Помогите удалить вирус(ы) - Форум технической поддержки ESET NOD32

Сообщений: 13

Баллов: 6

Регистрация: 22.01.2018

Размещено 25.01.2018 20:32:07

Здравствуйте.

Обнаружил у себя на ПК с помощью программы Spyware Process Detector в скрытых процессах процесс с именем item.dat. Находиться по адресу c:\windows\debug\item.dat, при этом в самой папке такого файла нет. В интернете пишут,что это вирус. Но антивирус его не видит (на ПК установлен NOD32 версии 9.0.386.1). Также скачал последнюю версию ESETOnlineScanner. Но он тоже ничего не нашел.

Кроме того, на ПК появилась новая "фишка" - при закрытии какого-либо окна обновляються (доли секунды) все объекты на экране (открытые папки, ярлыки рабочего стола, панель задач). Как при нажатии кнопи F5. Возможно это какой-то другой вирус, а может - результат выполнения процесса item.dat. Заметил, что если не запускаеться этот процесс - таких "обновлений" экрана нет.

Во вложенном архиве - лог с программы UVS.

Помогите удалить эту гадость.

Заранее благодарен.

Прикрепленные файлы

1.JPG (239.21 КБ)

2.JPG (176.25 КБ)

A-D69390334C484_2018-01-25_21-55-02.7z (350.36 КБ)

Изменено: Константин Ким - 25.01.2018 23:07:35

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 25.01.2018 23:32:14

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v4.0.9 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v400c OFFSGNSAVE delref HTTP://NIGHTWAREZ.RU/INDEX.PHP?STORY={SEARCHTERMS}&DO=SEARCH&SUBACTION=SEARCH delref HTTP://PRICE.RU/ENTER?FROM=OSS&PNAM={SEARCHTERMS} delref HTTP://XTREME.WS/ delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?} deldir %SystemDrive%\DOCUMENTS AND SETTINGS\A\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER bl EBDC2BE63B2FCB8FE22845C75850C9E6 236904 delall %SystemRoot%\HELP\LSMOSEE.EXE deldir E:\INTERNET-BROWSERS\K-MELEON76 PRO RC\TOOLS\UNBLOCKSURF uidel C:\Documents and Settings\A\Local Settings\Application Data\Unity\WebPlayer\Uninstall.exe /CurrentUser deltmp restart ;---------command-block--------- delref {FB983260-EF64-11D3-8527-00A0CC56BB53}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID] delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID] delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID] delref %Sys32%\BLANK.HTM delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID] delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID] delref %Sys32%\DRIVERS\CHANGER.SYS delref E:\INTERNET-DOWNLOAD\DU METER\DU METER\DUM_XP32.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %Sys32%\CPLDAPU\WEBBROWSERPASSVIEW.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref F:\CHROME\CHROME\CHROME.EXE delref E:\OFFICE\MS OFFICE\MS OFFICE\MICROSOFT OFFICE 2007\SETUP.EXE delref %Sys32%\CPLDAPU\PRODUKEY.EXE apply

Код


;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
delref HTTP://NIGHTWAREZ.RU/INDEX.PHP?STORY={SEARCHTERMS}&DO=SEARCH&SUBACTION=SEARCH
delref HTTP://PRICE.RU/ENTER?FROM=OSS&PNAM={SEARCHTERMS}
delref HTTP://XTREME.WS/
delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC
delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?}
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\A\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER
bl EBDC2BE63B2FCB8FE22845C75850C9E6 236904
delall %SystemRoot%\HELP\LSMOSEE.EXE
deldir E:\INTERNET-BROWSERS\K-MELEON76 PRO RC\TOOLS\UNBLOCKSURF
uidel C:\Documents and Settings\A\Local Settings\Application Data\Unity\WebPlayer\Uninstall.exe /CurrentUser
deltmp
restart
;---------command-block---------
delref {FB983260-EF64-11D3-8527-00A0CC56BB53}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref E:\INTERNET-DOWNLOAD\DU METER\DU METER\DUM_XP32.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %Sys32%\CPLDAPU\WEBBROWSERPASSVIEW.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref F:\CHROME\CHROME\CHROME.EXE
delref E:\OFFICE\MS OFFICE\MS OFFICE\MICROSOFT OFFICE 2007\SETUP.EXE
delref %Sys32%\CPLDAPU\PRODUKEY.EXE
apply

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.01.2018 00:59:10

Цитата
Константин Ким написал: Находиться по адресу c:\windows\debug\item.dat

+
скорее всего вас атакует червь, который использует уязвимость системы и пытается установить в систему майнер.
для защиты от сетевой атаки необходимо установить патч MS-2017-010 для вашей системы.

Цитата
Microsoft Security Bulletin MS17-010 - Critical Security Update for Microsoft Windows SMB Server (4013389) Published: March 14, 2017 https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 22.01.2018

Размещено 26.01.2018 10:43:28

1) В этом коде встречаются названия программ, которыми я пользуюсь: Unity, DU METER, браузеры Chrome и K-Meleon, а также MS Office. После выполнения скрипта они будут запускаться?

2) В ссылке на патч MS-2017-010 с сайта Microsoft нет ссылки на Windows XP, которая у меня стоит.

Изменено: Константин Ким - 26.01.2018 10:59:17

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 26.01.2018 13:10:07

отсюда скачайте
WindowsXP-KB4012598-x86-Custom-RUS.exe
https://www.microsoft.com/ru-ru/download/details.aspx?id=55245

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 26.01.2018 14:12:00

Цитата
Константин Ким написал: В этом коде

Можно скрипт и не выполнять- это всё на ваше усмотрение.
Удалите файл: %SystemRoot%\HELP\LSMOSEE.EXE

Сообщений: 13

Баллов: 6

Регистрация: 22.01.2018

Размещено 26.01.2018 20:27:40

Просьба, посмотрите, пожалуйста, новый архив UVS. Вчера при загрузке системы вышеизложенного процесса не было, а сегодня он опять запустился и я сразу сохранил его.

Если не найдете причину запуска этого процеса в новом архиве, ответьте мне, пожалуйста. Тогда я запущу тот код, который вы написали. И последующие ркомендации.

Спасибо.

Прикрепленные файлы

A-D69390334C484_2018-01-26_19-05-53.7z (350.26 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 27.01.2018 00:31:35

rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa

У вас устаревшая версия uVS - 4.0.
Создайте образ автозапуска актуальной 4.0.10
http://forum.esetnod32.ru/forum9/topic2687/
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

--------

Установите заплатку безопасности:
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Цитата
отсюда скачайте WindowsXP-KB4012598-x86-Custom-RUS.exe https://www.microsoft.com/ru-ru/download/details.aspx?id=55245

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 27.01.2018 06:46:34

Константин Ким,
в вашем случае - сетевой червь использует уязвимости системы для распространения майнеров.
https://chklst.ru/discussion/1596/maynery-kriptovalyut-ispolzuyut-eternalblue-doublepulsar#latest

для обнаружения в системе объектов этого червя необходимо использовать актуальную версию uVS
функции обнаружения закладок в WMI были добавлены разработчиков в последнии версии uVS уже после выхода 4.0.0

[ Как создать образ автозапуска? ]

Сообщений: 13

Баллов: 6

Регистрация: 22.01.2018

Размещено 28.01.2018 16:43:05

Выполнил скрипт в UVS (в последней версии), установил и запустил Malwarebytes. Лог с полной версией сканирования отпраляю.

Просьба ответить по поводу обнаруженных угроз.

P.S. Патч MS-2017-010 еще не устанавливал.

Прикрепленные файлы

MalwarebytesLog.txt (4.21 КБ)

Изменено: Константин Ким - 28.01.2018 16:44:11

[ Закрыто ] Помогите удалить вирус(ы)