Вирус lsmosee.exe

[SPb_Andrew 0]

Здравствуйте! Dr.Web обнаруживает и помещает в карантин два файла: 321113[1].rar (имя со временем меняется) и lsmosee.exe. Происходит это при загрузке, а затем с разной периодичностью. Если отключить сетевой кабель, то файлы не появляются. Другой активности не заметно. Сканер Dr.Web, Kaspersky Rescue Disk и SpyHunter проблем не находят. Вероятной причиной заражения послужила программа UMMY Downloader.

Примечание. AutoLogger запускался при отключенном интернете. После перезагрузки файл CollectionLog-2017.11.19-13.08.zip не появился, запустил еще раз AutoLogger и выбрал SHIFT + OK. При появлении красного окошка HiJackThis выбрал "Отмена".

[regist 617]

 

 

Примечание. AutoLogger запускался при отключенном интернете. После перезагрузки файл CollectionLog-2017.11.19-13.08.zip не появился, запустил еще раз AutoLogger и выбрал SHIFT + OK. При появлении красного окошка HiJackThis выбрал "Отмена".

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

var PathAutoLogger, CMDLine : string;

begin
clearlog;
PathAutoLogger := Copy(GetAVZDirectory, 0, (Length(GetAVZDirectory)-4));
AddToLog('start time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now)+#13#10+ PathAutoLogger);
SaveLog(PathAutoLogger+'report3.log');
if FolderIsEmpty(PathAutoLogger+'CrashDumps')
 then CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'HiJackThis\HiJackThis*.log"'
 else CMDLine := 'a "' + PathAutoLogger + 'Report.7z" "' + PathAutoLogger + '\report*.log" "' + PathAutoLogger + 'CrashDumps\"';
  ExecuteFile('7za.exe', CMDLine, 0, 180000, false);
AddLineToTxtFile(PathAutoLogger+'report3.log', '7z ReturnCode ' + IntToStr(GetLastExitCode)+#13#10+'end time ' + FormatDateTime('yyyy.mm.dd-hh:mm:ss', now));
end.

архив Report.zip из папки с AutoLogger, пожалуйста, прикрепите к своему сообщению. Выполнение скрипта может занять несколько минут. Если архив слишком большой, загрузите его на файлообменник, например на один из этих файлообменников http://www.zippyshare.com/ , http://my-files.ru/ , http://www.ge.tt/ и дайте на него ссылку в Вашей теме.

[SPb_Andrew 0]

Спасибо. Готово.

Report.7z

[regist 617]

Такой архив есть?

C:\Documents and Settings\Andrew Kirsanov\Рабочий стол\AutoLogger\CollectionLog-2017.11.19-13.08.zip

Если да, то прикрепите его к сообщению. Изменено 19 ноября, 2017 пользователем regist

[SPb_Andrew 0]

Сделано.

CollectionLog-2017.11.19-13.08.zip

[regist 617]

Здравствуйте!

>>  Заблокированы настройки системы Windows Update

 >>  Таймаут завершения процессов находится за пределами допустимых значений

Это сами сделали?

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 ExecuteRepair(10);
RebootWindows(false);
end.

После выполнения скрипта компьютер перезагрузится.

 

SpyHunter4 - деинсталируйте.

 

Uplay - если сами не ставили/не используете, то тоже.

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено 21 ноября, 2017 пользователем regist

[SPb_Andrew 0]

Здравствуйте!

 

>>  Заблокированы настройки системы Windows Update
 >>  Таймаут завершения процессов находится за пределами допустимых значений

Это сами сделали?

Windows Update - да, отключил сам.

Таймаут - сознательно не изменял.

 

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Выполнил.

 

 

SpyHunter4 - деинсталируйте.

Деинсталировал.

 

 

Uplay - если сами не ставили/не используете, то тоже.

Uplay ставил сам. Желательно оставить.

 

 

Откройте папку с UVS и запустите файл start.exe.

Лог работы UVS прикрепляю.

 

Спасибо.

NWCDT_2017-11-22_08-41-59.7z

[regist 617]

Выполните скрипт в uVS
 

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
BREG
;---------command-block---------
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref O:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ACLEANER.EXE
delref K:\MYFOLDER\MYFILE.EXE
delref MYFOLDER\MYFILE.EXE
apply

restart

 
сделайте свежий образ автозапуска и проверьте, что с проблемой.

[SPb_Andrew 0]

Здравствуйте!

 

 

Выполните скрипт в uVS

Выполнил.

 

 

сделайте свежий образ автозапуска и проверьте, что с проблемой.

Сделал. На данный момент проблемы не наблюдается. Буду следить. Отпишусь. Спасибо.

NWCDT_2017-11-23_09-06-15.7z

[regist 617]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 

[SPb_Andrew 0]

Здравствуйте!

 

 

Выполните скрипт в AVZ при наличии доступа в интернет

Выполнил.

 

 

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

Сделано.

 

Спасибо Вам и Вашей команде за ваш труд. Дай Бог, чтобы всегда с Вами рядом были такие же отзывчивые и бескорыстные люди.

[SPb_Andrew 0]

Здравствуйте! Спустя 10 дней вирусной активности не наблюдается. Еще раз благодарю за помощь. Доброе дело вы делаете.