COM Surrogate(dll+host)+слежка(возможно)

[SODIX]

Здравствуйте, где-то с недели две назад цепанул вирусняк на одном сайте, хотел скачать как это может показаться странным, ключи для известного антивируса(дурак, знаю, попался). В общем, я бывший эникейщик сразу полез за AVZ и обломался, поскольку при попытке удаления вирусни ядро Win10 падает с K_MODE_EXCEPTION_NOT_HANDLED.

Обнаружил вирус так, при попытке залогиниться в экране приветствия, 10 раз пришлось ввести пароль(хотя он и в первый раз был правилен). Далее, через обслуживание windows обнаружил, что постоянно включается удаленный доступ. Потом, заприметил собственно процесс COM Surogate, и попутно обратил внимание что переодически на рабочем столе выполняется какая-то команда в CMD.exe(не успел просечь, т.к. окно открывается буквально на секунду). Точек восстановления к сожалению нет.

Лог, через 10 BSOD'ов таки собрал. Но в нем почему-то учтен лишь один дамп, с одной из ошибок.

[Info_bot]

Уважаемый(ая) SODIX, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SODIX]

Проблема все еще актуальна.

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Users\SODIX\appdata\local\svshost\svshost.exe', '');
 DeleteFile('C:\Users\SODIX\appdata\local\svshost\svshost.exe', '32');
 DeleteFileMask('c:\users\sodix\appdata\local\svshost', '*', true);
 DeleteDirectory('c:\users\sodix\appdata\local\svshost');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
ExecuteSysClean;
RebootWindows(false);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Сделайте новый лог Autologger.

Сделайте лог Malwarebytes AdwCleaner.

[SODIX]

Спасибо конечно за помощь, но кабы было все так просто я бы сам справился. Дело в том, что как я уже писал AVZ не может собрать лог, т.к. машина падает в BSOD каждый раз при попытке сбора лога. Соответственно никакого файла карантин не получится.

[Vvvyg]

Хорошо, ну а скрипт выше удаётся выполнить? Отключите все экраны Avast и попробуйте. Да и лог всё же удалось ведь как-то сделать, он в первом сообщении.
Затем делайте новый лог Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.

[SODIX]

Хорошо, ну а скрипт выше удаётся выполнить?

Нет, не получается. Именно на нем и валится ядро.

[Vvvyg]

Пробуйте отредактированный скрипт.

[SODIX]

Таки получилось, собрал. Прикрепляю файлы.

[Vvvyg]

Карантин нельзя прикреплять к сообщению, я написал, куда его отправить.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[SODIX]

Ступил да, закачал карантин заново. А вот, лог UVS.

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0b13 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
delref %SystemDrive%\USERS\SODIX\APPDATA\ROAMING\BITTORRENT\BITTORRENT.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\57.0.2987.133\INSTALLER\CHRMSTP.EXE
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\R-STUDIO\R-STUDIO.EXE
delref %SystemDrive%\USERS\SODIX\APPDATA\LOCAL\TEMP\HYD5A.TMP.1491523351\HTA\3RDPARTY\FS.OCX
del %SystemDrive%\USERS\SODIX\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\HXD.LNK
Exec wevtutil.exe epl System system.evtx
Exec wevtutil.exe epl Application Application.evtx
Exec pack\7za.exe a -t7z -sdel -mx9 -m0=ppmd:o=32:mem=512m Events.7z *.evtx
apply

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.

В папке с UVS появится архив Events.7z, загрузите его в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку в личном сообщении.

[SODIX]

Отправил.

- - - - -Добавлено - - - - -

Кстати, тут после некоторых вышеприведенных манипуляций в корне диска появились подозрительные файлы, которые невозможно удалить и просмотреть.virus.jpg

[Vvvyg]

После перезагрузки должны исчезнуть, побочные продукты жизнедеятельности UVS

Проблемы начались сразу после установки 10-ки, судя по журналам событий. Ошибки разные, если не железо, значит, несовместимость драйверов и программ.

Запустите AVZ, Файл -> Стандартные скрипты, выберите и выполните 6-й - "Удаление всех драйверов и ключей реестра AVZ" с последующей перезагрузкой.

Удалите полностью Avast.

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас. Еси его нет - продолэайте без него.

"Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

Билд системы старый, глючный и со множеством уязвимостей. Обновляйте систему, или ставьте 7-ку. Вирусы не при чём.

[SODIX]

Все? Вирус удален? Можно узнать что это за хрень была по названию и какую информацию она собирала? Что стоит сменить из паролей итд?

Билд системы старый, глючный и со множеством уязвимостей. Обновляйте систему, или ставьте 7-ку. Вирусы не при чём.

Ммм, это как бы Creators Update крайний, со всеми апдейтами. Я его ставил с офф.сайта как только он релизнулся месяц назад.

Плюс, в AVZ все-равно куча красного текста сыпется с перехватами, модификациями машинного кода, подменой PID итд.

[Vvvyg]

Все? Вирус удален? Можно узнать что это за хрень была по названию и какую информацию она собирала? Что стоит сменить из паролей итд?

Сложно сказать, потому что в карантин попал уже пустой файл.

Ммм, это как бы Creators Update крайний, со всеми апдейтами. Я его ставил с офф.сайта как только он релизнулся месяц назад.

Microsoft советует не устанавливать Creators Update для Windows 10 вручную

Плюс, в AVZ все-равно куча красного текста сыпется с перехватами, модификациями машинного кода, подменой PID итд.

Не обращайте внимания, это нормально.

[SODIX]

Сложно сказать, потому что в карантин попал уже пустой файл.

Да я обратил внимание, но все-равно как-то тревожно, не хочу майнить биткоины и участвовать с дудосах.

Код:

>sfc /scannow

Начато сканирование системы.  Этот процесс может занять некоторое время.

Начало стадии проверки при сканировании системы.
Проверка 29% завершена.

Защита ресурсов Windows не может выполнить запрошенную операцию.

Ништяк, теперь венду с диска восстанавливать(которого нет). Ладно, разберусь. А что вместе аваста поставить из бесплатного? Не рекламы ради, но безопасности для.

[Vvvyg]

У десятки, особенно Creators Update, есть проблемы совместимости с антивирусами. Встроенный защитник вполне неплох, стороннее советовать не буду.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения вредоносные программы в карантинах не обнаружены