вирус mysa

[_Rom 0]

Здравствуйте,

 

Поймал вирус mysa

 

Пытался удалить с помощью Malwarebytes Anti-Malware, AVZ, Dr.Web cureit, KVRT, после перезагрузки появляется снова

 

Заранее спасибо.

 

С Уважением,

Роман.

CollectionLog-2018.12.06-11.43.zip

[regist 617]

Здравствуйте!

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('C:\Receiver.cmd', '');
 QuarantineFile('C:\Receiver2.cmd', '');
 QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\ATICDSDr.sys', '');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 QuarantineFile('E:\Rezerv\MSSQL\backup.bat', '');
 DeleteFile('C:\Windows\Debug\lsmose.exe', '32');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 DeleteSchedulerTask('Mysa');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

Пожалуйста, перезагрузите компьютер вручную.

 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 6 декабря, 2018 пользователем regist

[_Rom 0]

Здравствуйте!

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Процедуру провел. Файл virusinfo_auto_SERVER.zip получил, размер 9,81 Мб. При отправке через данную форму пишет

413 Request Entity Too Large

 

[regist 617]

 

 

Процедуру провел. Файл virusinfo_auto_SERVER.zip получил, размер 9,81 Мб. При отправке через данную форму пишет 413 Request Entity Too Large

закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.

 

[_Rom 0]

Файл quarantine.zip отправлен ответ KLAN-9230418350

 

В антивирусных базах информация по присланным вами файлам отсутствует:
Receiver.cmd
Receiver2.cmd
backup.bat

В следующих файлах обнаружен вредоносный код:
conhost.exe - Trojan.Win64.Miner.ijc

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
 

Ссылку в ЛС отправил

ClearLNK-2018.12.06_12.46.41.log

CollectionLog-2018.12.06-13.03.zip

Изменено 6 декабря, 2018 пользователем _Rom

[regist 617]

O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block

сами настраивали?

 

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
   
2. Запустите файл TDSSKiller.exe.
   
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
   
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
     
   • подозрительные (тип вредоносного воздействия точно установить невозможно).

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.

[*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.

[*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).

[*]Самостоятельно без указания консультанта ничего не удаляйте!!!

[*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.

[*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

 

[_Rom 0]

O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block

сами настраивали?

нет

 

 

• Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
• Запустите файл TDSSKiller.exe.
• Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
• В процессе проверки могут быть обнаружены объекты двух типов:
  • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
  • подозрительные (тип вредоносного воздействия точно установить невозможно).
• По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
• Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
• Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
• Самостоятельно без указания консультанта ничего не удаляйте!!!
• После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
• Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).

Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt

Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

 

TDSSKiller.3.1.0.24_06.12.2018_13.29.44_log.txt

Изменено 6 декабря, 2018 пользователем _Rom

[regist 617]

1. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat
   

   tdsskiller.exe -accepteula -accepteulaksn -qmbr -qboot

2. Запустите файл fix.bat и дождитесь завершения проверки.
3. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
4. Заархивруйте эту папку с паролем virus. И закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.
   

 

[_Rom 0]

 

 

• Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat

  tdsskiller.exe -accepteula -accepteulaksn -qmbr -qboot

• Запустите файл fix.bat и дождитесь завершения проверки.
• Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine.
• Заархивруйте эту папку с паролем virus. И закачайте архив на любой файлообменник, не требующий ввода капчи (например:  Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile)  ссылку на скачивание пришлите мне в ЛС.

 

 

Отправил в ЛС

[regist 617]

не надо оверквотингом заниматься. Для быстрого ответа есть форма внизу.

[_Rom 0]

больше не буду

[regist 617]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\Debug\lsmose.exe');
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('C:\Windows\debug\item.dat', '');
 QuarantineFile('C:\Windows\Debug\lsmose.exe', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 QuarantineFile('c:\windows\update.exe', '');
 DeleteFile('C:\Windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\item.dat', '64');
 DeleteFile('C:\Windows\Debug\lsmose.exe', '');
 DeleteFile('C:\Windows\Debug\lsmose.exe', '64');
 DeleteFile('c:\windows\debug\ok.dat', '64');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\temp\conhost.exe', '32');
 DeleteFile('c:\windows\update.exe', '64');
 DeleteFile('c:\windows\update.exe>','64');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('ok');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', 'x32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
end.

Пожалуйста, перезагрузите компьютер вручную.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O18 - HKLM\Software\Classes\Protocols\Filter\text/xml: [CLSID] = {807553E5-5146-11D5-A672-00B0D022E945} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\msdaipp\0x00000001: [CLSID] = {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\msdaipp\oledb: [CLSID] = {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-offdap11: [CLSID] = {32505114-5902-49B2-880A-1F7738E5A384} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\mso-offdap: [CLSID] = {3D9F03FA-7A94-11D3-BE81-0050048385D1} - (no file)

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
  

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.
  

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

 
 

Изменено 6 декабря, 2018 пользователем regist

[_Rom 0]

Файл quarantine.zip отправлен, получен ответ [KLAN-9231044705]

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
item.dat - HEUR:Trojan.Win32.DiskWriter.gen
lsmose.exe - Trojan.Win64.Miner.jlm
conhost.exe - Trojan.Win64.Miner.ijc

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

"Пофиксил" в HijackThis

 

 

SERVER_2018-12-06_17-02-26_v4.1.2.7z

[regist 617]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v4.1.2 [http://dsrt.dyndns.org]
   ;Target OS: NTv6.0
   v400c
   BREG
   delref HTTP://JS.FTP0930.HOST:280/V.SCT
   zoo %SystemRoot%\TEMP\CONHOST.EXE
   bl DB0E205613407C4E260BCB585270D8CD 782848
   addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
   
   zoo %SystemRoot%\DEBUG\ITEM.DAT
   bl 5506F673EB568897B1DB7C06EB4E761A 2359296
   addsgn 19E477AA516A4C720BD4CE5964C81205780B11E689FA1FF968ABC32D505CF5680B17C357BEAD9C46AF87849F46777A3A3D1DE472BCDEB02C2D30AEEF9EBE4A75 64 Trojan.Win32.DiskWriter.gen [Kaspersky] 7
   
   zoo %SystemRoot%\DEBUG\LSMOSE.EXE
   bl 0C17491CBA1062BE447C0076EBF47896 5929472
   addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.Win64.Miner.jlm [Kaspersky] 7
   
   chklst
   delvir
   
   delref A.EXE
   zoo %SystemRoot%\DEBUG\OK.DAT
   delall %SystemRoot%\DEBUG\OK.DAT
   delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
   delref S&C:\WINDOWS\UPDATE.EXE
   delref {34449847-FD14-4FC8-A75A-7432F5181EFB}\[CLSID]
   delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
   delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
   delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
   delref {C8494E42-ACDD-4739-B0FB-217361E4894F}\[CLSID]
   delref {911051FA-C21C-4246-B470-070CD8DF6DC4}\[CLSID]
   delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
   delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
   delref {2C2577C2-63A7-40E3-9B7F-586602617ECB}\[CLSID]
   delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
   delref {1B24A030-9B20-49BC-97AC-1BE4426F9E59}\[CLSID]
   delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
   delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
   delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
   delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
   delref {E29F9716-5C08-4FCD-955A-119FDB5A522D}\[CLSID]
   delref {DA67B8AD-E81B-4C70-9B91B417B5E33527}\[CLSID]
   zoo %SystemDrive%\USERS\À€À¥À£À¨À½À¨ÑÑ‚Ñ€À°Ñ‚À½Ñ€.JUSTICE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PE7W6C8D.DEFAULT\SEARCHPLUGINS\QIP-SEARCH.XML
   delall %SystemDrive%\USERS\À€À¥À£À¨À½À¨ÑÑ‚Ñ€À°Ñ‚À½Ñ€.JUSTICE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PE7W6C8D.DEFAULT\SEARCHPLUGINS\QIP-SEARCH.XML
   delref S.DAT
   zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL
   bl 3F5363C475177E62AC64309785754C9D 10135552
   addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 64 Win64.BitCoinMiner.irwy [Kaspersky] 7
   
   czoo
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
   
   Если архив отсутствует, то
   заархивруйте папку ZOO
   с паролем
   virus
   .

7. Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

сделайте свежий образ автозапуска uVS.
 

[_Rom 0]

выполнено

SERVER_2018-12-06_20-32-39_v4.1.2.7z

Изменено 6 декабря, 2018 пользователем _Rom