_Rom 0 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 Здравствуйте, Поймал вирус mysa Пытался удалить с помощью Malwarebytes Anti-Malware, AVZ, Dr.Web cureit, KVRT, после перезагрузки появляется снова Заранее спасибо. С Уважением, Роман. CollectionLog-2018.12.06-11.43.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 (изменено) Здравствуйте!- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ClearQuarantineEx(true); TerminateProcessByName('c:\windows\temp\conhost.exe'); QuarantineFile('C:\Receiver.cmd', ''); QuarantineFile('C:\Receiver2.cmd', ''); QuarantineFile('C:\Users\9335~1\AppData\Local\Temp\ATICDSDr.sys', ''); QuarantineFile('c:\windows\temp\conhost.exe', ''); QuarantineFile('E:\Rezerv\MSSQL\backup.bat', ''); DeleteFile('C:\Windows\Debug\lsmose.exe', '32'); DeleteFile('c:\windows\temp\conhost.exe', ''); DeleteSchedulerTask('Mysa'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); end. Пожалуйста, перезагрузите компьютер вручную. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) - Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Изменено 6 декабря, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 6 декабря, 2018 Автор Share Опубликовано 6 декабря, 2018 Здравствуйте! - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь. Процедуру провел. Файл virusinfo_auto_SERVER.zip получил, размер 9,81 Мб. При отправке через данную форму пишет 413 Request Entity Too Large Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 Процедуру провел. Файл virusinfo_auto_SERVER.zip получил, размер 9,81 Мб. При отправке через данную форму пишет 413 Request Entity Too Large закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите мне в ЛС. Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 6 декабря, 2018 Автор Share Опубликовано 6 декабря, 2018 (изменено) Файл quarantine.zip отправлен ответ KLAN-9230418350 В антивирусных базах информация по присланным вами файлам отсутствует:Receiver.cmdReceiver2.cmdbackup.batВ следующих файлах обнаружен вредоносный код:conhost.exe - Trojan.Win64.Miner.ijcФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Ссылку в ЛС отправил ClearLNK-2018.12.06_12.46.41.log CollectionLog-2018.12.06-13.03.zip Изменено 6 декабря, 2018 пользователем _Rom Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block сами настраивали? Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). [*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\). Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 6 декабря, 2018 Автор Share Опубликовано 6 декабря, 2018 (изменено) O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block сами настраивали? нет Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку; Запустите файл TDSSKiller.exe. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию. В процессе проверки могут быть обнаружены объекты двух типов: вредоносные (точно было установлено, какой вредоносной программой поражен объект); подозрительные (тип вредоносного воздействия точно установить невозможно). По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). Самостоятельно без указания консультанта ничего не удаляйте!!! После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt TDSSKiller.3.1.0.24_06.12.2018_13.29.44_log.txt Изменено 6 декабря, 2018 пользователем _Rom Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.battdsskiller.exe -accepteula -accepteulaksn -qmbr -qboot Запустите файл fix.bat и дождитесь завершения проверки. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine. Заархивруйте эту папку с паролем virus. И закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите мне в ЛС. Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 6 декабря, 2018 Автор Share Опубликовано 6 декабря, 2018 Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat tdsskiller.exe -accepteula -accepteulaksn -qmbr -qboot Запустите файл fix.bat и дождитесь завершения проверки. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine. Заархивруйте эту папку с паролем virus. И закачайте архив на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) ссылку на скачивание пришлите мне в ЛС. Отправил в ЛС Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 не надо оверквотингом заниматься. Для быстрого ответа есть форма внизу. Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 6 декабря, 2018 Автор Share Опубликовано 6 декабря, 2018 больше не буду Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 (изменено) Здравствуйте!Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin ClearQuarantineEx(true); TerminateProcessByName('C:\Windows\Debug\lsmose.exe'); TerminateProcessByName('c:\windows\temp\conhost.exe'); QuarantineFile('C:\Windows\debug\item.dat', ''); QuarantineFile('C:\Windows\Debug\lsmose.exe', ''); QuarantineFile('c:\windows\debug\ok.dat', ''); QuarantineFile('c:\windows\temp\conhost.exe', ''); QuarantineFile('c:\windows\update.exe', ''); DeleteFile('C:\Windows\debug\item.dat', '32'); DeleteFile('c:\windows\debug\item.dat', '64'); DeleteFile('C:\Windows\Debug\lsmose.exe', ''); DeleteFile('C:\Windows\Debug\lsmose.exe', '64'); DeleteFile('c:\windows\debug\ok.dat', '64'); DeleteFile('c:\windows\temp\conhost.exe', ''); DeleteFile('c:\windows\temp\conhost.exe', '32'); DeleteFile('c:\windows\update.exe', '64'); DeleteFile('c:\windows\update.exe>','64'); DeleteSchedulerTask('Mysa'); DeleteSchedulerTask('Mysa1'); DeleteSchedulerTask('ok'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', 'x32'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); end. Пожалуйста, перезагрузите компьютер вручную. - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.comПолученный ответ сообщите здесь (с указанием номера KLAN) "Пофиксите" в HijackThis: O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block O7 - IPSec: Name: win (2018/12/06) - {e353bf15-4e87-48a7-acd6-cffa1f59c1b9} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block O18 - HKLM\Software\Classes\Protocols\Filter\text/xml: [CLSID] = {807553E5-5146-11D5-A672-00B0D022E945} - (no file) O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file) O18 - HKLM\Software\Classes\Protocols\Handler\msdaipp\0x00000001: [CLSID] = {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - (no file) O18 - HKLM\Software\Classes\Protocols\Handler\msdaipp\oledb: [CLSID] = {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - (no file) O18 - HKLM\Software\Classes\Protocols\Handler\mso-offdap11: [CLSID] = {32505114-5902-49B2-880A-1F7738E5A384} - (no file) O18 - HKLM\Software\Classes\Protocols\Handler\mso-offdap: [CLSID] = {3D9F03FA-7A94-11D3-BE81-0050048385D1} - (no file) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования, Скачайте Universal Virus Sniffer (uVS) Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную. Дождитесь окончания работы программы и прикрепите лог к посту в теме.!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да". Изменено 6 декабря, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 6 декабря, 2018 Автор Share Опубликовано 6 декабря, 2018 Файл quarantine.zip отправлен, получен ответ [KLAN-9231044705] Присланные вами файлы были проверены в автоматическом режиме.В следующих файлах обнаружен вредоносный код:item.dat - HEUR:Trojan.Win32.DiskWriter.genlsmose.exe - Trojan.Win64.Miner.jlmconhost.exe - Trojan.Win64.Miner.ijcФайлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. "Пофиксил" в HijackThis SERVER_2018-12-06_17-02-26_v4.1.2.7z Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 6 декабря, 2018 Share Опубликовано 6 декабря, 2018 Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем". Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:;uVS v4.1.2 [http://dsrt.dyndns.org] ;Target OS: NTv6.0 v400c BREG delref HTTP://JS.FTP0930.HOST:280/V.SCT zoo %SystemRoot%\TEMP\CONHOST.EXE bl DB0E205613407C4E260BCB585270D8CD 782848 addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7 zoo %SystemRoot%\DEBUG\ITEM.DAT bl 5506F673EB568897B1DB7C06EB4E761A 2359296 addsgn 19E477AA516A4C720BD4CE5964C81205780B11E689FA1FF968ABC32D505CF5680B17C357BEAD9C46AF87849F46777A3A3D1DE472BCDEB02C2D30AEEF9EBE4A75 64 Trojan.Win32.DiskWriter.gen [Kaspersky] 7 zoo %SystemRoot%\DEBUG\LSMOSE.EXE bl 0C17491CBA1062BE447C0076EBF47896 5929472 addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.Win64.Miner.jlm [Kaspersky] 7 chklst delvir delref A.EXE zoo %SystemRoot%\DEBUG\OK.DAT delall %SystemRoot%\DEBUG\OK.DAT delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE delref S&C:\WINDOWS\UPDATE.EXE delref {34449847-FD14-4FC8-A75A-7432F5181EFB}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {C8494E42-ACDD-4739-B0FB-217361E4894F}\[CLSID] delref {911051FA-C21C-4246-B470-070CD8DF6DC4}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {2C2577C2-63A7-40E3-9B7F-586602617ECB}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {1B24A030-9B20-49BC-97AC-1BE4426F9E59}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID] delref {E29F9716-5C08-4FCD-955A-119FDB5A522D}\[CLSID] delref {DA67B8AD-E81B-4C70-9B91B417B5E33527}\[CLSID] zoo %SystemDrive%\USERS\À€À¥À£À¨À½À¨ÑÑ‚Ñ€À°Ñ‚À½Ñ€.JUSTICE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PE7W6C8D.DEFAULT\SEARCHPLUGINS\QIP-SEARCH.XML delall %SystemDrive%\USERS\À€À¥À£À¨À½À¨ÑÑ‚Ñ€À°Ñ‚À½Ñ€.JUSTICE\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\PE7W6C8D.DEFAULT\SEARCHPLUGINS\QIP-SEARCH.XML delref S.DAT zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL bl 3F5363C475177E62AC64309785754C9D 10135552 addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 64 Win64.BitCoinMiner.irwy [Kaspersky] 7 czoo restart В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..." Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z) Если архив отсутствует, то заархивруйте папку ZOO с паролем virus . Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. сделайте свежий образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
_Rom 0 Опубликовано 6 декабря, 2018 Автор Share Опубликовано 6 декабря, 2018 (изменено) выполнено SERVER_2018-12-06_20-32-39_v4.1.2.7z Изменено 6 декабря, 2018 пользователем _Rom Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.