COM Surrogate(dll+host)+слежка(возможно)

Здравствуйте, где-то с недели две назад цепанул вирусняк на одном сайте, хотел скачать как это может показаться странным, ключи для известного антивируса(дурак, знаю, попался). В общем, я бывший эникейщик сразу полез за AVZ и обломался, поскольку при попытке удаления вирусни ядро Win10 падает с K_MODE_EXCEPTION_NOT_HANDLED.

Обнаружил вирус так, при попытке залогиниться в экране приветствия, 10 раз пришлось ввести пароль(хотя он и в первый раз был правилен). Далее, через обслуживание windows обнаружил, что постоянно включается удаленный доступ. Потом, заприметил собственно процесс COM Surogate, и попутно обратил внимание что переодически на рабочем столе выполняется какая-то команда в CMD.exe(не успел просечь, т.к. окно открывается буквально на секунду). Точек восстановления к сожалению нет.

Лог, через 10 BSOD'ов таки собрал. Но в нем почему-то учтен лишь один дамп, с одной из ошибок.

Уважаемый(ая) [B]SODIX[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Проблема все еще актуальна.

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('C:\Users\SODIX\appdata\local\svshost\svshost.exe', '');
DeleteFile('C:\Users\SODIX\appdata\local\svshost\svshost.exe', '32');
DeleteFileMask('c:\users\sodix\appdata\local\svshost', '*', true);
DeleteDirectory('c:\users\sodix\appdata\local\svshost');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

Сделайте лог [URL="http://virusinfo.info/showthread.php?t=146192&p=1041844&viewfull=1#post1041844"]Malwarebytes AdwCleaner[/URL].

Спасибо конечно за помощь, но кабы было все так просто я бы сам справился. Дело в том, что как я уже писал AVZ не может собрать лог, т.к. машина падает в BSOD каждый раз при попытке сбора лога. Соответственно никакого файла карантин не получится.

Хорошо, ну а скрипт выше удаётся выполнить? Отключите все экраны Avast и попробуйте. Да и лог всё же удалось ведь как-то сделать, он в первом сообщении.
Затем делайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

[QUOTE]Хорошо, ну а скрипт выше удаётся выполнить? [/QUOTE]
Нет, не получается. Именно на нем и валится ядро.

Пробуйте отредактированный скрипт.

Таки получилось, собрал. Прикрепляю файлы.

Карантин нельзя прикреплять к сообщению, я написал, куда его отправить.

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/sMLgZKzK3GRwUZ"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

Ступил да, закачал карантин заново. А вот, лог UVS.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0b13 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
delref %SystemDrive%\USERS\SODIX\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\R-STUDIO\R-STUDIO.EXE
delref %SystemDrive%\USERS\SODIX\APPDATA\LOCAL\TEMP\HYD5A.TMP.1491523351\HTA\3RDPARTY\FS.OCX
del %SystemDrive%\USERS\SODIX\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\HXD.LNK
Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx
apply[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с UVS появится архив [B]Events.7z[/B], загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку [B]в личном сообщении[/B].

Отправил.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Кстати, тут после некоторых вышеприведенных манипуляций в корне диска появились подозрительные файлы, которые невозможно удалить и просмотреть.[ATTACH=CONFIG]659221[/ATTACH]

После перезагрузки должны исчезнуть, побочные продукты жизнедеятельности UVS :)

Проблемы начались сразу после установки 10-ки, судя по журналам событий. Ошибки разные, если не железо, значит, несовместимость драйверов и программ.

Запустите AVZ, Файл -> Стандартные скрипты, выберите и выполните 6-й - "Удаление всех драйверов и ключей реестра AVZ" с последующей перезагрузкой.

Удалите полностью Avast.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Еси его нет - продолэайте без него.

"Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите [B]sfc /scannow[/B] и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

Билд системы старый, глючный и со множеством уязвимостей. Обновляйте систему, или ставьте 7-ку. Вирусы не при чём.

Все? Вирус удален? Можно узнать что это за хрень была по названию и какую информацию она собирала? Что стоит сменить из паролей итд?
[QUOTE] Билд системы старый, глючный и со множеством уязвимостей. Обновляйте систему, или ставьте 7-ку. Вирусы не при чём. [/QUOTE]
Ммм, это как бы Creators Update крайний, со всеми апдейтами. Я его ставил с офф.сайта как только он релизнулся месяц назад.

Плюс, в AVZ все-равно куча красного текста сыпется с перехватами, модификациями машинного кода, подменой PID итд.

[QUOTE=SODIX;1447190]Все? Вирус удален? Можно узнать что это за хрень была по названию и какую информацию она собирала? Что стоит сменить из паролей итд?[/QUOTE]
Сложно сказать, потому что в карантин попал уже пустой файл.

[QUOTE=SODIX;1447190]Ммм, это как бы Creators Update крайний, со всеми апдейтами. Я его ставил с офф.сайта как только он релизнулся месяц назад.[/QUOTE]
[URL="https://geektimes.ru/post/288644/"]Microsoft советует не устанавливать Creators Update для Windows 10 вручную[/URL]

[QUOTE=SODIX;1447190]Плюс, в AVZ все-равно куча красного текста сыпется с перехватами, модификациями машинного кода, подменой PID итд.[/QUOTE]
Не обращайте внимания, это нормально.

[QUOTE]Сложно сказать, потому что в карантин попал уже пустой файл.[/QUOTE]
Да я обратил внимание, но все-равно как-то тревожно, не хочу майнить биткоины и участвовать с дудосах.
[CODE]>sfc /scannow

Начато сканирование системы. Этот процесс может занять некоторое время.

Начало стадии проверки при сканировании системы.
Проверка 29% завершена.

Защита ресурсов Windows не может выполнить запрошенную операцию.[/CODE]
Ништяк, теперь венду с диска восстанавливать(которого нет). Ладно, разберусь. А что вместе аваста поставить из бесплатного? Не рекламы ради, но безопасности для.

У десятки, особенно Creators Update, есть проблемы совместимости с антивирусами. Встроенный защитник вполне неплох, стороннее советовать не буду.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]