Решена Заражение вирусами. Множественные процессы powershell.exe, cmd.exe. и др.

[Bludger]

Добрый день! Умудрились поймать вирус/вирусы на компьютере. Началось с того, что появились проблемы с интернетом, а именно - менялись dns-сервера, с автоматических на 8.8.8.8. и 9.9.9.9. соответственно( т.к. это предприятие, на некоторые локальные программы это влияло отрицательно). В файле hosts были вписано куча левых адресов. Также некоторые окна автоматом закрывались стоит их только запустить, замечено было на Google Chrome и КриптоПро. Стоит отметить что на этом моменте множество процессов powershell.exe, cmd.exe и др. не было замечено.​

В общем решили почистить своими силами, а именно - Dr. Web CureIt последней версией (проверка всех компонентов и жесткого диска), KVRT(тоже что можно было выбрать, выбрали) ну и AVZ(настройки на полную проверку и вперед!). Dr.Web нашел примерно 70 вирусов(многие названия повторялись, менялся лишь их порядковый номер). KVRT ничего не выявил. AVZ вроде 3-4 шт. После проверок утилитами и замены файла host на стандартный, окна (КриптоПро и Chrome) стали нормально открываться и не закрываться, компьютер стал меньше виснуть, но проблема с DNS-серверами не ушла( они также спустя некоторое время работы сами менялись на 8-ки и 9-ки). Также появились левые процессы powershell.exe и др.(скриншоты прикладываю. Кстати интересно что когда делал скриншот, нагрузка на процессор и память были по 0%, а тут корректно отображает). Спустя некоторое время экран просто темнеет и "разбудить" комп получается с Ctrl+Alt+Delete. Стал конкретно зависать сам проводник.​

Стоит отметить что когда скачал AutoLogger и попробовал собрать логи, то программа не запустилась ссылаясь на ошибку связанную с памятью(извиняюсь, забыл сделать скриншот). Перезагрузился в безопасном и запустил, но снял он логи не до конца(понял что сглупил и так логи не стоило делать) и видимо AVZ часть этой заразы грохнул, потому что ребутнувшись в обычное состояние Windows, процессы powershell и др. ушли, но что-то чувствую ненадолго. Прикрепленные логи уже сделал в нормальном режиме проблемного ПК. Прошу помощи с лечением данной заразы. Спасибо.​

Информация о системе:​

• Windows 7 32-bit​
• 2GB ОЗУ​
• Антивируса не установлено​
• Интернет, локальная сеть имеются​

 

[Sandor]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\java.exe', '');
 QuarantineFile('C:\Windows\svchost.exe', '');
 QuarantineFile('C:\Windows\TEMP\cfxrlyk.exe', '');
 DeleteSchedulerTask('4dCLtuQM\dUHlx4KjJD');
 DeleteSchedulerTask('FVJ54Pls2\i2yRakExX');
 DeleteSchedulerTask('Microsoft\Windows\cfxrlyk');
 DeleteSchedulerTask('Microsoft\Windows\phy8PAL\iUYBAwlOmc');
 DeleteSchedulerTask('RNqtFcSTY2');
 DeleteSchedulerTask('SyFjBWZum');
 DeleteSchedulerTask('t.zer9g.com');
 DeleteFile('C:\Windows\java.exe', '32');
 DeleteFile('C:\Windows\svchost.exe', '32');
 DeleteFile('C:\Windows\TEMP\cfxrlyk.exe', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis:

O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg: MailRuUpdater [command] = C:\Users\Инякина\AppData\Local\Mail.Ru\MailRuUpdater.exe (HKCU) (2018/04/11) (file missing)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKU\.DEFAULT\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKU\.DEFAULT\..\Policies\Explorer: [DisallowRun] = 1
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows
O7 - TroubleShooting: (EV) %PATH% has missing system folder: C:\Windows\System32\Wbem

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
Прикрепите к следующему сообщению свежий CollectionLog.

 

[Bludger]

В понедельник отпишусь с прикреплением логов.

 

[Bludger]

Прикрепляют логи после повторного сканирования

 

[Sandor]

Выглядит значительно лучше

Файл CheckBrowserLnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.



Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Bludger]

Прикрепляю логи после проверок утилитами. Такой вопрос ещё - можно ли эти инструкции в будущем применять на другие компьютера с похожими проблемами? Или это индивидуально для каждого отдельного случая?
P.S. Компьютер стал значительно шустрее работать!

 

[Sandor]

это индивидуально для каждого отдельного случая?

Именно так. Для любого компьютера инструкции будут чуть позже.

Учётная запись:

john (S-1-5-21-3791048453-3932234427-1879805932-1007 - Administrator - Enabled)

скорее всего не ваша. Отключите и удалите.

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM\...\RunOnce: [AVZ] => cmd /c start " " "C:\AutoLogger-test\AutoLogger\AVZ\avz.exe" Script="C:\AutoLogger-test\AutoLogger\AVZ\Script2.txt" HiddenMode=0
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  HKU\S-1-5-21-1813392464-1766421301-4125910738-101396\...\MountPoints2: F - F:\AutoRun.exe
  HKU\S-1-5-21-1813392464-1766421301-4125910738-101396\...\MountPoints2: {1ea144c6-d0b0-11e7-8ea8-902b344325cb} - F:\AutoRun.exe
  HKU\S-1-5-21-1813392464-1766421301-4125910738-101396\...\MountPoints2: {22b0e816-6de4-11e3-9792-902b344325cb} - E:\AutoRun.exe
  GroupPolicy: Restriction ? <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  Task: {2E16384D-B576-415A-8620-A7772B6A6E95} - System32\Tasks\blackball => blackball
  Task: {812F0DCE-2A53-42D2-AAFE-A5975AE08E04} - \{808B86FD-A161-4E17-AAB3-0BC05A977E9B} -> No File <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
  Toolbar: HKU\S-1-5-21-1813392464-1766421301-4125910738-101396 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  FF NewTab: Mozilla\Firefox\Profiles\a8g2i120.default -> yafd:tabs
  FF Extension: (Пульт) - C:\Users\Инякина\AppData\Roaming\Mozilla\Firefox\Profiles\a8g2i120.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-29] [UpdateUrl:hxxps://crxmailru.cdnmail.ru/ff_pult/update.json]
  C:\Users\Инякина\AppData\Local\Google\Chrome\User Data\Default\Extensions\cncgohepihcekklokhbhiblhfcmipbdh
  C:\Users\Инякина\AppData\Local\Google\Chrome\User Data\Default\Extensions\pfigaoamnncijbgomifamkmkidnnlikl
  CHR HKLM\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh]
  CHR HKLM\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg]
  CHR HKLM\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne]
  CHR HKLM\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog]
  CHR HKLM\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
  CHR HKLM\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
  S3 ESETCleanersDriver; \??\C:\Windows\system32\Drivers\ESETCleanersDriver.sys [X]
  2020-07-08 10:25 - 2020-07-14 11:34 - 000000000 ____D C:\Windows\system32\Tasks\FVJ54Pls2
  2020-07-08 10:24 - 2020-07-14 11:34 - 000000000 ____D C:\Windows\system32\Tasks\4dCLtuQM
  2020-07-08 10:24 - 2020-07-08 10:24 - 000003302 _____ C:\Windows\system32\Tasks\blackball
  2020-07-07 15:11 - 2020-07-08 10:18 - 011139072 _____ C:\ProgramData\temp5.exe
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\Norton
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\McAfee
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\grizzly
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\ESET
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\Driver Foundation Visions VHG
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\Avg
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\AVAST Software
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\360TotalSecurity
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\ProgramData\360safe
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\SpyHunter
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\Malwarebytes
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\ESET
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\Enigma Software Group
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\COMODO
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\Cezurity
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\ByteFence
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\AVG
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\Program Files\AVAST Software
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 __SHD C:\AdwCleaner
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\Windows\boy.exe
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\script.exe
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\olly.exe
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\lsass2.exe
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\lsass.exe
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ___SH C:\ProgramData\kz.exe
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\Windows\speechstracing
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\ProgramData\MB3Install
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\ProgramData\Malwarebytes
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\ProgramData\Indus
  2020-06-21 23:58 - 2020-06-21 23:58 - 000000000 ____D C:\ProgramData\Avira
  2020-06-21 23:57 - 2020-07-07 12:39 - 000000000 __SHD C:\rdp
  2020-06-21 23:57 - 2020-07-07 12:39 - 000000000 __SHD C:\ProgramData\WindowsTask
  2020-06-21 23:57 - 2020-07-07 12:39 - 000000000 __SHD C:\ProgramData\RunDLL
  2020-06-21 23:57 - 2020-07-07 12:39 - 000000000 __SHD C:\ProgramData\install
  2020-06-21 23:57 - 2020-07-07 12:38 - 000000000 __SHD C:\ProgramData\Windows
  2020-06-21 23:57 - 2020-07-07 12:34 - 000000000 __SHD C:\ProgramData\RealtekHD
  2020-06-21 23:57 - 2020-07-07 12:33 - 000000000 __SHD C:\Program Files\RDP Wrapper
  2020-06-21 23:57 - 2020-06-21 23:57 - 000000000 ____D C:\ProgramData\System32
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
  FirewallRules: [{FFBEE9EB-5435-46B4-B29C-665E05829E04}] => (Allow) LPort=15000
  FirewallRules: [{154C2FB8-47E4-4AF1-9E60-F2170249ADE1}] => (Allow) LPort=15000
  FirewallRules: [{61FF8198-4B23-4DE7-A92E-582F6BF1B0A6}] => (Allow) LPort=15000
  FirewallRules: [{340AB40F-08F7-4A32-9BF1-A6396792AC94}] => (Allow) LPort=65529
  FirewallRules: [{1F4B2ADC-C742-4FAC-8362-6AA5E804C684}] => (Block) LPort=445
  FirewallRules: [{783E6A7B-2C85-408F-B5AA-DB7D094F32C6}] => (Block) LPort=135
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Bludger]

Прикрепляю лог после fix'a

 

[Sandor]

Достаточно было один раз выполнить.
Проблема решена?

 

[Bludger]

Немного не понял инструкции и 2 раза сделал, извиняюсь
Да проблема решена полностью, спасибо Вам большое! Вопросов больше нет!

 

[Sandor]

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Bludger]

Извиняюсь что задержался!

 

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Стандартный 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer 9 v.9.0.258842 Внимание! Скачать обновления
Microsoft Office Standard 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 4.01 (32-разрядная) v.4.01.0 Внимание! Скачать обновления
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5 v.3.50.0000 Внимание! Программа удаленного доступа!
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 29 PPAPI v.29.0.0.140 Внимание! Скачать обновления
Adobe Acrobat Reader DC - Russian v.20.009.20067 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 76.0.1 (x86 ru) v.76.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.20.7.0.899 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
---------------------------- [ UnwantedApps ] -----------------------------
MiPony 2.0.2 v.2.0.2 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Во избежание рецидива хотфиксы установите обязательно. Остальное по возможности.

Читайте Рекомендации после удаления вредоносного ПО

 

[Bludger]

Благодарю за помощь!!