Перейти к содержанию

Ismosee.exe и другие вирусы


Евгений174

Рекомендуемые сообщения

Добрый день!

Компьютер очень медленно загружается, думает, подвисает.

Начал читать про вирусы и наткнулся на Ismosee.exe, последнюю неделю Avast на нее ругается.

Поставил пробную версию Касперского - ничего не нашел

Поставил пробную версию Dr. Web - нашел 24 угрозы, 12 из которых удалил, остальные сказал не может.

нашел местоположение Ismosee.exe (фото во вложении). Удалял его несколько раз, он восстанавливается и система еще больше виснет

Логи сделал, прикрепляю

Прошу вашей помощи, товарищи!

post-46999-0-95477200-1502903258_thumb.png

CollectionLog-2017.08.16-21.58.zip

post-46999-0-33034000-1502903331_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\system32\V0520Ext.ax');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(1);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.
 

MediaGet [20130503]-->C:\Users\Евгений\AppData\Local\MediaGet2\mediaget-uninstaller.exe
Skype Click to Call [20170114]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

деинсталируйте.

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

- Проведите эту процедуру. https://virusinfo.info/virusdetector/report.php?md5=5EDE5B25F946F6B73AB821C1ABACD668

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт): выполнил .

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com  KLAN-6667698210

"Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

quarantine.zip

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него."

 

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите. Прикрепил

 

MediaGet [20130503]-->C:\Users\Евгений\AppData\Local\MediaGet2\mediaget-uninstaller.exe
Skype Click to Call [20170114]-->MsiExec.exe /I{873F8E7C-10E6-449F-BD7E-5FBA7C8E1C9B}

деинсталируйте.готово

ClearLNK-17.08.2017_06-19.log

Ссылка на комментарий
Поделиться на другие сайты

образ готов, обновление Windows устанавливается, подскажите что нужно дальше делать?

EUGENE_2017-08-17_19-06-52.7z

Ссылка на комментарий
Поделиться на другие сайты

1) Extended Update - деинсталируйте.
 
2)

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.9 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    zoo B:\МОЙ САИТ\PLAGINS\TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE
    ; Extended Update
    exec C:\Users\Евгений\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe /Uninstall
    regt 27
    czoo
    restart
    ;---------command-block---------
    delref HTTP://JS.MYKINGS.TOP:280/HELLOWORLD.MSI
    delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\UPDATER\YUPDATE-CTRL.EXE
    delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\UPDATER2\BROWSERMANAGERSHOW.EXE
    delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\BROWSERMANAGER\BROWSERMANAGERSHOW.EXE
    delref %SystemDrive%\USERS\ЕВГЕНИЙ\DESKTOP\НОВАЯ ПАПКА (4)\DENWER 5.2.12.EXE
    zoo %SystemRoot%\DEBUG\OK.DAT
    delall %SystemRoot%\DEBUG\OK.DAT
    delref S.DAT
    delref S.RAR
    zoo %SystemRoot%\DEBUG\ITEM.DAT
    delall %SystemRoot%\DEBUG\ITEM.DAT
    delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
    delref E:\SETUPSIMPLE.EXE
    delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
    delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\YANDEX\UPDATER2\U2-CTRL.EXE
    zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
    delall %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\NKCPOPGGJCJKIICPENIKEOGIOEDNJEAC.CRX
    delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
    delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AMINLPMKFCDIBGPGFAJLGNAMICJCKKJF\1.0.3_0\ПОИСК ЯНДЕКСА
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
    delref E:\AUTOPLAY.EXE
    delref J:\AUTORUN.EXE
    delref %SystemDrive%\PROGRA~2\TOTALP~1\AXTOTA~1.DLL
    delref %SystemDrive%\PROGRAM FILES\TRUEKEY\MCAFEE.TRUEKEY.INSTALLERSERVICE.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\FRAMED DISPLAY\UPDATEFRAMEDDISPLAY.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_111\BIN\WSDETECT.DLL
    delref %SystemDrive%\PROGRA~1\AUTODESK\AUTOCA~1\ACADM\STDPAUTO.DLL
    delref %SystemDrive%\PROGRA~1\AUTODESK\AUTOCA~1\ACADM\MCAD2DSPREVIEW.OCX
    delref E:\STARTME.EXE
    apply 
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com
    Полученный ответ сообщите здесь (с указанием номера KLAN)
  • Подробнее читайте в этом руководстве.
Ссылка на комментарий
Поделиться на другие сайты

 

1) Extended Update - деинсталируйте.готово

 

2)

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. готово
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".готово
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:готово
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." готово
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.   готово
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) что нужно сделать с этим архивом? на всякий случай прикрепляю

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте отправьте по адресу newvirus@kaspersky.com

    Полученный ответ сообщите здесь (с указанием номера KLAN) Простите, у меня в папке с улитой AVZлежит файл  quarantine.zip, который я уже отправлял newvirus@kaspersky.com, мне нужно создать новый или еще раз отправить старый? Если новый то по какой алгоритму?

  • Подробнее читайте в этом руководстве.я так понял это для пункта 3-4?

 

Изменено пользователем regist
карантин прикреплять запрещено
Ссылка на комментарий
Поделиться на другие сайты

1) Не надо заниматься оверковтингом.

2) Прочтите внимательно, куда надо было послать карантин и что сделать. К сообщению его прикреплять запрещено!

 

и сделайте свежий образ автозапуска.

Ссылка на комментарий
Поделиться на другие сайты

 

Re: ZOO_2017-08-17_22-13-23.zip [KLAN-6671064211]
Сегодня, 22:27

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE._17F5589C77763D795015A48C8692B44CDFBD796B - Trojan.Win32.Inject.vzcb

В антивирусных базах информация по присланным вами файлам отсутствует:
TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE._17F5589C77763D795015A48C8692B44CDFBD796B.txt

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

Антивирусная Лаборатория, Kaspersky Lab HQ

Ссылка на комментарий
Поделиться на другие сайты

 

 


TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE._17F5589C77763D795015A48C8692B44CDFBD796B - Trojan.Win32.Inject.vzcb
знаком вам этот файл? Нужен?

 

 


сделайте свежий образ автозапуска.
жду
Ссылка на комментарий
Поделиться на другие сайты

Файл с троянлм не нужен. выгрузка во вложении

 

 

сделайте свежий образ автозапуска.

жду

EUGENE_2017-08-18_00-14-25.7z

Изменено пользователем Евгений174
Ссылка на комментарий
Поделиться на другие сайты

Файл с троянлм не нужен. выгрузка во вложении

удалите тогда вручную файл

B:\МОЙ САИТ\PLAGINS\TOTAL COMMANDER 8.0 BETA 4 PORTABLE X86.EXE

Проблема решена?

Ссылка на комментарий
Поделиться на другие сайты

у меня остался вопрос, что такое lsmosee.exe? как удалить, потому что антивирусник яростно на него ругается, удалить он дает, система начинается тупить, после перезагрузки он восстанавливается, причем он еще себя скопировал в другую папку, прилагаю скриншот для наглядности

post-46999-0-75580100-1503020747_thumb.png

Изменено пользователем Евгений174
Ссылка на комментарий
Поделиться на другие сайты

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки.
  3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  4. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  5. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    v400c
    
    adddir %SystemRoot%\
    crimg
  6. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  7. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  8. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
  9. !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • farguskz
      Автор farguskz
      приветствую, после установки дистрибутива скаченного с официального сайта, получили зашифрованные файлы с письмом, так говорят менеджеры, прочитал ваш пост далее обращаюсь к вам за помощью в этом вопросе, спасибо
      систем защиты на момент возникновения проблемы не было, только удалил для переустановки едпоинт, с перепугу установил малваре прекратил отправку данных и нашёл очень много ошибок
      virus.zip Addition.txt Shortcut.txt FRST.txt
    • Alexoon
      Автор Alexoon
      Подхватил какой-то вирус с почты. Постоянно открывается powershell и браузеры, т.е. по 5 раз в секунду
       
      Антивирусы ни один его не видят
      CollectionLog-2025.08.22-16.02.zip
    • monstr878
      Автор monstr878
      Помогите пожалуйста попал в такую ситуацию. С начала после запуска пк не открывалось не одно приложение, понель задач и поиск. Антивирус отказывался запускать сканирование запуская
      бессконечную загрузку. Попробовали AVZ не помогло, но встроенный антивирус винды начал работать но также ничего не нашел. Дальше переустановил виндовс, после скачивания всех обновлений,
      При настройки браузеров скачивании приложений проблема возобновилась. Установил касперский он нашел одну папку, но после удаления папки ничего не поменялаось.
      Симптомы: на нажатие кнопки виндовс реакции нет, не открывается поиск, настройки виндовс, при попытки зайти в персонализацию пишет что такого приложения не обнаружено.
      Подскажите пожалуйста что это может быть и как это решить?
    • LexaSLX
      Автор LexaSLX
      Добрый день! Через RDP на наш сервер проник вирус-шифровальщик,  появился новый том М (Зарезервировано системой) , на нем один файл HELP.txt, с координатами вымогателя. Так же этот файл появился во всех папках. Система грузится, но все файлы (1C, Office, html и др.) зашифрованы. На рабочем столе висит картинка с надписью: "We encrypted adn stolen all of your files. Open HELP.txt and follow the instructions to recover your files." . Нужна помощь в расшифровки.  В приложении результат сканирования FRST, а также оригиналы документов и их зашифрованные версииFRST.txt
      Addition.txt ориг и шифр.zip
      HELP.txt
    • alexansh
      Автор alexansh
      На смартфоне
      Версия Android 9 PPR1.180610.011
      Проверял антивирусом
      Kaspersky Free 
      Версия 11.124.4.14286
      Вирус: UDS:Trojan.AndroidOS.Piom.bngd
      -----------------------------------------------
      Если на смартфоне при открытии приложения "Сбербанк" появилось сообщение, что обнаружен вирус "UDS:Trojan.AndroidOS.Piom.bngd" 
      и при этом давалась возможность удалить этот вирус, что я и сделал (удалил его).
      В тех.поддержке Сбербанка мне сказали, что этот вирус был в прошивке смартфона, и что теперь уже он удалён модулем Касперского.
      Также сказали, что какие могут быть последствия от этого вируса, они не знают.
      Рекомендовали обратиться в Лабораторию Касперского.
      После этого на смартфоне иногда возникали торможения - черный экран во время работы на некоторое время и черный экран при перезагрузке на некоторое время.
      Кнопками можно было вывести смартфон в нормальное состояние. Но в основном смартфон работает нормально.
      **********************************************************************************************************************************
      Хотел узнать, что это за троян, что он делает, какие возможные последствия и как его можно побороть ?
      И лечится ли он антивирусом, если находится в прошивке ? (ведь при входе в приложение Сбербанк вирус был удален из прошивки).
      И как "очистить" прошивку, чтобы быть уверенным, что там всё в порядке ?
      И как избавиться от последствий этого трояна ?

×
×
  • Создать...