Здравствуйте, вирус в загрузочном секторе, после лечения и перезагрузки, папка NetworkDistribution снова появляется.
Здравствуйте, вирус в загрузочном секторе, после лечения и перезагрузки, папка NetworkDistribution снова появляется.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) sasha-20011, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('c:\windows\system32\dllhostex.exe'); QuarantineFile('c:\windows\system32\dllhostex.exe', ''); QuarantineFile('c:\windows\system32\networkupnpsystem.dll', ''); DeleteFile('C:\Windows\networkdistribution\adfw.dll', ''); DeleteFile('C:\Windows\networkdistribution\adfw-2.dll', ''); DeleteFile('C:\Windows\networkdistribution\cnli-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\cnli-1.dll', ''); DeleteFile('C:\Windows\networkdistribution\coli-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\crli-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\dmgd-1.dll', ''); DeleteFile('C:\Windows\networkdistribution\dmgd-4.dll', ''); DeleteFile('C:\Windows\networkdistribution\esco-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\etch-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\etchcore-0.x64.dll', ''); DeleteFile('C:\Windows\networkdistribution\etchcore-0.x86.dll', ''); DeleteFile('C:\Windows\networkdistribution\eteb-2.dll', ''); DeleteFile('C:\Windows\networkdistribution\etebcore-2.x64.dll', ''); DeleteFile('C:\Windows\networkdistribution\etebcore-2.x86.dll', ''); DeleteFile('C:\Windows\networkdistribution\exma.dll', ''); DeleteFile('C:\Windows\networkdistribution\exma-1.dll', ''); DeleteFile('C:\Windows\networkdistribution\iconv.dll', ''); DeleteFile('C:\Windows\networkdistribution\libcurl.dll', ''); DeleteFile('C:\Windows\networkdistribution\libeay32.dll', ''); DeleteFile('C:\Windows\networkdistribution\libiconv-2.dll', ''); DeleteFile('C:\Windows\networkdistribution\libxml2.dll', ''); DeleteFile('C:\Windows\networkdistribution\out.dll', ''); DeleteFile('C:\Windows\networkdistribution\pcla-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\pcre-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\pcrecpp-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\pcreposix-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\posh.dll', ''); DeleteFile('C:\Windows\networkdistribution\posh-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\riar.dll', ''); DeleteFile('C:\Windows\networkdistribution\riar-2.dll', ''); DeleteFile('C:\Windows\networkdistribution\spoolsv.exe', ''); DeleteFile('C:\Windows\networkdistribution\ssleay32.dll', ''); DeleteFile('C:\Windows\networkdistribution\svchost.exe', ''); DeleteFile('C:\Windows\networkdistribution\tibe.dll', ''); DeleteFile('C:\Windows\networkdistribution\tibe-1.dll', ''); DeleteFile('C:\Windows\networkdistribution\tibe-2.dll', ''); DeleteFile('C:\Windows\networkdistribution\trch.dll', ''); DeleteFile('C:\Windows\networkdistribution\trch-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\trch-1.dll', ''); DeleteFile('C:\Windows\networkdistribution\trfo.dll', ''); DeleteFile('C:\Windows\networkdistribution\trfo-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\trfo-2.dll', ''); DeleteFile('C:\Windows\networkdistribution\tucl.dll', ''); DeleteFile('C:\Windows\networkdistribution\tucl-1.dll', ''); DeleteFile('C:\Windows\networkdistribution\ucl.dll', ''); DeleteFile('C:\Windows\networkdistribution\x64.dll', ''); DeleteFile('C:\Windows\networkdistribution\x86.dll', ''); DeleteFile('C:\Windows\networkdistribution\xdvl-0.dll', ''); DeleteFile('C:\Windows\networkdistribution\zibe.dll', ''); DeleteFile('C:\Windows\networkdistribution\zlib1.dll', ''); DeleteFile('c:\windows\system32\dllhostex.exe', ''); DeleteFile('c:\windows\system32\dllhostex.exe', '32'); DeleteFile('c:\windows\system32\networkupnpsystem.dll', ''); DeleteFile('C:\Windows\system32\NetworkUPnPSystem.dll', '32'); DeleteFileMask('c:\windows\networkdistribution', '*', true); DeleteDirectory('c:\windows\networkdistribution'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\NetworkUPnPSystem\Parameters', 'ServiceDll', '32'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполните в AVZ скрипт:
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке Прислать запрошенный карантин над над первым сообщением в теме. Также просьба выложить этот файл в доступном облачное хранилище или на файлообменнике и дать ссылку в личном сообщении.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Сделайте проверку с помощью KVRT. Прикрепите упакованными в архив файлы отчёта report_<дата>_*.klr.enc1 из папки C:\KVRT2020_Data.
WBR,
Vadim
Что с проблемой?
Есть в сети другие заражённые машины?
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
WBR,
Vadim
Проблема осталась. Папку NetworkDistribution закрыл на изменения всем, файлы вроди бы перестали там появляться и проц не грузится вроди бы, но другие файлы снова появляются.
При таком количестве незакрытых критических уязвимостей - неудивительно.------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
Не ответили, в сети есть другие компьютеры с той же заразой? Скорее всего, после лечения приползают снова. Установите хотя бы KB4012212, иначе всё насмарку.
Пролечите систему KVRT, отключив её от сети, будет рецидив?
WBR,
Vadim
Ваши права в разделе
Ответить с цитированием
