needhelp1 Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 Здравствуйте! Постоянно появляются задания mysa1, mysa2, mysa3 после загрузки виндовс. Также антивирус несколько раз в минуту удаляет файл C:\Windows\debug\lsmose.exe adwcleaner не может создать отчёт, под конец сканирования ошибка прекращения работы программы. Прошу помочь. CollectionLog-2017.07.28-09.39.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('c:\windows\help\lsmosee.exe'); QuarantineFile('c:\windows\debug\ok.dat',''); QuarantineFile('c:\windows\debug\item.dat',''); QuarantineFile('c:\windows\help\lsmosee.exe',''); ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true); DeleteFile('c:\windows\help\lsmosee.exe','32'); DeleteFile('c:\windows\debug\item.dat','32'); DeleteFile('c:\windows\debug\ok.dat','32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN) Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Ссылка на комментарий Поделиться на другие сайты More sharing options...
needhelp1 Опубликовано 28 июля, 2017 Автор Share Опубликовано 28 июля, 2017 Запустил скрипт. Архив quarantine.zip после перезагрузки оказался пустой. В папке debug на данный момент файлов item.dat и ok.dat нет. Только lsmosee.exe, его я пробовал самостоятельно запаковать в quarantine.zip и отправить на newvirus@kaspersky.com, но не удалось из-за virus message discarded. Отдельно проверил его на сайте Касперского -- Trojan.Win64.BitMiner.iu CollectionLog-2017.07.28-11.17.zip Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 Trojan Remover деинсталлируйте. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
needhelp1 Опубликовано 28 июля, 2017 Автор Share Опубликовано 28 июля, 2017 Trojan Remover деинсталлировал. Addition.txt FRST.txt Shortcut.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{e5e7254b-308b-4d02-bdbf-c380695284e4} <==== ATTENTION (Restriction - IP) WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на комментарий Поделиться на другие сайты More sharing options...
needhelp1 Опубликовано 28 июля, 2017 Автор Share Опубликовано 28 июля, 2017 Сделал Fixlog.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
regist Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 папку C:\FRST заархивируйте, закачайте архив на любой файлообменник, не требующий ввода капчи (например: Zippyshare, My-Files.RU, File.Karelia) ссылку на скачивание пришлите мне в ЛС. Ссылка на комментарий Поделиться на другие сайты More sharing options...
needhelp1 Опубликовано 28 июля, 2017 Автор Share Опубликовано 28 июля, 2017 Прислал Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 Что сейчас с проблемой? Ссылка на комментарий Поделиться на другие сайты More sharing options...
needhelp1 Опубликовано 28 июля, 2017 Автор Share Опубликовано 28 июля, 2017 На данный момент всё хорошо, перезагружал несколько раз, новые службы не создаются, в папках help и debug новые lsmose.exe не создаются. Благодарю за помощь. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 В завершение: 1. Все утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Пожалуйста, следите за уведомлениями на эту тему. Возможно у разработчиков утилит появятся вопросы. Ссылка на комментарий Поделиться на другие сайты More sharing options...
needhelp1 Опубликовано 28 июля, 2017 Автор Share Опубликовано 28 июля, 2017 Прикрепляю SecurityCheck.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
Sandor Опубликовано 28 июля, 2017 Share Опубликовано 28 июля, 2017 --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- TeamViewer 10 v.10.0.47484 Внимание! Скачать обновления LibreOffice 4.4.3.2 v.4.4.3.2 Внимание! Скачать обновления --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.2.38913 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. --------------------------- [ AdobeProduction ] --------------------------- Adobe Acrobat XI Pro v.11.0.11 Внимание! Скачать обновления ------------------------------- [ Browser ] ------------------------------- Google Chrome v.59.0.3071.115 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О Google Chrome!^ Прочтите и выполните Рекомендации после удаления вредоносного ПО Ссылка на комментарий Поделиться на другие сайты More sharing options...
needhelp1 Опубликовано 28 июля, 2017 Автор Share Опубликовано 28 июля, 2017 Только что, к сожалению, внезапно снова появилось сообщение от антивируса, об этом файле. C:\Windows\Help\lsmosee.exe TR/CoinMiner.674f2d (Cloud). В планировщике заданий обнаружил те же Mysa1, Mysa2, Mysa3, ok Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти