Приложите новые логи утилиты FRST.
Уточните пожалуйста видно какой процесс грузит ПК?
Printable View
Приложите новые логи утилиты FRST.
Уточните пожалуйста видно какой процесс грузит ПК?
1)Прикладываю логи с "включенным вирусом" и "отключенным".
2)Насчет видимости процесса...Через программу "Bandicam" заснял список процессов при "выключенном вирусе", а потом сравнил с "включенным".
При включенном заметил вот эти лишние процессы:
nvvFxa.exe*32
svhost.exe LOCAL (это лишний свхост, т.е. на 1 больше чем при "выключенном")
WmiPrvSe.exe
WmiApSrv.exe
Wmprph.exe
Думаю хочется упомянуть что вирус обнаружил где-то неделю назад, а еще месяц назад при запуске пк начала вылазить консоль(буквально на 3 секунды) со следующим содержанием:
[ATTACH=CONFIG]674065[/ATTACH]
А далее, спустя 5 минут выскакивает следующее:
[ATTACH=CONFIG]674066[/ATTACH]
Думаю упомянуть это не лишнее.
P.S. Так же, почему то логи со "включенным" вирусом весят чуть больше.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\Common Files\System\svc\dllhost.exe
Zip: File: C:\Program Files\Common Files\System\svc\dllhost.exe
Folder: C:\Program Files\Common Files\System\svc
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1.bat [2018-07-04] ()
File: C:\Windows\SysWOW64\srvany.exe
U5 BITS; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
File: C:\Windows\System32\DRIVERS\oem-drv64.sys
2017-09-02 10:36 - 2017-09-02 10:36 - 000000000 _____ () C:\Users\Grisha\AppData\Local\{85615563-CCBA-4761-BD95-453F24044304}
2017-07-26 17:48 - 2017-07-26 17:48 - 000000000 _____ () C:\Users\Grisha\AppData\Local\{EF8BF081-1AC9-433D-AA80-16E58B567429}
File: C:\Windows\System32\suge1l6.dll
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
При загрузке карантина пишет "Ошибка загрузки. Данный файл уже был загружен"
Поэтому привожу через файлообменник.
[url]https://ru.files.fm/u/ebrzcgbq[/url]
[url]https://www.virustotal.com/ru/file/8739c76e681f900923b900c9df0ef75cf421d39cabb54650c4b9ad19b6a76d85/analysis/1538066464/[/url]
По каким-то причинам не смогла утилита взять в карантин файл:
[CODE]"File: C:\Program Files\Common Files\System\svc\dllhost.exe" => not found[/CODE]
Могли бы загрузиться в безопасный режим и заархивировать следующие файлы в zip с паролем infected для анализа:
[CODE]C:\Program Files\Common Files\System\svc\dllhost.exe
C:\Windows\System32\DRIVERS\oem-drv64.sys
[/CODE]
P.S. Важно при этом не запускать их.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Также сообщите, после фикса проблема проявляется еще?
После фикса проблема не ушла, архивы прикрепляю.
И я немного не понял, что значит не запускать?Загрузил безопасный режим, открыл нужные папки и кинул в архив, все.Если нужно было как-то иначе, сообщите пожалуйста.
[QUOTE=deBerN;1489234]
И я немного не понял, что значит не запускать?.[/QUOTE]
Всмысле не кликать по ним, чтобы они не запустили и не присутствовали в процессах. Вы выполнили, то что нужно. Отправил файлы на анализ.
Сообщите, пожалуйста пароль на архив oem-drv64.zip
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
File: C:\Program Files\Common Files\NVIDIA RTX Shared\nvvfxa.exe
VirusTotal: C:\Program Files\Common Files\NVIDIA RTX Shared\nvvfxa.exe
Zip: C:\Program Files\Common Files\OpenCU Common;C:\Program Files\Common Files\NVIDIA RTX Shared;C:\Program Files\Common Files\NVIDIA RTX Shared\nvvfxa.exe
Folder: C:\Program Files\Common Files\NVIDIA RTX Shared
Folder: C:\Program Files\Common Files\OpenCU Common
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
пришел ответ от Вир. лаба - нет угрозы от dllhost.zip.
Пароль infected русской раскладкой, т.е. - [B]штаусеув[/B] (почему-то раскладка поменялась).
Карантин выслал.
Логи прикрепляю.
Нашел угрозу, спасибо за карантин, ранее пропустил их из-за того что эти файлы были подписаны цифровой подписью.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
Folder: C:\Program Files\Common Files\NVIDIA RTX Shared
Folder: C:\Program Files\Common Files\OpenCU Common
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
Прикрепляю
Прошу прощения, выполните следующий фикс, в предыдущем только показывает содержимое папок но не удалят.
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
CloseProcesses:
C:\Program Files\Common Files\NVIDIA RTX Shared
C:\Program Files\Common Files\OpenCU Common
Reboot:
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
В моем сообщении выше(за 23:23) вирус выключен был, поэтому когда сделал фикс, при перезапуске снова пошла загрузка гп.
Решил переделать, сделать фикс при "включенном" вирусе, в итоге при перезапуске загрузка гп вроде как нормализовалась.
Прикрепляю фикслог при [B]"включенном"[/B] вирусе.
[B]upd.[/B] Вижу ваше сообщение за 23:32, написали мы одновременно) Поэтому пока бездействую до вашего следующего указания.
Если надо будет выполнить содержимое вашего сообщения, повторите пожалуйста это следующим сообщением.
да, необходимо вам выполнить новый фикс, так как команда folder: только показывает содержимое папок.
Прикрепляю
Теперь все ок, сообщите что с проблемой? Вредоносное ПО отправил в Вир. лаб. скоро его добавят в сигнатуры.
Уточните пожалуйста, вернуть следующую запись из карантина?
[CODE]Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1.bat [2018-07-04] ()[/CODE]
1)Перезапустил комп 3 раза не выключая интернет, с загрузкой гп проблем не возникло, загружено на 5% и температура в районе 36.
2)А за что этот батник отвечает? Имеются ли в нем вредоносные файлы? Что с ним, что без, пока что никакой разницы не замечаю.
[B]upd.[/B]Забыл еще сказать, судя по вашему коду, вы просто закрыли процессы, их нужно удалять или беспокоить больше не будут?
касаемо батника, чтобы восстановить его выполните следующее:
[LIST][*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
CreateRestorePoint:
RestoreQuarantine: C:\FRST\Quarantine\C\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1.bat.xBAD
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![/LIST]
Вирусные аналитике в батнике не видят угрозу.
Касаемо вредоносных файлов, то они находятся в карантине [B]C:\FRST\Quarantine[/B] , пока они в карантине они угрозу не представляют.
Однако [B]пока не решите вопрос[/B] с батником (нужен он вам или нет), [B]не удаляйте[/B] каталог C:\FRST.
[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]
Получил ответ от вирусных аналитиков:
[QUOTE]В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
idegvx.exe - Trojan.Win32.Miner.usvk
nvvfxa.exe - Trojan.Win32.Miner.usvj[/QUOTE]
Восстановил батник, лог прикрепляю.
На этом все!. Понаблюдайте пару дней, если все будет ок, то выполните завершаюшие действия.
В завершение:
1.
[list][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Настройки[/B] -[B] Удалить AdwCleaner[/B] - выберите [B]Удалить[/B].[*]Подтвердите удаление, нажав кнопку: Да.[/list]
Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.
Остальные утилиты лечения и папки можно просто удалить.
Хорошо, тогда завтра отпишу сюда(надеюсь в последний раз:D)