вирус lsmose

[Sandor]

Проверьте его на www.virustotal.com - ссылку на результат покажите.

[ravager]

https://www.virustotal.com/#/file/d19f37b195db38e2a2f3c197ce0941a3c5b839bcb9f04a8dbbd62b94243d09c4/detection

[regist]

Пока удалите хвосты от KIS16. http://support.kaspersky.ru/1464

Скрипт для удаления вирусов дам попозже.

[ravager]

Пока удалите хвосты от KIS16. http://support.kaspersky.ru/1464

Скрипт для удаления вирусов дам попозже.

Спасибо, ждём-с))

[regist]

1)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %SystemRoot%\DEBUG\LSMOSE.EXE
   bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
   addsgn 1B148294558305780BD4A13DDC9A12052A0F66827205798742A5CA11AF5D0B6845921D6FE41D9C8EDE69021BBDE9C933089761AB871259D24779A4463883E8C3 8 Win32.CoinMiner 7
   
   chklst
   delvir
   
   ;---------command-block---------
   delref HTTP://OVGORSKIY.RU
   delref G:\RUNGAME.EXE
   delref F:\SETUP.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
   delref F:\BIN\ASSETUP.EXE
   delref WMI_.[FUCKYOUMM2_FILTER]
   delref %SystemDrive%\PROGRAM FILES (X86)\WESTWOODONLINE\WOLBROWSER.DLL
   delref E:\GAMES\HOLY POTATOES WERE IN SPACE\UNINS000.EXE
   delref E:\GAMES\HOLY POTATOES WERE IN SPACE\HPWIS.EXE
   delref %Sys32%\DRIVERS\64689796.SYS
   delref %Sys32%\DRIVERS\70896357.SYS
   delref E:\GAMES\ELECTRONIC ARTS\NFS UNDERGROUND\EAUNINSTALL.EXE
   delref E:\GAMES\ELECTRONIC ARTS\NFS UNDERGROUND\SPEED.EXE
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

 

 

2)

1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
2. • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
   • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
     

  [*]Введите sfc /scannow и нажмите Энтер. [*]Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка. [*]После того как закончится проверка в командной строке введите команду:

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log>%SYSTEMDRIVE%\sfcdetails.txt

[*]После выполнения вышеописанных операций в корне системного диска (тот диск,на котором установлена операционная система-как правило диск С) найдите файл sfcdetails.txt, прикрепите его к следующему сообщению.

 

 

3) Сделайте свежий образ автозапуска, тем же способом что и в предыдущий раз.

[ravager]

Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.

 

А это прокатит с виртуальным носителем?

 

 

 Сделайте свежий образ автозапуска, тем же способом что и в предыдущий раз.

AutoLogger'a?

[Sandor]

с виртуальным носителем?

Да, пробуйте.

 

AutoLogger'a?

Нет, uVS.

[ravager]

Так, надеюсь всё мной исполнено правильно.))

 

Архив отправлен.

Вот логи

 

sfcdetails.txt

СУПЕРКОМПЬЮТЕР_2017-08-31_11-56-44.7z

[regist]

1)

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   ;---------command-block---------
   bl A38A1E11F7222F7C48AAF33E20C78F48 1843656
   zoo %SystemRoot%\DEBUG\LSMOSE.EXE
   delall %SystemRoot%\DEBUG\LSMOSE.EXE
   delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.89\PSMACHINE.DLL
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
   apply
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
8. Подробнее читайте в этом руководстве.

 

2) Видно, что часть файлов восстановило, но не уверен что все. Поэтому повторите пунткты №2 и №3 из предущего моего поста.

[Sandor]

@danil1111, здравствуйте!

Пожалуйста, не нарушайте правил, не пишите в чужой теме. Если нужна помощь, создайте свою.

[ravager]

Сорри за отсутствие))

Так, архив с файлом отправил. Вот последние логи:

 

sfcdetails.txt

СУПЕРКОМПЬЮТЕР_2017-09-05_12-33-47.7z

 

В общем, думаю проблема исправлена. Рецидивов не наблюдалось, новых файлов не появилось. Система работает в штатном режиме (кряхтя и кашляя)). Надо было её изначально радикально вылечить - переустановкой, не подумал...

Спасибо за ваше время и работу, очень помогли!

Моему бы провайдеру таких консультантов.))

 

Кстати, не могли бы Вы ответить на пару вопросов: где я мог подцепить сие зло? и мог ли этот вирус(майнер) влиять на скорость загрузки из интернета?(очень странная была картина, когда под вечер скорость падала до 10мбит, при отдаче в 90.) Заранее спасибо))

[Sandor]

В завершение:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[ravager]

Спасибо, всё сделаю

[Sandor]

Рекомендации после удаления вредоносного ПО

Там и найдете ответы на Ваши вопросы.

[ravager]

Thank, тему можно close ))