Перейти к содержанию

вирус lsmose


Рекомендуемые сообщения

  • Ответов 30
  • Created
  • Последний ответ

Top Posters In This Topic

  • ravager

    15

  • Sandor

    12

  • regist

    4

Top Posters In This Topic

Popular Posts

1) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "

В завершение: Выполните скрипт в AVZ при наличии доступа в интернет:   var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) T

Рекомендации после удаления вредоносного ПО Там и найдете ответы на Ваши вопросы.

1)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    zoo %SystemRoot%\DEBUG\LSMOSE.EXE
    bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
    addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7
    
    chklst
    delvir
    
    ;---------command-block---------
    delref HTTP://OVGORSKIY.RU
    delref G:\RUNGAME.EXE
    delref F:\SETUP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
    delref F:\BIN\ASSETUP.EXE
    delref WMI_.[FUCKYOUMM2_FILTER]
    delref %SystemDrive%\PROGRAM FILES (X86)\WESTWOODONLINE\WOLBROWSER.DLL
    delref E:\GAMES\HOLY POTATOES WERE IN SPACE\UNINS000.EXE
    delref E:\GAMES\HOLY POTATOES WERE IN SPACE\HPWIS.EXE
    delref %Sys32%\DRIVERS\64689796.SYS
    delref %Sys32%\DRIVERS\70896357.SYS
    delref E:\GAMES\ELECTRONIC ARTS\NFS UNDERGROUND\EAUNINSTALL.EXE
    delref E:\GAMES\ELECTRONIC ARTS\NFS UNDERGROUND\SPEED.EXE
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


 

 

2)

  1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)


  [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt
[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.


 

 

3) Сделайте свежий образ автозапуска, тем же способом что и в предыдущий раз.

Ссылка на сообщение
Поделиться на другие сайты
Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.

 

А это прокатит с виртуальным носителем?

 

 

 Сделайте свежий образ автозапуска, тем же способом что и в предыдущий раз.

AutoLogger'a?

Ссылка на сообщение
Поделиться на другие сайты

1)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
    zoo %SystemRoot%\DEBUG\LSMOSE.EXE
    delall %SystemRoot%\DEBUG\LSMOSE.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.89\PSMACHINE.DLL
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
    delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  8. Подробнее читайте в этом руководстве.


 

2) Видно, что часть файлов восстановило, но не уверен что все. Поэтому повторите пунткты №2 и №3 из предущего моего поста.

Ссылка на сообщение
Поделиться на другие сайты

@danil1111, здравствуйте!

Пожалуйста, не нарушайте правил, не пишите в чужой теме. Если нужна помощь, создайте свою.

Ссылка на сообщение
Поделиться на другие сайты

Сорри за отсутствие))

Так, архив с файлом отправил. Вот последние логи:

 

sfcdetails.txt

СУПЕРКОМПЬЮТЕР_2017-09-05_12-33-47.7z

 

В общем, думаю проблема исправлена. Рецидивов не наблюдалось, новых файлов не появилось. Система работает в штатном режиме (кряхтя и кашляя)). Надо было её изначально радикально вылечить - переустановкой, не подумал...

Спасибо за ваше время и работу, очень помогли! :gooda:

Моему бы провайдеру таких консультантов.))

 

Кстати, не могли бы Вы ответить на пару вопросов: где я мог подцепить сие зло? и мог ли этот вирус(майнер) влиять на скорость загрузки из интернета?(очень странная была картина, когда под вечер скорость падала до 10мбит, при отдаче в 90.) Заранее спасибо))

Ссылка на сообщение
Поделиться на другие сайты

В завершение:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • YSOFF
      От YSOFF
      Здравствуйте. Прошу помощи с удалением троянов: HEUR:Trojan.Win32.Generic (фальшивый conhost.exe), Trojan.Win32.Ukpa.a (lsmose.exe, xmrstak_cuda_backend.dll) и HEUR:RiskTool.Win32.BitMiner.gen (xmrstak_opencl_backend.dll)
      Пытался переустановить KIS18, установка прерывается ошибкой и сообщение о возможности заражения вирусами.
      Проверил систему с помощью KVRT - утилита успешно находит трояны, удаляет, но после перезапуска они появляются вновь. Не появились только три записи Mysa в планировщике. Пробовал удалять все найденные файлы из под linux - безрезультатно, появляются снова. По советам в статье https://forum.kasperskyclub.ru/index.php?showtopic=56569&page=3пробовал исполнять скрипты для AVZ:
      begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); TerminateProcessByName('C:\Windows\debug\lsmose.exe'); QuarantineFile('C:\Windows\debug\lsmose.exe',''); QuarantineFile('C:\Windows\debug\xmrstak_cuda_backend.dll',''); QuarantineFile('C:\Windows\debug\xmrstak_opencl_backend.dll',''); QuarantineFile('C:\Windows\Temp\conhost.exe',''); DeleteFile('C:\Windows\debug\lsmose.exe','32'); DeleteFile('C:\Windows\debug\xmrstak_cuda_backend.dll','32'); DeleteFile('C:\Windows\debug\xmrstak_opencl_backend.dll','32'); DeleteFile('C:\Windows\Temp\conhost.exe','32'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); RebootWindows(true); end. Архив quarantine - 
      и UVS:
      ;uVS v4.0.5 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG ;---------command-block--------- zoo %SystemRoot%\debug\xmrstak_opencl_backend.dll delref PS&AMP;C:\Windows\xmrstak_opencl_backend.dll delall %SystemRoot%\debug\xmrstak_opencl_backend.dll zoo %SystemRoot%\debug\xmrstak_cuda_backend.dll delref PS&AMP;C:\Windows\xmrstak_cuda_backend.dll delall %SystemRoot%\debug\xmrstak_cuda_backend.dll zoo %SystemRoot%\debug\lsmose.exe delref PS&AMP;C:\Windows\debug\lsmose.exe delall %SystemRoot%\debug\lsmose.exe zoo %SystemRoot%\Temp\conhost.exe delref PS&AMP;C:\Windows\Temp\conhost.exe delall %SystemRoot%\Temp\conhost.exe apply regt 28 regt 29 czoo restart Архив ZOO - 
       
      - после перезагрузки трояны в директориях C:\Windows\debug\ и в C:\Windows\Temp\ на месте.
      Сделал "полный образ автозапуска" в UVS - http://yadi.sk/d/hsUyrVZ03ahynB
       

      Сообщение от модератора Mark D. Pearlstone Не выполняйте рекомендации., которые написаны для других пользователей этого раздела.
      Не выкладывайте карантин и ссылки на него.

×
×
  • Создать...