Размещено 29.11.2020 00:19:07
Подведу итог для следующих поколений любителей позапускать экзешники непонятного происхождения:
- Когда вирус начал активно работать, процесс Kernel стал загружать систему в хлам, антивирусы не устанавливались
- CureIT удалил только зараженный экзешник, процесс Kernel перестал запускаться, но ОС начала загружаться секунд на ~30 дольше. Подозрительных процессов/запланированных задач больше не проявлялось.
- Из логов FRST удалось узнать время заражения по времени запрета на установку антивирусов. Включил отображение скрытых папок на C. Троян спрятал кучу всякого добра на диске C внутри стандартных папок, маскируя названия (например: Program Files\Internet Explorer\bin , но в действительности папки bin там быть не должно. Или ProgramData\RealtekHD), их можно было распознать по времени создания. При этом вирус ещё и права забрал на их просмотр/удаление , пришлось удалять через Unlocker
- С помощью скрипта fixlist для FRST от santy вернулась возможность устанавливать антивирусы.
- Антивирусы не сильно справились: AVZ - 1 найденный файл, NOD - 3, KVRT - 0.
- Руками удалил ещё 10-15 файлов/папок внутри ProgramData, Program Files, User. Потом вспомнил про MBAM - он нашел ещё 4 trojanagent в папке Windows.
- Почистил реестр с помощью CCleaner
В итоге влияния на систему/интернет на глаз больше не видно, но операционка всё равно грузится дольше, чем было до заражения. Так что не знаю, получилось справиться с вирусом или нет, силы воевать закончились.
Так что всем добра и не запускайте exe файлы из непроверенного источника. Santy - большая благодарность. Тему можно закрывать.
- Когда вирус начал активно работать, процесс Kernel стал загружать систему в хлам, антивирусы не устанавливались
- CureIT удалил только зараженный экзешник, процесс Kernel перестал запускаться, но ОС начала загружаться секунд на ~30 дольше. Подозрительных процессов/запланированных задач больше не проявлялось.
- Из логов FRST удалось узнать время заражения по времени запрета на установку антивирусов. Включил отображение скрытых папок на C. Троян спрятал кучу всякого добра на диске C внутри стандартных папок, маскируя названия (например: Program Files\Internet Explorer\bin , но в действительности папки bin там быть не должно. Или ProgramData\RealtekHD), их можно было распознать по времени создания. При этом вирус ещё и права забрал на их просмотр/удаление , пришлось удалять через Unlocker
- С помощью скрипта fixlist для FRST от santy вернулась возможность устанавливать антивирусы.
- Антивирусы не сильно справились: AVZ - 1 найденный файл, NOD - 3, KVRT - 0.
- Руками удалил ещё 10-15 файлов/папок внутри ProgramData, Program Files, User. Потом вспомнил про MBAM - он нашел ещё 4 trojanagent в папке Windows.
- Почистил реестр с помощью CCleaner
В итоге влияния на систему/интернет на глаз больше не видно, но операционка всё равно грузится дольше, чем было до заражения. Так что не знаю, получилось справиться с вирусом или нет, силы воевать закончились.
Так что всем добра и не запускайте exe файлы из непроверенного источника. Santy - большая благодарность. Тему можно закрывать.
Изменено: Serge Paramonov - 29.11.2020 00:21:53