Перейти к содержанию

вирус mysa


_Rom

Рекомендуемые сообщения

@_Rom, понаблюдайте, что с проблемой.


+ Проверьте этот файл на virustotal

C:\WINDOWS\SYSWOW64\REGSEARCH.DLL
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 
Ссылка на комментарий
Поделиться на другие сайты

1) На всякий случай проверьте эти файлы на virustotal

C:\WINDOWS\SYSWOW64\CRTSLV.DLL
C:\WINDOWS\SYSWOW64\CRVIEWERX.DLL
C:\WINDOWS\SYSWOW64\EXPORTMODELLER.DLL
C:\WINDOWS\SYSWOW64\FREXTENSION2.DLL
C:\WINDOWS\SYSWOW64\REGTRANS.DLL
C:\WINDOWS\SYSWOW64\ETFONDSRV.DLL
C:\WINDOWS\SYSWOW64\HICLGRID.OCX
кнопка Выбрать файл (Choose File) - ищете нужный файл у вас в системе - Открыть (Browse) - Проверить (Scan it!). Нажать на кнопку Повторить анализ (Reanalyse) если будет. Дождитесь результата . Ссылку на результат (то, что будет в адресной строке в браузере) копируете и выкладываете в теме.
 

2)

  1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.0
    v400c
    BREG
    delref HTTP://JS.FTP0930.HOST:280/V.SCT
    zoo %SystemRoot%\DEBUG\LSMOSE.EXE
    bl 0C17491CBA1062BE447C0076EBF47896 5929472
    addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.Win64.Miner.jlm [Kaspersky] 7
    
    zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL
    bl 3F5363C475177E62AC64309785754C9D 10135552
    addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 64 Win64.BitCoinMiner.irwy [Kaspersky] 7
    
    zoo %SystemRoot%\DEBUG\ITEM.DAT
    bl 5506F673EB568897B1DB7C06EB4E761A 2359296
    addsgn 19E477AA516A4C720BD4CE5964C81205780B11E689FA1FF968ABC32D505CF5680B17C357BEAD9C46AF87849F46777A3A3D1DE472BCDEB02C2D30AEEF9EBE4A75 64 Trojan.Win32.DiskWriter.gen [Kaspersky] 7
    
    zoo %SystemRoot%\TEMP\CONHOST.EXE
    bl DB0E205613407C4E260BCB585270D8CD 782848
    addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
    
    chklst
    delvir
    
    ;---------command-block---------
    delref %SystemDrive%\USERS\9335~1\APPDATA\LOCAL\TEMP\ATICDSDR.SYS
    apply
    
    czoo
    restart
  4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  6. После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то
    с паролем
    virus
    .

  7. Полученный архив отправьте отправьте по адресу newvirus@kaspersky.com
    Полученный ответ сообщите здесь (с указанием номера KLAN).

 

3) Проверьте систему с помощью Kaspersky Virus Removal Tool. Результат сообщите.
 

Ссылка на комментарий
Поделиться на другие сайты

1) https://www.virustotal.com/ru/file/0b39b442e27645f8dc54d0a724fff883d3db42e2ce33992216863bc1a7436a78/analysis/1544187097/

https://www.virustotal.com/ru/file/e3b3e0ee3f0e03c8f24ecdee2689026beab4dfb7a8633073c429ac253506a38d/analysis/1544187165/

https://www.virustotal.com/ru/file/21d6b9321ac86dc68505d6be546f9f4858ef7ead4f3313ddf1cd8d547235069a/analysis/1544187248/

https://www.virustotal.com/ru/file/62593f0cf8b12baf9e077d6f0c47214b625296b481d42275c0ef83dfbf71c133/analysis/1544187354/

https://www.virustotal.com/ru/file/8c5acc6577d325d759d72c19952000d0c7e7a1da69ed64b9e91d17037442ae41/analysis/1544187395/

https://www.virustotal.com/ru/file/175bb5e1ea90865435ba4e35af1c11c11734ce136a01e56a8b391e58ef137eeb/analysis/1544187510/

https://www.virustotal.com/ru/file/3bd2770708bae412d0f0cd9ff15f0942485a61612616f968d1e61e2e52e9e193/analysis/1544187640/

 

2) Скрипт выполнил.

Архив отправил, KLAN-9235243643

В следующих файлах обнаружен вредоносный код:
CONHOST.EXE._5382188BCBEB66B40BDCD8AE618561F9A2FF1464 - Trojan.Win64.Miner.ijc

В антивирусных базах информация по присланным вами файлам отсутствует:
CONHOST.EXE._5382188BCBEB66B40BDCD8AE618561F9A2FF1464.txt

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

3) Результат проверки KVRT:

 

Trojan.Multi.GenAutorunReg.a

Системная память
Троянская программа
--------------------------------------------------------
not-a-virus:HEUR:RiskTool.Win32.AVZDriver.gen
Файл: C:\Windows\SysWOW64\drivers\vdm4mtg5.sys
Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя
    MD5:  8698843A69A239FF023AEC6CAF3939CC
    SHA256:  8680259309E2D54B51292637761EEAF40FE74907F9085A2560E33F21DAFF08BD
--------------------------------------------------------
Trojan.Win64.Miner.ijc
Файл: C:\Windows\Temp\conhost.exe
Троянская программа
    MD5:  DB0E205613407C4E260BCB585270D8CD
    SHA256:  1169576411670C9305B921D2C2C1500EBBAE0158FB9CC3E43A5042237A3D00D9
--------------------------------------------------------
HEUR:Trojan.Win32.DiskWriter.gen
Файл: C:\Windows\Debug\item.dat
Троянская программа
    MD5:  5506F673EB568897B1DB7C06EB4E761A
    SHA256:  AE161E582DE9EC380B3E0B295EFFD62EB8889AC35BC6631A9492CF41563ED14A
--------------------------------------------------------
Trojan.Win64.Miner.jlm
Файл: C:\Windows\Debug\lsmose.exe
Троянская программа
    MD5:  0C17491CBA1062BE447C0076EBF47896
    SHA256:  EAEF82223EEB8CF404A1D46613D36B9E582304B215201B5E557DB578DD73E04E
--------------------------------------------------------
not-a-virus:RiskTool.Win64.BitCoinMiner.irwy
Файл: C:\Windows\Debug\xmrstak_cuda_backend.dll
Легальная программа, которая может быть использована злоумышленником для нанесения вреда компьютеру или данным пользователя
    MD5:  3F5363C475177E62AC64309785754C9D
    SHA256:  A6FA12FEC1BA2D857E6B956117C533E3A711035AE1940D2111AAA0F4D4920FB1

 

 


KVRT проверил, пролечил (удалил). После перезагрузки в процессах опять висит conhost.exe

Изменено пользователем _Rom
Ссылка на комментарий
Поделиться на другие сайты

@_Rom, какой-нибудь Live CD/USB у вас есть?

 

+

  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
  5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .


Подробную инструкцию читайте в руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • civiero
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • lomosow
      От lomosow
      Поймал вирусняк, открывает edge при заходе в систему, Dr.web его обнаруживает, но удалить его не может, пишет "ошибка лечения". называется NET:MALWARE.URL. UPD. веб перестал его обнаруживать, но проблема никуда не делась 
    • Mr. Denp
      От Mr. Denp
      Добрый день!
       
      Уже как несколько месяцев сижу с пойманными вирусами. Первый появился: HEUR:Trojan.Multi.GenBadur.genw - Касперский пытается устранить, но безуспешно.
      Процесс лечения заканчивается следующей ошибкой:

       
      Происходит перезагрузка компьютера, затем очередная автоматическая проверка компьютера Касперским, и троян снова появляется с предложением удаления.
      И так по кругу. 
      Вирус находится в системной памяти.
       
      Второй - HEUR:Trojan.Script.Generic появился сравнительно недавно, после удаления Касперским, он также появляется заново.
       
      Большая просьба помочь решить проблему. Насколько это опасно? Можно ли что-то сделать?
      Склонялся к варианту переустановки винды, но потеря файлов и головная боль с повторной установкой всего напрягает.
       
      Винда официальная. Единственная причины возникновения, которая приходит на ум - это торрент.
       
      Заранее благодарен!
       
    • SiGiDi
      От SiGiDi
      Вчера установил файл, после его распаковки вылез экран смерти и после череп который моргает красно белым цветом, что мне делать

×
×
  • Создать...