Решена Помощь в настройке АСБ "Тобол" на рабочем месте "rezmesto2".

Статус
В этой теме нельзя размещать новые ответы.
Здесь рекомендации из сообщения №18 выполнены?
 
Его тоже обновите по ссылке, что я давал в соседней теме.
 
логи FRST
 

Вложения

  • rezmesto2.rar
    24.5 KB · Просмотры: 2
Компьютер на время лечения отключите от локалки и интернета.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
Start::
SystemRestore: On
CreateRestorePoint:
() [File not signed] C:\WINDOWS\NetworkDistribution\svchost.exe
(Microsoft Corporation) [File not signed] C:\WINDOWS\system32\dllhostex.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
2021-08-17 13:15 - 2021-08-17 13:15 - 000000000 ____D C:\WINDOWS\NetworkDistribution
C:\WINDOWS\system32\dllhostex.exe
DomainProfile\GloballyOpenPorts: [139:TCP] => Enabled:@xpsp2res.dll,-22004
DomainProfile\GloballyOpenPorts: [445:TCP] => Enabled:@xpsp2res.dll,-22005
DomainProfile\GloballyOpenPorts: [137:UDP] => Enabled:@xpsp2res.dll,-22001
DomainProfile\GloballyOpenPorts: [138:UDP] => Enabled:@xpsp2res.dll,-22002
StandardProfile\GloballyOpenPorts: [139:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22004
StandardProfile\GloballyOpenPorts: [445:TCP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22005
StandardProfile\GloballyOpenPorts: [137:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22001
StandardProfile\GloballyOpenPorts: [138:UDP] => :LocalSubNet:Enabled:@xpsp2res.dll,-22002
EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус, запустите FRST, нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.

Через Панель управления - Установка и удаление программ деинсталлируйте
Adobe Flash Player 10 Plugin
Adobe Shockwave Player 11.5 + Authorware Player
Java 7 Update 45
Java(TM) 6 Update 18
поддержка которых прекращена.
 
Удалите старые и соберите новые логи FRST.txt и Addition.txt для контроля.
 
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.
Подробнее читайте в руководстве Как подготовить лог UVS.
 
  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv5.1
    v400c
    zoo %Sys32%\DLLHOSTEX.EXE
    addsgn 71007B5D50D2F0180BD4AEB16420AC7E2C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46D62AFA82CAE8953FDA33C029F2645BB48FE1B4 8 Tool.BtcMine.1969 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\SVCHOST.EXE
    addsgn 1A00709A55838C8FF42B624E41A083442575D9D218BB1F87A0E354FD502954BCB356C39BF2995185E74C48538ADA8536B154AC565D51FC083D7C6CA48B222E06 8 BackDoor.Spy.3365 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBXML2.DLL
    addsgn 79132211B9E9317E0AA1AB5970DA12057863670B76059487D048293DBCFE724C23B4BB05324514445FD2888FCF0339A871CF616F3988BC3CA442CC7DCB16AB4E 64 Tool.Equation.23 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\COLI-0.DLL
    addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 BackDoor.Spy.3364 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\EXMA-1.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TIBE-2.DLL
    addsgn 79132211B9E9317E0AA1AB5958CB12057863670B76059487D048293DBCFE724C23B41BFD3D451444FF2A878FCF0399507ECF616F9970B33CA4426C85C416AB4E 64 Trojan.Equation.23 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TRFO-2.DLL
    addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B46BD23E4514448F05848FCF03E97F7DCF616FC95FB03CA4423CAAC716AB4E 64 Trojan.Equation.25 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\UCL.DLL
    addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Equation.91 [DrWeb] 7
    
    zoo %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE
    chklst
    delvir
    
    deldir %SystemRoot%\NETWORKDISTRIBUTION
    deltmp
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
Подробнее читайте в этом руководстве.

После перезагрузки соберите и прикрепите контрольный образ автозапуска uVS.
 
В папке с UVS найдите лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к своему следующему сообщению, пожалуйста.
 
Давайте попробуем немного по другому. Только обязательно резервную копию важных данный перед скриптом сделайте.

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    Код:
    ;uVS v4.11.8 [http://dsrt.dyndns.org:8888]
    ;Target OS: NTv5.1
    v400c
    OFFSGNSAVE
    BREG
    ; C:\WINDOWS\SYSTEM32\DLLHOSTEX.EXE
    zoo %Sys32%\DLLHOSTEX.EXE
    bl 56DA116D25207847797FE5F8B085C1B1 2859008
    addsgn 71007B5D50D2F0180BD4AEB16420AC7E2C8A7F32851349847A3C552CC046E1DC769E260068061EA5374780BB46D62AFA82CAE8953FDA33C029F2645BB48FE1B4 8 HEUR:Trojan.Win32.Miner.gen [Kaspersky] 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\SVCHOST.EXE
    zoo %SystemRoot%\NETWORKDISTRIBUTION\SVCHOST.EXE
    bl 8C80DD97C37525927C1E549CB59BCBF3 129024
    addsgn 1A00709A55838C8FF42B624E41A083442575D9D218BB1F87A0E354FD502954BCB356C39BF2995185E74C48538ADA8536B154AC565D51FC083D7C6CA48B222E06 8 Exploit.Win32.ShadowBrokers 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\LIBXML2.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\LIBXML2.DLL
    bl 9A5CEC05E9C158CBC51CDC972693363D 826368
    addsgn 79132211B9E9317E0AA1AB5970DA12057863670B76059487D048293DBCFE724C23B4BB05324514445FD2888FCF0339A871CF616F3988BC3CA442CC7DCB16AB4E 64 HackTool.Win32.ShadowBrokers.k 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\TUCL-1.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TUCL-1.DLL
    bl 83076104AE977D850D1E015704E5730A 9216
    addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3633E45144437B4848FCF0351CE7DCF616F41EEB03CA442B41BC716AB4E 64 Trojan.Win32.ShadowBrokers.ai 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\COLI-0.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\COLI-0.DLL
    bl 3C2FE2DBDF09CFA869344FDB53307CB2 15360
    addsgn 79132211B9E9317E0AA1AB59E4CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers.x 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\EXMA-1.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\EXMA-1.DLL
    bl BA629216DB6CF7C0C720054B0C9A13F3 10240
    ; C:\WINDOWS\NETWORKDISTRIBUTION\TIBE-2.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TIBE-2.DLL
    bl F0881D5A7F75389DEBA3EFF3F4DF09AC 237568
    addsgn 79132211B9E9317E0AA1AB5958CB12057863670B76059487D048293DBCFE724C23B41BFD3D451444FF2A878FCF0399507ECF616F9970B33CA4426C85C416AB4E 64 Trojan.Win32.ShadowBrokers.ad 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\TRFO-2.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TRFO-2.DLL
    bl 3E89C56056E5525BF4D9E52B28FBBCA7 29696
    addsgn 79132211B9E9317E0AA1AB592ECC12057863670B76059487D048293DBCFE724C23B46BD23E4514448F05848FCF03E97F7DCF616FC95FB03CA4423CAAC716AB4E 64 Trojan.Win32.EquationDrug.acg 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\POSH-0.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\POSH-0.DLL
    bl 2F0A52CE4F445C6E656ECEBBCACEADE5 11264
    addsgn 79132211B9E9317E0AA1AB5911CB12057863670B76059487D048293DBCFE724C23B4E3133E45144437C4848FCF0351BE7DCF616F419EB03CA442B46BC716AB4E 64 Trojan.Win32.ShadowBrokers.ab 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\UCL.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\UCL.DLL
    bl 6B7276E4AA7A1E50735D2F6923B40DE4 58368
    addsgn 79132211B9E9317E0AA1AB5916CB12057863670B76059487D048293DBCFE724C23B483A33E4514441774848FCF03710E7DCF616F612EB03CA44294DBC716AB4E 64 Trojan.Win32.Shadowbrokers.co 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\TRCH-1.DLL
    zoo %SystemRoot%\NETWORKDISTRIBUTION\TRCH-1.DLL
    bl 838CEB02081AC27DE43DA56BEC20FC76 59904
    addsgn 79132211B9E9317E0AA1AB5914CB12057863670B76059487D048293DBCFE724C23B4B3A33E4514444774848FCF03210E7DCF616F312EB03CA442C4DBC716AB4E 64 Trojan.Win32.ShadowBrokers.ag 7
    
    ; C:\WINDOWS\NETWORKDISTRIBUTION\\SVCHOST.EXE
    zoo %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE
    
    ; C:\WINDOWS\SYSTEM32\REMOTEPROTOCOLEVENT.DLL
    zoo %Sys32%\REMOTEPROTOCOLEVENT.DLL
    bl 724BDE1D1A01C5EB5AA20170CD84A360 109056
    addsgn A7679B1928664D070E3C2BB464C8ED70357589FA768F1790343D3A43D3127D11E11BC302B5B9F749D495448F4706B68F7520FDCE45DBA0442473A4EF3813A263 64 RemoteProtocolEvent 7
    
    
    chklst
    delvir
    
    czoo
    ;---------command-block---------
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\JP2SSV.DLL
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE7\BIN\DTPLUGIN\NPDEPLOYJAVA1.DLL
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\NEW_PLUGIN\NPJP2.DLL
    delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT
    delref %Sys32%\BLANK.HTM
    delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
    delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
    delref {BC476F4C-D9D7-4100-8D4E-E043F6DEC409}\[CLSID]
    delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
    delref {B1883831-F0D8-4453-8245-EEAAD866DD6E}\[CLSID]
    delref %Sys32%\DRIVERS\CHANGER.SYS
    delref %Sys32%\DRIVERS\I2OMGMT.SYS
    delref %Sys32%\DRIVERS\LBRTFDC.SYS
    delref %Sys32%\DRIVERS\PCIDUMP.SYS
    delref %Sys32%\DRIVERS\PDCOMP.SYS
    delref %Sys32%\DRIVERS\PDFRAME.SYS
    delref %Sys32%\DRIVERS\PDRELI.SYS
    delref %Sys32%\DRIVERS\PDRFRAME.SYS
    delref %Sys32%\DRIVERS\WDICA.SYS
    delref %Sys32%\PSXSS.EXE
    delref %Sys32%\EAPA3HST.DLL
    delref %Sys32%\ADOBE\DIRECTOR\SWDIR.DLL
    delref %Sys32%\KIOAMH.DLL
    delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES\JAVA\JRE6\BIN\JAVACPL.EXE
    delref %SystemRoot%\NETWORKDISTRIBUTION\\SVCHOST.EXE
    deldir %SystemRoot%\NETWORKDISTRIBUTION
    apply
    
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.​
  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве.
 
Последнее редактирование:
Парни, ну не убить эту заразу без ликвидации библиотеки. Она светится в последнем логе FRST.txt и не имеет никакого отношения к легитиму
NETSVC: RemoteProtocolEvent -> C:\WINDOWS\system32\RemoteProtocolEvent.dll (Microsoft Corporation)
 
Последнее редактирование:
Да, пропустил. Дополнил свой скрипт UVS
 
@akok, полученный архив отправил с помощью формы под именем 2021.08.19_ZOO_2021-08-19_09-43-45_c40f71f3b02afe21faae1ffc5a9d7a11.7z
 
Ещё один контрольный образ автозапуска uVS соберите, пожалуйста.
 
Порядок. Последите и сообщите через время как дела.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу