Перейти к содержанию

Рекомендуемые сообщения

Здравствуйте.

 

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM','x64');
 DeleteFile('C:\Users\User\AppData\Roaming\System\svchost.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

Сделайте лог TDSSkiller

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • Роман Паятелев
      От Роман Паятелев
      Добрый день. Ситуация следующая. Однажды появился данный вирус(conhost он же ТОДО с китайскими иероглифами). Появляется он стабильно после включения или перезагрузки компьютера. Его можно убить из диспетчера задач, но он появится в след. раз снова. Боролся по-всякому. Удалял браузеры.
      CollectionLog-2019.09.04-20.17.zip
    • sambase
      От sambase
      У меня server 2008 R2 и все было хорошо. Купили новый комп, рабочая станция для сотрудника, настроили, заводим в домен, как обычно и возникает ошибка: "При присоединении к домену "название" произошла следующая ошибка: Не найден сетевой путь." 
        На этом сервере есть роли:  + DHCP-сервер - работает, адреса выдает  + DNS-сервер  + Доменные службы Active Directory  + Файловые службы    Когда пытаюсь зайти по сети на сервер \\SERVER выдает ошибку  Не найден сетевой путь.  Код ошибки: 0x80070035    В планировщике заданий была какая-то Mysa, Mysa2, Mysa3 - удалил её и CureIt всё проверил, потом  Kaspersky Virus Removal Tool 2015 проверил, потом логи сделал. Не могу завести комп в домен, помогите спасти сервер.  
      CollectionLog-2018.11.28-17.58.zip
    • YSOFF
      От YSOFF
      Здравствуйте. Прошу помощи с удалением троянов: HEUR:Trojan.Win32.Generic (фальшивый conhost.exe), Trojan.Win32.Ukpa.a (lsmose.exe, xmrstak_cuda_backend.dll) и HEUR:RiskTool.Win32.BitMiner.gen (xmrstak_opencl_backend.dll)
      Пытался переустановить KIS18, установка прерывается ошибкой и сообщение о возможности заражения вирусами.
      Проверил систему с помощью KVRT - утилита успешно находит трояны, удаляет, но после перезапуска они появляются вновь. Не появились только три записи Mysa в планировщике. Пробовал удалять все найденные файлы из под linux - безрезультатно, появляются снова. По советам в статье https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=3пробовал исполнять скрипты для AVZ:
      begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\debug\lsmose.exe'); QuarantineFile('C:\Windows\debug\lsmose.exe',''); QuarantineFile('C:\Windows\debug\xmrstak_cuda_backend.dll',''); QuarantineFile('C:\Windows\debug\xmrstak_opencl_backend.dll',''); QuarantineFile('C:\Windows\Temp\conhost.exe',''); DeleteFile('C:\Windows\debug\lsmose.exe','32'); DeleteFile('C:\Windows\debug\xmrstak_cuda_backend.dll','32'); DeleteFile('C:\Windows\debug\xmrstak_opencl_backend.dll','32'); DeleteFile('C:\Windows\Temp\conhost.exe','32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Архив quarantine - 
      и UVS:
      ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- zoo %SystemRoot%\debug\xmrstak_opencl_backend.dll delref PS&C:\Windows\xmrstak_opencl_backend.dll delall %SystemRoot%\debug\xmrstak_opencl_backend.dll zoo %SystemRoot%\debug\xmrstak_cuda_backend.dll delref PS&C:\Windows\xmrstak_cuda_backend.dll delall %SystemRoot%\debug\xmrstak_cuda_backend.dll zoo %SystemRoot%\debug\lsmose.exe delref PS&C:\Windows\debug\lsmose.exe delall %SystemRoot%\debug\lsmose.exe zoo %SystemRoot%\Temp\conhost.exe delref PS&C:\Windows\Temp\conhost.exe delall %SystemRoot%\Temp\conhost.exe apply regt 28 regt 29 czoo restart Архив ZOO - 
       
      - после перезагрузки трояны в директориях C:\Windows\debug\ и в C:\Windows\Temp\ на месте.
      Сделал "полный образ автозапуска" в UVS - http://yadi.sk/d/hsUyrVZ03ahynB
       

      Сообщение от модератора Mark D. Pearlstone Не выполняйте рекомендации., которые написаны для других пользователей этого раздела.
      Не выкладывайте карантин и ссылки на него.
    • Ildar Zakirov
      От Ildar Zakirov
      Здравствуйте, сегодня 1 февраля 2018 года обнаружил данный вирус на своем ПК, мой антивирус dr.web стал блокировать сетевое подключение программы lsmosee.exe как узнал что это вирус, сразу в карантин бросил.
      lsmosee.exe был в этой папке (C:\Windows\Help\lsmosee.exe), но я удалил через shift+delete, сейчас его там нет.
      Mysa 2(C:\Windows\System32\Tasks\Mysa2) этот есть
      Mysa 3(C:\Windows\System32\Tasks\Mysa3) этот есть
      Mysa 1(C:\Windows\System32\Tasks\Mysa1) когда произвел сканирование программой dr.web cureIt , она удалила файл.
      Прошу у Вас помощи.
      CollectionLog-2018.02.01-14.58.zip
    • Panchersp
      От Panchersp
      На компьютере под защитой KES 10 завелся вирус lsmosee.exe и сопутствующие его файлы Mysa (C:\Windows\System32\Tasks). Сам антивирус справиться не может, постоянно выдает тревогу, проводит дезинфекцию, перезагружается и все повторяется заново.  AVZ выдает только подозрение на экзешник, но не считает его угрозой.
       
       
×
×
  • Создать...