи после повторного сканирования
 

Вложения

  • CollectionLog-2020.07.14-12.01.zip
    59.4 KB · Просмотры: 1
Выглядит значительно лучше :)

Файл CheckBrowserLnk.log
из папки
...\AutoLogger\CheckBrowserLnk
перетащите на утилиту ClearLNK.

move.gif

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Прикрепляю логи после проверок утилитами. Такой вопрос ещё - можно ли эти инструкции в будущем применять на другие компьютера с похожими проблемами? Или это индивидуально для каждого отдельного случая?
P.S. Компьютер стал значительно шустрее работать! :)
 

Вложения

  • Addition_14-07-2020 15.16.27.txt
    70.6 KB · Просмотры: 1
  • ClearLNK-2020.07.14_15.12.48.log
    26.2 KB · Просмотры: 1
  • FRST_14-07-2020 15.16.27.txt
    44.8 KB · Просмотры: 1
это индивидуально для каждого отдельного случая?
Именно так. Для любого компьютера инструкции будут чуть позже.

Учётная запись:
john (S-1-5-21-3791048453-3932234427-1879805932-1007 - Administrator - Enabled)
скорее всего не ваша. Отключите и удалите.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\AutoLogger-test\AutoLogger\AVZ\avz.exe" Script="C:\AutoLogger-test\AutoLogger\AVZ\Script2.txt" HiddenMode=0
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-1813392464-1766421301-4125910738-101396\...\MountPoints2: F - F:\AutoRun.exe
    HKU\S-1-5-21-1813392464-1766421301-4125910738-101396\...\MountPoints2: {1ea144c6-d0b0-11e7-8ea8-902b344325cb} - F:\AutoRun.exe
    HKU\S-1-5-21-1813392464-1766421301-4125910738-101396\...\MountPoints2: {22b0e816-6de4-11e3-9792-902b344325cb} - E:\AutoRun.exe
    GroupPolicy: Restriction ? <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    Task: {2E16384D-B576-415A-8620-A7772B6A6E95} - System32\Tasks\blackball => blackball
    Task: {812F0DCE-2A53-42D2-AAFE-A5975AE08E04} - \{808B86FD-A161-4E17-AAB3-0BC05A977E9B} -> No File <==== ATTENTION
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
    Toolbar: HKU\S-1-5-21-1813392464-1766421301-4125910738-101396 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
    FF NewTab: Mozilla\Firefox\Profiles\a8g2i120.default -> yafd:tabs
    FF Extension: (Пульт) - C:\Users\Инякина\AppData\Roaming\Mozilla\Firefox\Profiles\a8g2i120.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-29] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ff_pult/update.json]
    C:\Users\Инякина\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh
    C:\Users\Инякина\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfigaoamnncijbgomifamkmkidnnlikl
    CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh]
    CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
    CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne]
    CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
    CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
    CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
    S3 ESETCleanersDriver; \??\C:\Windows\system32\Drivers\ESETCleanersDriver.sys [X]
    2020-07-08 10:25 - 2020-07-14 11:34 - 000000000 ____D C:\Windows\system32\Tasks\FVJ54Pls2
    2020-07-08 10:24 - 2020-07-14 11:34 - 000000000 ____D C:\Windows\system32\Tasks\4dCLtuQM
    2020-07-08 10:24 - 2020-07-08 10:24 - 000003302 _____ C:\Windows\system32\Tasks\blackball
    2020-07-07 15:11 - 2020-07-08 10:18 - 011139072 _____ C:\ProgramData\temp5.exe
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\Norton
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\McAfee
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\grizzly
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\ESET
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\Avg
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\AVAST Software
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\360TotalSecurity
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\360safe
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\SpyHunter
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\Malwarebytes
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\ESET
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\Enigma Software Group
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\COMODO
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\Cezurity
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\ByteFence
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\AVG
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\AVAST Software
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\AdwCleaner
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\Windows\boy.exe
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\script.exe
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\olly.exe
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\lsass2.exe
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\lsass.exe
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\kz.exe
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\Windows\speechstracing
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\ProgramData\MB3Install
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\ProgramData\Malwarebytes
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\ProgramData\Indus
    2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\ProgramData\Avira
    2020-06-21 23:57 - 2020-07-07 12:39 - 000000000 __SHD C:\rdp
    2020-06-21 23:57 - 2020-07-07 12:39 - 000000000 __SHD C:\ProgramData\WindowsTask
    2020-06-21 23:57 - 2020-07-07 12:39 - 000000000 __SHD C:\ProgramData\RunDLL
    2020-06-21 23:57 - 2020-07-07 12:39 - 000000000 __SHD C:\ProgramData\install
    2020-06-21 23:57 - 2020-07-07 12:38 - 000000000 __SHD C:\ProgramData\Windows
    2020-06-21 23:57 - 2020-07-07 12:34 - 000000000 __SHD C:\ProgramData\RealtekHD
    2020-06-21 23:57 - 2020-07-07 12:33 - 000000000 __SHD C:\Program Files\RDP Wrapper
    2020-06-21 23:57 - 2020-06-21 23:57 - 000000000 ____D C:\ProgramData\System32
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
    FirewallRules: [{FFBEE9EB-5435-46B4-B29C-665E05829E04}] => (Allow) LPort=15000
    FirewallRules: [{154C2FB8-47E4-4AF1-9E60-F2170249ADE1}] => (Allow) LPort=15000
    FirewallRules: [{61FF8198-4B23-4DE7-A92E-582F6BF1B0A6}] => (Allow) LPort=15000
    FirewallRules: [{340AB40F-08F7-4A32-9BF1-A6396792AC94}] => (Allow) LPort=65529
    FirewallRules: [{1F4B2ADC-C742-4FAC-8362-6AA5E804C684}] => (Block) LPort=445
    FirewallRules: [{783E6A7B-2C85-408F-B5AA-DB7D094F32C6}] => (Block) LPort=135
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Прикрепляю лог после fix'a
 

Вложения

  • Fixlog.txt
    12.4 KB · Просмотры: 1
Достаточно было один раз выполнить.
Проблема решена?
 
Немного не понял инструкции и 2 раза сделал, извиняюсь :Scratch One S Head:
Да проблема решена полностью, спасибо Вам большое! Вопросов больше нет!
 
В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Извиняюсь что задержался!
 

Вложения

  • SecurityCheck.txt
    15.5 KB · Просмотры: 2
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer 9 v.9.0.258842 Внимание! Скачать обновления
Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 4.01 (32-разрядная) v.4.01.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 29 PPAPI v.29.0.0.140 Внимание! Скачать обновления
Adobe Acrobat Reader DC - Russian v.20.009.20067 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 76.0.1 (x86 ru) v.76.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.20.7.0.899 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
MiPony 2.0.2 v.2.0.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Во избежание рецидива хотфиксы установите обязательно. Остальное по возможности.

Читайте Рекомендации после удаления вредоносного ПО
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу