FingerBang 0 Опубликовано 26 марта, 2018 Share Опубликовано 26 марта, 2018 Здравствуйте. Подцепил вирус lsmose.exe, проявившийся в следующих местах:c:\Windows\debug\lsmose.exe c:\Windows\help\lsmose.exeMysa 1(C:\Windows\System32\Tasks\Mysa1)Mysa 2(C:\Windows\System32\Tasks\Mysa2)Mysa 3(C:\Windows\System32\Tasks\Mysa3)ok(C:\Windows\System32\Tasks\ok)Удалял его с помощью антивируса, но он снова в течение дня восстанавливается.Пожалуйста помогите удалить его раз и навсегда. CollectionLog-2018.03.26-20.56.zip Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 26 марта, 2018 Share Опубликовано 26 марта, 2018 Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); TerminateProcessByName('C:\Windows\debug\lsmose.exe'); QuarantineFile('c:\windows\debug\item.dat', ''); QuarantineFile('C:\Windows\debug\lsmose.exe', ''); QuarantineFile('c:\windows\debug\ok.dat', ''); QuarantineFile('c:\windows\help\lsmosee.exe>', ''); DeleteFile('c:\windows\debug\item.dat', '32'); DeleteFile('c:\windows\debug\item.dat>', '32'); DeleteFile('C:\Windows\debug\lsmose.exe', '32'); DeleteFile('c:\windows\debug\ok.dat', '32'); DeleteFile('c:\windows\help\lsmosee.exe>', '32'); ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true); ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true); CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); ExecuteSysClean; end. После выполнения скрипта компьютер перезагрузится. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) IPSec политики сами настраивали? Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе. !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме. !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Ссылка на сообщение Поделиться на другие сайты
FingerBang 0 Опубликовано 26 марта, 2018 Автор Share Опубликовано 26 марта, 2018 Спасибо за быстрый ответ. После выполнения скрипта в АВЗ, компьютер не перезагрузился, перезагрузил его вручную.[KLAN-7821649162]Благодарим за обращение в Антивирусную ЛабораториюПрисланные вами файлы были проверены в автоматическом режиме.В перечисленных файлах обнаружена программа Riskware, которая может причинить вред вашему устройству:lsmose.exe - not-a-virus:RiskTool.Win32.BitCoinMiner.jmrhФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.Антивирусная Лаборатория, Kaspersky Lab HQЛог с Uvs ДАМИР-ПК_2018-03-26_23-38-50.7z IPSec политики сами настраивали? Я ничего сам не настраивал. К сожалению, я даже не знаю что это. Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 26 марта, 2018 Share Опубликовано 26 марта, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.10 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c BREG regt 25 ;---------command-block--------- delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER] delref %SystemDrive%\ЫРУКДЩСЛ\BORDERLANDS_1.5.0+DLC_RUS_COOP-LAND_REPACK_BY_CRISIS2010\REDIST\VCREDIST\2010\VCREDIST_X64.EXE delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref D:\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.EXE bl EEFFC2E8026B340857CFE97656151278 1542144 zoo %SystemRoot%\HELP\LSMOSEE.EXE delall %SystemRoot%\HELP\LSMOSEE.EXE apply czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. ________________ Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.0.5 [http://dsrt.dyndns.org] v400c adddir %SystemRoot%\ crimg В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. После этого в папке с программой будет создан образ автозапуска название, которого имеет формат "имя_компьютера_дата_сканирования". Прикрепите этот образ к следующему сообщению !!! Обратите внимание , что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора , при необходимости укажите пароль администратора и нажмите "Да" . Ссылка на сообщение Поделиться на другие сайты
FingerBang 0 Опубликовано 26 марта, 2018 Автор Share Опубликовано 26 марта, 2018 ДАМИР-ПК_2018-03-27_01-50-27.7z Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 27 марта, 2018 Share Опубликовано 27 марта, 2018 что с проблемой? Ссылка на сообщение Поделиться на другие сайты
FingerBang 0 Опубликовано 27 марта, 2018 Автор Share Опубликовано 27 марта, 2018 Пока все чисто. Раньше вирус всегда снова появлялся через 5-6 часов, сейчас же этого не произошло. Огромное спасибо вам за помощь! Ссылка на сообщение Поделиться на другие сайты
regist 618 Опубликовано 27 марта, 2018 Share Опубликовано 27 марта, 2018 Выполните скрипт в AVZ при наличии доступа в интернет: var LogPath : string; ScriptPath : string; begin LogPath := GetAVZDirectory + 'log\avz_log.txt'; if FileExists(LogPath) Then DeleteFile(LogPath); ScriptPath := GetAVZDirectory +'ScanVuln.txt'; if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!'); exit; end; end; if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false) end. После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.Выполните рекомендации после лечения. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти