Всё исчезает [Rootkit.Win64.Agent.avn, Rootkit.Win64.Agent.avo ]

[Who_is_you?]

Антивирус находит Троян Cloxer
и после этого на мониторе остается только картинка рабочего стола.
Ярлыки и нижняя строка исчезают.

После перезагрузки компа все появляется, но через некоторое время все повторяется.

[Info_bot]

Уважаемый(ая) Who_is_you?, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '');
 DeleteService('Winmon');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

[Who_is_you?]

CollectionLog-2018.05.19-10.22
После моей чистки

- - - - -Добавлено - - - - -

Позавчера, до борьбы с вирусами были:
1) Trojan:Win32/Dynamer!ac
Объекты:
file:C:\Users\OEGI-Electronics\AppData\Local\Temp\768353803\app.exe

Ransom:Win32/WannaCrypt/A!rsm
Объекты:
file:C:\Windows\mssecsvc.exe

3) ...Cloxer

*******************************************
Сегодня:
Обнаруженный элемент:
Trojan:Win32/Azden.B!cl

Категория: Троян

Описание: Эта опасная программа выполняет команды злоумышленника.

Рекомендуемое действие: Немедленно удалите это программное обеспечение.

Объекты:
taskscheduler:C:\Windows\System32\Tasks\ScheduledU pdate
file:C:\Users\OEGI-Electronics\AppData\Local\Temp\csrss\scheduled.exe
file:C:\Windows\System32\config\systemprofile\AppD ata\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\066KGR6I\app[1].exe
file:C:\Windows\System32\Tasks\ScheduledUpdate
regkey:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{601A2E AF-FA99-49FE-AC71-2A9E25BAE664}
regkey:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Schedule dUpdate

После работы антивирусной программы опять все исчезло
Почистил сам комп вручную через реестр и используя названия, обсуждаемыме в теме.

А что за зверь 'Winmon.sys" из скрипта?
После работы скрипта комп выдал сообщение о Winmon.sys что-то про драйвера монитора

- - - - -Добавлено - - - - -

Специально сделал перезагрузку
Появляется сообщение о Winmon.

И Антивирус нашел:
1) Обнаруженный элемент:
Trojan:Win32/Eqtonex.C

Категория: Троян
Описание: Эта опасная программа выполняет команды злоумышленника.
Рекомендуемое действие: Немедленно удалите это программное обеспечение.
Объекты:
file:C:\Users\OEGI-Electronics\AppData\Local\Temp\csrss\smb\dbXZOUDxu BaylJLoPiDoZtRHDxwHg\Doublepulsar-1.3.1.exe
file:C:\Users\OEGI-Electronics\AppData\Local\Temp\csrss\smb\ozgzwLvxl eCIo\Doublepulsar-1.3.1.exe
file:C:\Users\OEGI-Electronics\AppData\Local\Temp\csrss\smb\vjDfHNsBa opuH\Doublepulsar-1.3.1.exe

2) Обнаруженный элемент:
Trojan:Win32/Skeeyah.A!bit

Категория: Троян
Описание: Эта опасная программа выполняет команды злоумышленника.
Рекомендуемое действие: Немедленно удалите это программное обеспечение.
Объекты:
file:C:\Windows\windefender.exe
service:WinDefender

Запрашиваемый карантин послал
Пока комп работает, но антивирусная программа периодически ловит вирусы Троян

[Vvvyg]

Что за зверь - теперь видно в названии темы.

Отключите до перезагрузки антивирус, закройте все браузеры и выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
 TerminateProcessByName('c:\users\oegi-electronics\appdata\local\temp\csrss\proxy\tor\tor.exe');
 QuarantineFile('c:\users\oegi-electronics\appdata\local\temp\csrss\proxy\tor\tor.exe', '');
 QuarantineFile('C:\Users\OEGI-Electronics\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
 DeleteFile('c:\users\oegi-electronics\appdata\local\temp\csrss\proxy\tor\tor.exe', '');
 DeleteFile('C:\Users\OEGI-Electronics\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe', '');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{83E3475D-9E3E-434B-9D22-8E6F38B7E5B4}" /F', 0, 15000, true);
 DeleteService('TCPSvc');
 DeleteService('Winmon');
 DeleteService('WinmonFS');
 DeleteFileMask('c:\users\oegi-electronics\appdata\local\temp\csrss', '*', true);
 DeleteFileMask('c:\users\oegi-electronics\appdata\roaming\epicnet inc', '*', true);
 DeleteDirectory('c:\users\oegi-electronics\appdata\local\temp\csrss');
 DeleteDirectory('c:\users\oegi-electronics\appdata\roaming\epicnet inc');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[Who_is_you?]

Прошелся программой Doctor Web cureit, что нашел - не записывал.
Пока комп работает устойчиво - никто не лезет

Запустил предложенный Script_AVZ_AntiVirus: карантин вложил

Файлы от Farbar Recovery Scan Tool вкладываю.

Похоже
C:\Windows\rss\csrss.exe
и
C:\Users\OEGI-Electronics\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe

всё ещё сидят (смотрел файлы Farbar Recovery Scan Tool) или нет !?
Файлов по этому пути нет.

Прошло некоторое время и все опять исчезло с рабочего стола - лишь картинка есть

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
Startup: C:\Users\OEGI-Electronics\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cef_lightside.lnk [2018-04-20]
R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2018-05-18] (Zemana Ltd.)
R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2018-05-18] (Zemana Ltd.)
2018-05-18 14:13 - 2018-05-21 09:08 - 000054245 _____ C:\Windows\ZAM.krnl.trace
2018-05-18 14:13 - 2018-05-21 09:08 - 000024148 _____ C:\Windows\ZAM_Guard.krnl.trace
2018-05-18 14:13 - 2018-05-18 14:13 - 000203680 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zamguard64.sys
2018-05-18 14:13 - 2018-05-18 14:13 - 000203680 _____ (Zemana Ltd.) C:\Windows\system32\Drivers\zam64.sys
2018-05-18 14:13 - 2018-05-18 14:13 - 000000000 ____D C:\Users\OEGI-Electronics\AppData\Local\Zemana
2018-05-17 12:48 - 2018-05-17 12:48 - 000009352 _____ C:\Windows\system32\Drivers\Winmon.sys
Folder: C:\Windows\rss
2018-05-17 12:45 - 2018-05-19 11:11 - 000000000 ___HD C:\Windows\rss
FirewallRules: [{490B768C-2423-4070-8391-97689C0DD3B7}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{91813CE0-418D-4F1C-B9DB-18AA77BACEF1}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{1760ED06-E55E-4205-9D40-5151BCA3365F}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{41736A5B-0B2B-43C3-A0CF-B1F3632CEAE7}] => (Allow) C:\Windows\rss\csrss.exe
FirewallRules: [{8436D393-5F19-4482-8CEE-92A096F800E7}] => (Allow) C:\Users\OEGI-Electronics\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[Who_is_you?]

Vvvyg
Ваши рекомендации выполнены, файлы во вложении.

Возможно ещё совпадение и у меня глючат видео карта или память?
Но когда всё исчезает, то картинка рабочего стола стоит четко и запущенные программы работают!

Да, антивирусная программа ловит:
Gandcrab/AF
Категория: Троян
Описание: Эта опасная программа выполняет команды злоумышленника.
Рекомендуемое действие: Немедленно удалите это программное обеспечение.
Объекты:
file:C:\Users\OEGI-Electronics\AppData\Local\Temp\329563339\app.exe
file:C:\Users\OEGI-Electronics\AppData\Local\Temp\877738311\app.exe

[Vvvyg]

Пока не обновите систему, так и будете отбиваться от троянов. Gandcrab/AF- это шифровальщика через уязвимости подсаживают. Привычка установить пиратку и не обновлять её не прокатывает в последний год с небольшим.

------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3156019 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления

Это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в прошлом году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами.

Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

Установите Internet Explorer 11, даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

Adobe Flash Player 20 NPAPI v.20.0.0.306 Внимание! Скачать обновления
Adobe Reader X - Russian v.10.0.0 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Adobe Reader XI или Adobe Acrobat Reader DC.

Дыры в этих продуктах активно используются при заражении системы.

Mozilla Firefox 47.0.2 (x86 ru) v.47.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Браузеры тоже надо обновлять.

[Who_is_you?]

Vvvyg

Спасибо за рекомендации

Какой Фаервол лучше установить с Microsoft Security Essentials,
да что бы можно было в нем разобраться?

- - - - -Добавлено - - - - -

При попытке поставить рекомендуемые обновления получил отказ
(скриншот во вложении)
Стало только одно обновление

- - - - -Добавлено - - - - -

У меня дома вообще стоит XP, но вирусы не лезут
Как бороться с вирусами без обновлений?

[Vvvyg]

Кривая пиратка. Попробуйте установить через Набор обновлений UpdatePack7R2 для Windows 7 SP1 и Server 2008 R2 SP1.

По файрволу не подскажу, много лет сторонними не пользуюсь, хватает системного брандмауэра.

Дома XP стоит, наверняка, за роутером, т. е. за аппаратным файрволом, а других компьютеров в сети нет. А на работе - не обновлённые. кишащие троянами компьютеры, которые ваш долбят по сети. Попробуйте отключить протокол SMB версии 1 - полегчает, но могут отвалиться некоторые общие ресурсы в сети.
В общем, зовите системного администратора.

[Who_is_you?]

После работы UpdatePack7R2-18.5.10 и UpdatePatch-18.5.10
возникла проблема, которой не было до того.

Теперь вместо спокойной стандартной загрузки Виндозы при загрузке появляются окна:

- как загружаться: Win7 или Windows Fast mode
- и предлагают восстановить операционку с помощью диска

Да, диспетчер загрузки Windows сообщает о неполадках osloader.exe? ошибка: 0хс0000428

Пока все игнорирую и вхожу посредством обычной загрузки.
Средство восстановления системы, что предлагает комп ничего не меняет.

После загрузки комп работает нормально и обновления загружаются и ставятся.
Да, и проблема с вирусами пропала!!!

Как избавится от этих окон при загрузке операционки?

[Vvvyg]

Обновление пиратской системы, тем более, когда обновлений много, бывает приводит к проблемам.

Примените такой fixlist.txt в FRST64 (см. сообщение #7):

Код:

CMD: bcdedit /set {current} bootstatuspolicy ignoreallfailures
CMD: bcdedit /set {current} recoveryenabled no

Перезагрузите систему и проверьте результат.

[Who_is_you?]

Спасибо за совет.
Пока им не воспользовался.
Но я перед Вашим предложением залез и подрегулировал параметры диспетчера загрузки Windows.
Таким образом я указал, что должна идти обычная загрузка и окна не появляются.

Кстати, у моего сына тоже имя Вадим
На этом проблему буду считать решенной, пока никто не будет беспокоить

[Vvvyg]

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\winmonfs.sys - Rootkit.Win64.Agent.avn
  2. c:\windows\system32\drivers\winmon.sys - Rootkit.Win64.Agent.avo