Решена Помощь в настройке АСБ "Тобол" на рабочем месте "rezmesto2".

Статус
В этой теме нельзя размещать новые ответы.

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,292
Реакции
2,497
Здесь рекомендации из сообщения №18 выполнены?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,292
Реакции
2,497
Его тоже обновите по ссылке, что я давал в соседней теме.
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1
логи FRST
 

Вложения

  • rezmesto2.rar
    24.5 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,292
Реакции
2,497
Компьютер на время лечения отключите от локалки и интернета.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
Start::
SystemRestore: On
CreateRestorePoint:
() [File not signed] C:\WINDOWS\NetworkDistribution\svchost.exe
(Microsoft Corporation) [File not signed] C:\WINDOWS\system32\dllhostex.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2021-08-17 13:15 - 2021-08-17 13:15 - 000000000 ____D C:\WINDOWS\NetworkDistribution
C:\WINDOWS\system32\dllhostex.exe
DomainProfile\GloballyOpenPorts: [139:TCP] => Enabled:@xpsp2res.dll,-22004
DomainProfile\GloballyOpenPorts: [445:TCP] => Enabled:@xpsp2res.dll,-22005
DomainProfile\GloballyOpenPorts: [137:UDP] => Enabled:@xpsp2res.dll,-22001
DomainProfile\GloballyOpenPorts: [138:UDP] => Enabled:@xpsp2res.dll,-22002
StandardProfile\GloballyOpenPorts: [139:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22004
StandardProfile\GloballyOpenPorts: [445:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22005
StandardProfile\GloballyOpenPorts: [137:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22001
StandardProfile\GloballyOpenPorts: [138:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22002
EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Через Панель управления - Установка и удаление программ деинсталлируйте
Adobe Flash Player 10 Plugin
Adobe Shockwave Player 11.5 + Authorware Player
Java 7 Update 45
Java(TM) 6 Update 18
поддержка которых прекращена.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,292
Реакции
2,497
Удалите старые и соберите новые логи FRST.txt и Addition.txt для контроля.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,292
Реакции
2,497
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
Подробнее читайте в руководстве Как подготовить лог UVS.
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1

Вложения

  • REZMESTO2_2021-08-18_15-54-25_v4.11.8.7z
    282.2 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,292
Реакции
2,497
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv5.1
    v400c
    zoo %Sys32%\DLLHOSTEX.EXE
    addsgn 71007B5D50D2F0180BD4AEB16420AC7E2C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46D62AFA82CAE8953FDA33C029F2645BB48FE1B4 8 Tool.BtcMine.1969 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\SVCHOST.EXE
    addsgn 1A00709A55838C8FF42B624E41A083442575D9D218BB1F87A0E354FD502954BCB356C39BF2995185E74C48538ADA8536B154AC565D51FC083D7C6CA48B222E06 8 BackDoor.Spy.3365 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBXML2.DLL
    addsgn 79132211B9E9317E0AA1AB5970DA12057863670B76059487D048293DBCFE724C23B4BB05324514445FD2888FCF0339A871CF616F3988BC3CA442CC7DCB16AB4E 64 Tool.Equation.23 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\COLI-0.DLL
    addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 BackDoor.Spy.3364 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\EXMA-1.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TIBE-2.DLL
    addsgn 79132211B9E9317E0AA1AB5958CB12057863670B76059487D048293DBCFE724C23B41BFD3D451444FF2A878FCF0399507ECF616F9970B33CA4426C85C416AB4E 64 Trojan.Equation.23 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TRFO-2.DLL
    addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B46BD23E4514448F05848FCF03E97F7DCF616FC95FB03CA4423CAAC716AB4E 64 Trojan.Equation.25 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\UCL.DLL
    addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Equation.91 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE
    chklst
    delvir
    
    deldir %SystemRoot%\NETWORKDISTRIBUTION
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
Подробнее читайте в этом руководстве.

После перезагрузки соберите и прикрепите контрольный образ автозапуска uVS.
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1

Вложения

  • REZMESTO2_2021-08-18_17-34-31_v4.11.8.7z
    281.2 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,292
Реакции
2,497
В папке с UVS найдите лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к своему следующему сообщению, пожалуйста.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,493
Реакции
13,926
Давайте попробуем немного по другому. Только обязательно резервную копию важных данный перед скриптом сделайте.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv5.1
    v400c
    OFFSGNSAVE
    BREG
    ; C:\WINDOWS\SYSTEM32\DLLHOSTEX.EXE
    zoo %Sys32%\DLLHOSTEX.EXE
    bl 56DA116D25207847797FE5F8B085C1B1 2859008
    addsgn 71007B5D50D2F0180BD4AEB16420AC7E2C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46D62AFA82CAE8953FDA33C029F2645BB48FE1B4 8 HEUR:Trojan.Win32.Miner.gen [Kaspersky] 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\SVCHOST.EXE
    zoo %SystemRoot%\NETWORKDISTRIBUTION\SVCHOST.EXE
    bl 8C80DD97C37525927C1E549CB59BCBF3 129024
    addsgn 1A00709A55838C8FF42B624E41A083442575D9D218BB1F87A0E354FD502954BCB356C39BF2995185E74C48538ADA8536B154AC565D51FC083D7C6CA48B222E06 8 Exploit.Win32.ShadowBrokers 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\LIBXML2.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBXML2.DLL
    bl 9A5CEC05E9C158CBC51CDC972693363D 826368
    addsgn 79132211B9E9317E0AA1AB5970DA12057863670B76059487D048293DBCFE724C23B4BB05324514445FD2888FCF0339A871CF616F3988BC3CA442CC7DCB16AB4E 64 HackTool.Win32.ShadowBrokers.k 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\TUCL-1.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TUCL-1.DLL
    bl 83076104AE977D850D1E015704E5730A 9216
    addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3633E45144437B4848FCF0351CE7DCF616F41EEB03CA442B41BC716AB4E 64 Trojan.Win32.ShadowBrokers.ai 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\COLI-0.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\COLI-0.DLL
    bl 3C2FE2DBDF09CFA869344FDB53307CB2 15360
    addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers.x 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\EXMA-1.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\EXMA-1.DLL
    bl BA629216DB6CF7C0C720054B0C9A13F3 10240
    ; C:\WINDOWS\NETWORKDISTRIBUTION\TIBE-2.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TIBE-2.DLL
    bl F0881D5A7F75389DEBA3EFF3F4DF09AC 237568
    addsgn 79132211B9E9317E0AA1AB5958CB12057863670B76059487D048293DBCFE724C23B41BFD3D451444FF2A878FCF0399507ECF616F9970B33CA4426C85C416AB4E 64 Trojan.Win32.ShadowBrokers.ad 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\TRFO-2.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TRFO-2.DLL
    bl 3E89C56056E5525BF4D9E52B28FBBCA7 29696
    addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B46BD23E4514448F05848FCF03E97F7DCF616FC95FB03CA4423CAAC716AB4E 64 Trojan.Win32.EquationDrug.acg 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\POSH-0.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\POSH-0.DLL
    bl 2F0A52CE4F445C6E656ECEBBCACEADE5 11264
    addsgn 79132211B9E9317E0AA1AB5911CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers.ab 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\UCL.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\UCL.DLL
    bl 6B7276E4AA7A1E50735D2F6923B40DE4 58368
    addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Win32.Shadowbrokers.co 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\TRCH-1.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TRCH-1.DLL
    bl 838CEB02081AC27DE43DA56BEC20FC76 59904
    addsgn 79132211B9E9317E0AA1AB5914CB12057863670B76059487D048293DBCFE724C23B4B3A33E4514444774848FCF03210E7DCF616F312EB03CA442C4DBC716AB4E 64 Trojan.Win32.ShadowBrokers.ag 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\\SVCHOST.EXE
    zoo %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE
    
    ; C:\WINDOWS\SYSTEM32\REMOTEPROTOCOLEVENT.DLL
    zoo %Sys32%\REMOTEPROTOCOLEVENT.DLL
    bl 724BDE1D1A01C5EB5AA20170CD84A360 109056
    addsgn A7679B1928664D070E3C2BB464C8ED70357589FA768F1790343D3A43D3127D11E11BC302B5B9F749D495448F4706B68F7520FDCE45DBA0442473A4EF3813A263 64 RemoteProtocolEvent 7
    
    
    chklst
    delvir
    
    czoo
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\JP2SSV.DLL
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\DTPLUGIN\NPDEPLOYJAVA1.DLL
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\NEW_PLUGIN\NPJP2.DLL
    delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT
    delref %Sys32%\BLANK.HTM
    delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
    delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
    delref {BC476F4C-D9D7-4100-8D4E-E043F6DEC409}\[CLSID]
    delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
    delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
    delref %Sys32%\DRIVERS\CHANGER.SYS
    delref %Sys32%\DRIVERS\I2OMGMT.SYS
    delref %Sys32%\DRIVERS\LBRTFDC.SYS
    delref %Sys32%\DRIVERS\PCIDUMP.SYS
    delref %Sys32%\DRIVERS\PDCOMP.SYS
    delref %Sys32%\DRIVERS\PDFRAME.SYS
    delref %Sys32%\DRIVERS\PDRELI.SYS
    delref %Sys32%\DRIVERS\PDRFRAME.SYS
    delref %Sys32%\DRIVERS\WDICA.SYS
    delref %Sys32%\PSXSS.EXE
    delref %Sys32%\EAPA3HST.DLL
    delref %Sys32%\ADOBE\DIRECTOR\SWDIR.DLL
    delref %Sys32%\KIOAMH.DLL
    delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\JAVACPL.EXE
    delref %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE
    deldir %SystemRoot%\NETWORKDISTRIBUTION
    apply
    
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:

thyrex

Ассоциация VN/VIP
VIP
Сообщения
2,905
Реакции
2,600
Парни, ну не убить эту заразу без ликвидации библиотеки. Она светится в последнем логе FRST.txt и не имеет никакого отношения к легитиму
NETSVC: RemoteProtocolEvent -> C:\WINDOWS\system32\RemoteProtocolEvent.dll (Microsoft Corporation)
 
Последнее редактирование:

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,493
Реакции
13,926
Да, пропустил. Дополнил свой скрипт UVS
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1
@akok, полученный архив отправил с помощью формы под именем 2021.08.19_ZOO_2021-08-19_09-43-45_c40f71f3b02afe21faae1ffc5a9d7a11.7z
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,292
Реакции
2,497
Ещё один контрольный образ автозапуска uVS соберите, пожалуйста.
 

Chezy

Активный пользователь
Сообщения
72
Реакции
1

Вложения

  • REZMESTO2_2021-08-19_12-10-53_v4.11.8.7z
    277 KB · Просмотры: 3

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,292
Реакции
2,497
Порядок. Последите и сообщите через время как дела.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу