Ismosee.exe и другие вирусы

[Евгений174 0]

Добрый день!

Компьютер очень медленно загружается, думает, подвисает.

Начал читать про вирусы и наткнулся на Ismosee.exe, последнюю неделю Avast на нее ругается.

Поставил пробную версию Касперского - ничего не нашел

Поставил пробную версию Dr. Web - нашел 24 угрозы, 12 из которых удалил, остальные сказал не может.

нашел местоположение Ismosee.exe (фото во вложении). Удалял его несколько раз, он восстанавливается и система еще больше виснет

Логи сделал, прикрепляю

Прошу вашей помощи, товарищи!

CollectionLog-2017.08.16-21.58.zip

[regist 617]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\system32\V0520Ext.ax');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

MediaGet [20130503]-->C:\Users\Евгений\AppData\Local\MediaGet2\mediaget-uninstaller.exe
Skype Click to Call [20170114]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

деинсталируйте.

[Евгений174 0]

Здравствуйте!

 

- Проведите эту процедуру. https://virusinfo.info/virusdetector/report.php?md5=5EDE5B25F946F6B73AB821C1ABACD668

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): выполнил .

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com  KLAN-6667698210

"Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него."

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Прикрепил

 

MediaGet [20130503]-->C:\Users\Евгений\AppData\Local\MediaGet2\mediaget-uninstaller.exe
Skype Click to Call [20170114]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

деинсталируйте.готово

ClearLNK-17.08.2017_06-19.log

[regist 617]

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.
 

[regist 617]

+ Установите  Service Pack 1 для Windows 7
 

[Евгений174 0]

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

образ готов, обновление Windows устанавливается, подскажите что нужно дальше делать?

EUGENE_2017-08-17_19-06-52.7z

[regist 617]

1) Extended Update - деинсталируйте.
 
2)

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

  ;uVS v4.0.9 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  zoo B:\МОЙ САИТ\PLAGINS\TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE
  ; Extended Update
  exec C:\Users\Евгений\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe /Uninstall
  regt 27
  czoo
  restart
  ;---------command-block---------
  delref HTTP://JS.MYKINGS.TOP:280/HELLOWORLD.MSI
  delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE
  delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
  delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
  delref %SystemDrive%\USERS\ЕВГЕНИЙ\DESKTOP\НОВАЯ ПАПКА (4)\DENWER 5.2.12.EXE
  zoo %SystemRoot%\DEBUG\OK.DAT
  delall %SystemRoot%\DEBUG\OK.DAT
  delref S.DAT
  delref S.RAR
  zoo %SystemRoot%\DEBUG\ITEM.DAT
  delall %SystemRoot%\DEBUG\ITEM.DAT
  delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
  delref E:\SETUPSIMPLE.EXE
  delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
  delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\UPDATER2\U2-CTRL.EXE
  zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
  delall %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
  delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
  delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AMINLPMKFCDIBGPGFAJLGNAMICJCKKJF\1.0.3_0\ПОИСК ЯНДЕКСА
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
  delref E:\AUTOPLAY.EXE
  delref J:\AUTORUN.EXE
  delref %SystemDrive%\PROGRA~2\TOTALP~1\AXTOTA~1.DLL
  delref %SystemDrive%\PROGRAM FILES\TRUEKEY\MCAFEE.TRUEKEY.INSTALLERSERVICE.EXE
  delref %SystemDrive%\PROGRAM FILES (X86)\FRAMED DISPLAY\UPDATEFRAMEDDISPLAY.EXE
  delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_111\BIN\WSDETECT.DLL
  delref %SystemDrive%\PROGRA~1\AUTODESK\AUTOCA~1\ACADM\STDPAUTO.DLL
  delref %SystemDrive%\PROGRA~1\AUTODESK\AUTOCA~1\ACADM\MCAD2DSPREVIEW.OCX
  delref E:\STARTME.EXE
  apply 

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
  

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
  Полученный ответ сообщите здесь (с указанием номера KLAN)
• Подробнее читайте в этом руководстве.

[Евгений174 0]

 

1) Extended Update - деинсталируйте.готово

 

2)

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. готово
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".готово
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:готово

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." готово
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.   готово
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) что нужно сделать с этим архивом? на всякий случай прикрепляю

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

  Полученный ответ сообщите здесь (с указанием номера KLAN) Простите, у меня в папке с улитой AVZлежит файл  quarantine.zip, который я уже отправлял newvirus@kaspersky.com, мне нужно создать новый или еще раз отправить старый? Если новый то по какой алгоритму?

• Подробнее читайте в этом руководстве.я так понял это для пункта 3-4?

 

Изменено 17 августа, 2017 пользователем regist
карантин прикреплять запрещено

[regist 617]

1) Не надо заниматься оверковтингом.

2) Прочтите внимательно, куда надо было послать карантин и что сделать. К сообщению его прикреплять запрещено!

 

и сделайте свежий образ автозапуска.

[Евгений174 0]

 

Re: ZOO_2017-08-17_22-13-23.zip [KLAN-6671064211]

Сегодня, 22:27

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE._17F5589C77763D795015A48C8692B44CDFBD796B - Trojan.Win32.Inject.vzcb

В антивирусных базах информация по присланным вами файлам отсутствует:
TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE._17F5589C77763D795015A48C8692B44CDFBD796B.txt

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

[regist 617]

 

 

TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE._17F5589C77763D795015A48C8692B44CDFBD796B - Trojan.Win32.Inject.vzcb

знаком вам этот файл? Нужен?

 

 

сделайте свежий образ автозапуска.

жду

[Евгений174 0]

Файл с троянлм не нужен. выгрузка во вложении

 

 

сделайте свежий образ автозапуска.

жду

EUGENE_2017-08-18_00-14-25.7z

Изменено 17 августа, 2017 пользователем Евгений174

[regist 617]

Файл с троянлм не нужен. выгрузка во вложении

удалите тогда вручную файл

B:\МОЙ САИТ\PLAGINS\TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE

Проблема решена?

[Евгений174 0]

у меня остался вопрос, что такое lsmosee.exe? как удалить, потому что антивирусник яростно на него ругается, удалить он дает, система начинается тупить, после перезагрузки он восстанавливается, причем он еще себя скопировал в другую папку, прилагаю скриншот для наглядности

Изменено 18 августа, 2017 пользователем Евгений174

[regist 617]

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки.
3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.5 [http://dsrt.dyndns.org]
   v400c
   
   adddir %SystemRoot%\
   crimg

6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

9. !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .