Здравствуйте, вирус в загрузочном секторе, после лечения и перезагрузки, папка NetworkDistribution снова появляется.
Printable View
Здравствуйте, вирус в загрузочном секторе, после лечения и перезагрузки, папка NetworkDistribution снова появляется.
Уважаемый(ая) [B]sasha-20011[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\dllhostex.exe');
QuarantineFile('c:\windows\system32\dllhostex.exe', '');
QuarantineFile('c:\windows\system32\networkupnpsystem.dll', '');
DeleteFile('C:\Windows\networkdistribution\adfw.dll', '');
DeleteFile('C:\Windows\networkdistribution\adfw-2.dll', '');
DeleteFile('C:\Windows\networkdistribution\cnli-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\cnli-1.dll', '');
DeleteFile('C:\Windows\networkdistribution\coli-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\crli-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\dmgd-1.dll', '');
DeleteFile('C:\Windows\networkdistribution\dmgd-4.dll', '');
DeleteFile('C:\Windows\networkdistribution\esco-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\etch-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\etchcore-0.x64.dll', '');
DeleteFile('C:\Windows\networkdistribution\etchcore-0.x86.dll', '');
DeleteFile('C:\Windows\networkdistribution\eteb-2.dll', '');
DeleteFile('C:\Windows\networkdistribution\etebcore-2.x64.dll', '');
DeleteFile('C:\Windows\networkdistribution\etebcore-2.x86.dll', '');
DeleteFile('C:\Windows\networkdistribution\exma.dll', '');
DeleteFile('C:\Windows\networkdistribution\exma-1.dll', '');
DeleteFile('C:\Windows\networkdistribution\iconv.dll', '');
DeleteFile('C:\Windows\networkdistribution\libcurl.dll', '');
DeleteFile('C:\Windows\networkdistribution\libeay32.dll', '');
DeleteFile('C:\Windows\networkdistribution\libiconv-2.dll', '');
DeleteFile('C:\Windows\networkdistribution\libxml2.dll', '');
DeleteFile('C:\Windows\networkdistribution\out.dll', '');
DeleteFile('C:\Windows\networkdistribution\pcla-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\pcre-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\pcrecpp-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\pcreposix-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\posh.dll', '');
DeleteFile('C:\Windows\networkdistribution\posh-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\riar.dll', '');
DeleteFile('C:\Windows\networkdistribution\riar-2.dll', '');
DeleteFile('C:\Windows\networkdistribution\spoolsv.exe', '');
DeleteFile('C:\Windows\networkdistribution\ssleay32.dll', '');
DeleteFile('C:\Windows\networkdistribution\svchost.exe', '');
DeleteFile('C:\Windows\networkdistribution\tibe.dll', '');
DeleteFile('C:\Windows\networkdistribution\tibe-1.dll', '');
DeleteFile('C:\Windows\networkdistribution\tibe-2.dll', '');
DeleteFile('C:\Windows\networkdistribution\trch.dll', '');
DeleteFile('C:\Windows\networkdistribution\trch-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\trch-1.dll', '');
DeleteFile('C:\Windows\networkdistribution\trfo.dll', '');
DeleteFile('C:\Windows\networkdistribution\trfo-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\trfo-2.dll', '');
DeleteFile('C:\Windows\networkdistribution\tucl.dll', '');
DeleteFile('C:\Windows\networkdistribution\tucl-1.dll', '');
DeleteFile('C:\Windows\networkdistribution\ucl.dll', '');
DeleteFile('C:\Windows\networkdistribution\x64.dll', '');
DeleteFile('C:\Windows\networkdistribution\x86.dll', '');
DeleteFile('C:\Windows\networkdistribution\xdvl-0.dll', '');
DeleteFile('C:\Windows\networkdistribution\zibe.dll', '');
DeleteFile('C:\Windows\networkdistribution\zlib1.dll', '');
DeleteFile('c:\windows\system32\dllhostex.exe', '');
DeleteFile('c:\windows\system32\dllhostex.exe', '32');
DeleteFile('c:\windows\system32\networkupnpsystem.dll', '');
DeleteFile('C:\Windows\system32\NetworkUPnPSystem.dll', '32');
DeleteFileMask('c:\windows\networkdistribution', '*', true);
DeleteDirectory('c:\windows\networkdistribution');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\NetworkUPnPSystem\Parameters', 'ServiceDll', '32');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке [COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR] над над первым сообщением в теме. Также просьба выложить этот файл в доступном облачное хранилище или на файлообменнике и дать ссылку [B][COLOR="#FF0000"]в личном сообщении[/COLOR][/B].
Сделайте проверку с помощью [URL="https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL]. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.
[url]https://dropmefiles.net/ru/2kPhNc[/url]
Что с проблемой?
Есть в сети другие заражённые машины?
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
Проблема осталась. Папку NetworkDistribution закрыл на изменения всем, файлы вроди бы перестали там появляться и проц не грузится вроди бы, но другие файлы снова появляются.
[QUOTE]------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467]Скачать обновления[/url][/b][/color]
HotFix KB3125574 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color][/QUOTE]При таком количестве незакрытых критических уязвимостей - неудивительно.
Не ответили, в сети есть другие компьютеры с той же заразой? Скорее всего, после лечения приползают снова. Установите хотя бы KB4012212, иначе всё насмарку.
Пролечите систему KVRT, отключив её от сети, будет рецидив?