Вирус

[DarkKiber]

Вот логи

Скрипт сделал

 

[DarkKiber]

Проблема пока что сохраняется

Забыл упомянуть что компьютер стал делать синие экраны с ошибкой

page in nonpaged area


Ну и после синих экранов или обычных перезагрузок ( в этом случае через пару раз )

Вирусы снова вылезают так сказать

 

[mike 1]

Error: (10/20/2018 04:56:03 PM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Сбой при запуске службы "Microsoft Security Center (2.0) Service" из-за ошибки

Error: (10/21/2018 11:10:41 AM) (Source: SideBySide) (EventID: 59) (User: )
Description: Ошибка создания контекста архивации для "C:\Windows\tasksche.exe". Ошибка в файле манифеста или политики "C:\Windows\tasksche.exe" в строке 0.
Синтаксическая ошибка в XML.

Забыл упомянуть что компьютер стал делать синие экраны с ошибкой

Эта защитная реакция самозащиты антивируса на попытку заражения WannaCry. А все потому что не ставите обновления на систему. Поставьте патч из этой https://forum.kasperskyclub.ru/index.php?showtopic=55543 темы.


ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

1. Временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
   

   CreateRestorePoint:
   CloseProcesses:
   2018-10-21 01:09 - 2018-10-21 10:29 - 000000081 _____ C:\Windows\system32\s
   2018-10-21 01:09 - 2018-10-21 10:29 - 000000079 _____ C:\Windows\system32\ps
   2018-10-21 01:09 - 2018-10-21 10:29 - 000000077 _____ C:\Windows\system32\p

3. Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
4. Обратите внимание, что компьютер будет перезагружен.
5. Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

 

[DarkKiber]

Свежий лог

 

[DarkKiber]

Апдейт тоже поставил

 

[DarkKiber]

Также заметил что мой антивирус постоянно блочит новый файл

cohernece.exe

который появился в папке windows/temp

и этот файл отчаянно лезет в сеть зачем-то

Кроме него другие файлы пока что перестал возраждаться, включая записи в автозапуске

 

[mike 1]

• Для профилактики и защиты от повторных заражений загрузите SecurityCheck by glax24 отсюда и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите отчет в вашей теме

 

[DarkKiber]

Приложил лог

+ два скрина

тк файл о котором я сказал выше - всячески пытается выйти в сеть

Написано что он связан с касперским в свойствах

Появился уже после того как мы использовали

TTDS killer

 

[mike 1]

Проверьте файл на virustotal.

Контроль учётных записей пользователя отключен
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления

---------------------- [ AntiVirusFirewallInstall ] -----------------------
COMODO Internet Security Premium v.10.2.0.6526 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
GIMP 2.8.18 v.2.8.18 Внимание! Скачать обновления
Git version 2.11.0 v.2.11.0 Внимание! Скачать обновления
WinRAR 5.31 (64-разрядная) v.5.31.0 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 171 (64-bit) v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-x64.exe)^
Java 8 Update 171 v.8.0.1710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u192-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 30 PPAPI v.30.0.0.154 Внимание! Скачать обновления

 

[DarkKiber]

Вот результаты проверки это файла

По сути только он беспокоит на данный момент

https://www.virustotal.com/ru/file/...d4393ccbb12b9fa593637d62/analysis/1540156598/

 

[DarkKiber]

Ну и второй момент

когда он работает
также включается

powershell.exe в Windows
и грузит ЦП на 50%

 

[mike 1]

Поставьте обновления, включите UAC.

Сделайте лог полного сканирования MBAM https://safezone.cc/threads/faq-po-rabote-s-malwarebytes-anti-malware-v-3.28958/

 

[DarkKiber]

Вот лог

Прилично нашлось всего )

 

[mike 1]

Удалите в MBAM только указанные ниже записи:

Процесс: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Модуль: 1
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465

Раздел реестра: 1
PUP.Optional.WinMendRegistryCleaner, HKLM\SOFTWARE\WOW6432NODE\WINMEND\Registry Cleaner, Проигнорировано пользователем, [3425], [483621],1.0.7465

Файл: 7
Trojan.Agent, C:\WINDOWS\DEBUG\xmrstak_cuda_backend.dll, Проигнорировано пользователем, [397], [207049],1.0.7465
Trojan.Agent, C:\WINDOWS\DEBUG\xmrstak_opencl_backend.dll, Проигнорировано пользователем, [397], [207049],1.0.7465
Spyware.InfoStealer.Themida, C:\WINDOWS\TEMP\COHERNECE.EXE, Проигнорировано пользователем, [8497], [529451],1.0.7465
Backdoor.Agent, C:\USERS\DARKKIBER\APPDATA\ROAMING\Microsoft\Windows\Recent\java-log-9527.log.lnk, Проигнорировано пользователем, [1236], [532657],1.0.7465
Backdoor.Agent, C:\WINDOWS\TEMP\JAVA-LOG-9527.LOG, Проигнорировано пользователем, [1236], [532657],1.0.7465

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name=\"Windows Events Consumer\"",Filter="__EventFilter.Name=\"Windows Events Filter\"", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:__EventFilter.Name="Windows Events Filter", Проигнорировано пользователем, [14167], [528077],1.0.7465
Hijack.BitCoinMiner.WMI.Generic, \\WIN-5CAGQT8ID9L\ROOT\subscription:CommandLineEventConsumer.Name="Windows Events Consumer", Проигнорировано пользователем, [14167], [528077],1.0.7465

Сделайте новый лог быстрого сканирования MBAM

Смените все пароли.

 

[DarkKiber]

Пока что всё спокойно относительно после чистки

не один из файлов не возродился

 

[mike 1]

Понаблюдайте.

Вообщем случилась такая проблема - подхватил вирус после установки кое-какой программы

Пришлите в ЛС ссылку на эту программу.

 

[DarkKiber]

Понаблюдайте.


Пришлите в ЛС ссылку на эту программу.

Ну там не совсем есть смысл

Прогу уже удалил. По сути там был вирус в exe файле, запустил программу и всё - ничего не произошло

как-то так

Но пока что всё реально спокойно - апдейты поставил - систему ничто не грузит

Само собой, если что-то начнётся обязательно отпишусь

Единственное что - мне показалось что

файлы svchost.exe стали есть больше оперативной памяти - что несколько напрягает

 

[mike 1]

Проблема решена?