Показано с 1 по 4 из 4.

EternalBlue win7x86, реклама и вылет explorer.exe (заявка № 218677)

  1. 23.04.2018, 10:31 #1
    dimaka1256
    dimaka1256 вне форума
    Junior Member Репутация
    Регистрация
    23.04.2018
    Сообщений
    2
    Вес репутации
    22

    EternalBlue win7x86, реклама и вылет explorer.exe

    Доброго времени суток
    Сотрудник на днях скачал вот эту дрянь (осторожно, реально дрянь)
    Везде ответил Да, повылезало рекламы, служб, автозагрузки. Почти все вычистил руками, но последнее не могу
    Система 7x86, обновления эдак весны 2017, дальше отключены, ибо "мешаааают", как и антивирус
    Симптомы:
    1. Периодически вылетает explorer.exe и отваливается коннект от rdp сервера 2012r2 (вроде бы чистого)
    2. В диспетчере задач периодически проскакивает на секунду процесс вроде бы EternalBlue 2.2.0 без пути
    3. В автозагрузке упомянутые в отчете фейковые csrss и mrt, удалять руками бесполезно
    4. taskmgr грузит cpu на 100%
    5. реклама на страницах, куда ж без нее

    Проблема в том, что на других ПК на 7х86 (другие сборки, втч и MSDN, некоторые с полными обновлениями) повторяются пп 1 и 2, только разве что антивирус успевает что-то прибить в Appdata\Local\Temp и перезапуск explorer помогает дальше работать
    на ХР, 7х64,10х86,10х64 не проявляется
    Прошу помощи, спасибо!
    Вложения Вложения
    Последний раз редактировалось Vvvyg; 26.04.2018 в 21:20. Причина: Вирусная ссылка
    Ответить с цитированием Ответить с цитированием
  2.  Будь в курсе! Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     
  3. 23.04.2018, 10:32 #2
    Info_bot
    Info_bot вне форума
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) dimaka1256, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
    Ответить с цитированием Ответить с цитированием
  4. 24.04.2018, 01:04 #3
    dimaka1256
    dimaka1256 вне форума
    Junior Member Репутация
    Регистрация
    23.04.2018
    Сообщений
    2
    Вес репутации
    22
    извиняюсь, возможно, я что-то некоррректно спросил? вроде бы все логи на месте
    Ответить с цитированием Ответить с цитированием
  5. 26.04.2018, 21:22 #4
    Vvvyg
    Vvvyg на форуме
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    35,496
    Вес репутации
    1058
    Выполните скрипт в AVZ:
    Код:
    begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\users\anatoliy\appdata\local\temp\csrss\mrt.exe');
 TerminateProcessByName('c:\users\anatoliy\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe');
 TerminateProcessByName('c:\windows\rss\csrss.exe');
 TerminateProcessByName('c:\windows\windefender.exe');
 StopService('WinDefender');
 StopService('Winmon');
 StopService('WinmonFS');
 StopService('WinmonProcessMonitor');
 QuarantineFile('C:\Program Files\16M9FV388R\EVSONU997.exe', '');
 QuarantineFile('C:\Program Files\9CNY7SJXDD\9CNY7SJXD.exe', '');
 QuarantineFile('C:\Program Files\BH0U602O7G\BH0U602O7.exe', '');
 QuarantineFile('C:\Program Files\DMUDSU74BT\DMUDSU74B.exe', '');
 QuarantineFile('C:\Program Files\DYI3Q9IJH1\DYI3Q9IJH.exe', '');
 QuarantineFile('C:\Program Files\IZ20N1BQ2A\L1353NVNV.exe', '');
 QuarantineFile('C:\Program Files\oPjpQbAMIIE\kUyiWzk.dll', '');
 QuarantineFile('C:\Program Files\W9777W9Z0Y\W9777W9Z0.exe', '');
 QuarantineFile('C:\Program Files\WeatherInspect\VNZEX.exe', '');
 QuarantineFile('C:\Program Files\WeatherInspect\WeatherInspect.exe', '');
 QuarantineFile('C:\ProgramData\dahjService\dahjService.exe', '');
 QuarantineFile('C:\ProgramData\Logic Cramble\set.exe', '');
 QuarantineFile('C:\ProgramData\PrefsSecure\Nettrans.exe', '');
 QuarantineFile('C:\ProgramData\Voyasollam\Runlab.dll', '');
 QuarantineFile('C:\ProgramData\Voyasollam\Voyasollam.exe', '');
 QuarantineFile('C:\ProgramData\yahoochrome_D\desktop174.exe', '');
 QuarantineFile('c:\users\anatoliy\appdata\local\temp\csrss\mrt.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Local\Temp\csrss\scheduled.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\33fa1j2crjf\2pr5aeswytt.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\3qp1hmat4wz\mwywayneirs.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\AnyDeskApp\AnyDeskApp.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\dvlduuyzabd\a53lyxftdim.exe', '');
 QuarantineFile('c:\users\anatoliy\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\il04oautrnk\coofm4gjoqv.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\jjybvgrkwlt\obsmxb5eani.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\n2auf14rrii\o5gwcmkmzuk.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\tco4ij2pdsa\qnurc25rr3x.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\vdcc3jdh1ce\zi4dyrolu1d.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\y4j0ypo1fel\lli1xvmt0sh.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\ydpvbpb1n3e\dqb3vyhu43t.exe', '');
 QuarantineFile('C:\Users\Anatoliy\AppData\Roaming\ydy0jrk3que\zsvxaemfi1r.exe', '');
 QuarantineFile('c:\windows\rss\csrss.exe', '');
 QuarantineFile('C:\Windows\System32\drivers\Winmon.sys', '');
 QuarantineFile('C:\Windows\System32\drivers\WinmonFS.sys', '');
 QuarantineFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '');
 QuarantineFile('c:\windows\windefender.exe', '');
 DeleteFile('C:\Program Files\16M9FV388R\EVSONU997.exe', '32');
 DeleteFile('C:\Program Files\9CNY7SJXDD\9CNY7SJXD.exe', '32');
 DeleteFile('C:\Program Files\BH0U602O7G\BH0U602O7.exe', '32');
 DeleteFile('C:\Program Files\DMUDSU74BT\DMUDSU74B.exe', '32');
 DeleteFile('C:\Program Files\DYI3Q9IJH1\DYI3Q9IJH.exe', '32');
 DeleteFile('C:\Program Files\IZ20N1BQ2A\L1353NVNV.exe', '32');
 DeleteFile('C:\Program Files\oPjpQbAMIIE\kUyiWzk.dll', '32');
 DeleteFile('C:\Program Files\W9777W9Z0Y\W9777W9Z0.exe', '32');
 DeleteFile('C:\Program Files\WeatherInspect\VNZEX.exe', '32');
 DeleteFile('C:\Program Files\WeatherInspect\WeatherInspect.exe', '32');
 DeleteFile('C:\ProgramData\dahjService\dahjService.exe', '32');
 DeleteFile('C:\ProgramData\Logic Cramble\set.exe', '32');
 DeleteFile('C:\ProgramData\PrefsSecure\Nettrans.exe', '32');
 DeleteFile('C:\ProgramData\Voyasollam\Runlab.dll', '32');
 DeleteFile('C:\ProgramData\Voyasollam\Voyasollam.exe', '32');
 DeleteFile('C:\ProgramData\yahoochrome_D\desktop174.exe', '32');
 DeleteFile('c:\users\anatoliy\appdata\local\temp\csrss\mrt.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Local\Temp\csrss\scheduled.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\33fa1j2crjf\2pr5aeswytt.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\3qp1hmat4wz\mwywayneirs.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\AnyDeskApp\AnyDeskApp.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\dvlduuyzabd\a53lyxftdim.exe', '32');
 DeleteFile('c:\users\anatoliy\appdata\roaming\epicnet inc\cloudnet\cloudnet.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\il04oautrnk\coofm4gjoqv.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\jjybvgrkwlt\obsmxb5eani.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\n2auf14rrii\o5gwcmkmzuk.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\tco4ij2pdsa\qnurc25rr3x.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\vdcc3jdh1ce\zi4dyrolu1d.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\y4j0ypo1fel\lli1xvmt0sh.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\ydpvbpb1n3e\dqb3vyhu43t.exe', '32');
 DeleteFile('C:\Users\Anatoliy\AppData\Roaming\ydy0jrk3que\zsvxaemfi1r.exe', '32');
 DeleteFile('c:\windows\rss\csrss.exe', '32');
 DeleteFile('C:\Windows\System32\drivers\Winmon.sys', '32');
 DeleteFile('C:\Windows\System32\drivers\WinmonFS.sys', '32');
 DeleteFile('C:\Windows\System32\drivers\WinmonProcessMonitor.sys', '32');
 DeleteFile('c:\windows\windefender.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "csrss" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "MRT" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "ScheduledUpdate" /F', 0, 15000, true);
 DeleteService('backlh');
 DeleteService('dahjService');
 DeleteService('Nettrans');
 DeleteService('saiyitechnology');
 DeleteService('Voyasollam');
 DeleteService('WinDefender');
 DeleteService('Winmon');
 DeleteService('WinmonFS');
 DeleteService('WinmonProcessMonitor');
 DeleteFileMask('c:\program files\16m9fv388r', '*', true);
 DeleteFileMask('c:\program files\9cny7sjxdd', '*', true);
 DeleteFileMask('c:\program files\bh0u602o7g', '*', true);
 DeleteFileMask('c:\program files\dmudsu74bt', '*', true);
 DeleteFileMask('c:\program files\dyi3q9ijh1', '*', true);
 DeleteFileMask('c:\program files\iz20n1bq2a', '*', true);
 DeleteFileMask('c:\program files\opjpqbamiie', '*', true);
 DeleteFileMask('c:\program files\w9777w9z0y', '*', true);
 DeleteFileMask('c:\program files\weatherinspect', '*', true);
 DeleteFileMask('c:\programdata\dahjservice', '*', true);
 DeleteFileMask('c:\programdata\logic cramble', '*', true);
 DeleteFileMask('c:\programdata\prefssecure', '*', true);
 DeleteFileMask('c:\programdata\voyasollam', '*', true);
 DeleteFileMask('c:\programdata\yahoochrome_d', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\local\temp\csrss', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\33fa1j2crjf', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\3qp1hmat4wz', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\anydeskapp', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\dvlduuyzabd', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\epicnet inc', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\il04oautrnk', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\jjybvgrkwlt', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\n2auf14rrii', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\tco4ij2pdsa', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\vdcc3jdh1ce', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\y4j0ypo1fel', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\ydpvbpb1n3e', '*', true);
 DeleteFileMask('c:\users\anatoliy\appdata\roaming\ydy0jrk3que', '*', true);
 DeleteFileMask('c:\windows\rss', '*', true);
 DeleteDirectory('c:\program files\16m9fv388r');
 DeleteDirectory('c:\program files\9cny7sjxdd');
 DeleteDirectory('c:\program files\bh0u602o7g');
 DeleteDirectory('c:\program files\dmudsu74bt');
 DeleteDirectory('c:\program files\dyi3q9ijh1');
 DeleteDirectory('c:\program files\iz20n1bq2a');
 DeleteDirectory('c:\program files\opjpqbamiie');
 DeleteDirectory('c:\program files\w9777w9z0y');
 DeleteDirectory('c:\program files\weatherinspect');
 DeleteDirectory('c:\programdata\dahjservice');
 DeleteDirectory('c:\programdata\logic cramble');
 DeleteDirectory('c:\programdata\prefssecure');
 DeleteDirectory('c:\programdata\voyasollam');
 DeleteDirectory('c:\programdata\yahoochrome_d');
 DeleteDirectory('c:\users\anatoliy\appdata\local\temp\csrss');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\33fa1j2crjf');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\3qp1hmat4wz');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\anydeskapp');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\dvlduuyzabd');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\il04oautrnk');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\jjybvgrkwlt');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\n2auf14rrii');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\tco4ij2pdsa');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\vdcc3jdh1ce');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\y4j0ypo1fel');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\ydpvbpb1n3e');
 DeleteDirectory('c:\users\anatoliy\appdata\roaming\ydy0jrk3que');
 DeleteDirectory('c:\windows\rss');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\15YLBFQ1KKIPFYU', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\2207207', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\3473171', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4434362', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4916689', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\4940272', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5632967', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\575502', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\5993922', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6702937', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\6T24IR39Y8G0G3B', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\7913644', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\9908099', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AnyDeskApp', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APIMEWDEHRH7AHO', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BMALBDMD06Y8V5F', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CloudNet', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GL8649OHRVF8BT6', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\HNZL17B6LCDBDAW', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\J70P9UM18HXP5P6', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PatientBreeze', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WeatherInspect', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZS6QRU0D8QCON5S', 'command');
BC_ImportALL;
ExecuteSysClean;
 BC_DeleteSvc('WinDefender');
 BC_DeleteSvc('WinmonProcessMonitor');
 ExecuteRepair(3);
 ExecuteRepair(4);
 ExecuteWizard('SCU', 3, 3, true);
BC_Activate;
RebootWindows(true);
end.
    Компьютер перезагрузится.

    Выполните в AVZ скрипт:
    Код:
    begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

    Сделайте новый лог такой версией Autologger, Ok после запуска нажимайте с зажатой клавишей Shift.
    WBR,
    Vadim
    Ответить с цитированием Ответить с цитированием
« Предыдущая тема | Следующая тема »

Похожие темы

  1. Вылет AVZ
    От Глод в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 14.12.2015, 22:20
  2. Вылет игры
    От AXlandCO в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 09.04.2015, 21:56
  3. Постоянный вылет explorer.exe и svchost.exe в windows 7 [not-a-virus:RiskTool.Win32.HideExec.ai ]
    От AntonVA в разделе Помогите!
    Ответов: 17
    Последнее сообщение: 27.07.2013, 17:11
  4. Вылет браузера и др. программ
    От Molotok180 в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 02.12.2011, 15:28
  5. Вылет програм
    От AJIeKCaHDp в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 05.03.2011, 20:09

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Правила форума

Page generated in 0.01101 seconds with 18 queries