Вирус lsmosee.exe

[jimmy_fi]

В системе появились процессы, в описании которых в диспетчере задач какие-то иероглифы (см. скриншот).

Запускал CureIt. Запускал Malwarebytes (запустилась только в безопасном режиме). Процессов таких в системе стало меньше. Исчез тот из них, который нагружал процессор до 75-80%, но вирус всё равно ещё остался. Помогите, пожалуйста.

CollectionLog-2019.01.10-14.06.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('a.exe', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('C:\Windows\Fonts\Microsoft\svchost.exe', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\debug\ok.dat', '64');
 DeleteFile('C:\Windows\Fonts\Microsoft\svchost.exe', '64');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 DeleteService('MicrosoftFonts');
 DeleteService('mssecsvc2.0');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('ok');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ypfaslaunk', 'command', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.


 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

Срочно установите обновления безопасности виндоус.
 
Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Изменено 10 января, 2019 пользователем regist

[jimmy_fi]

Получаю ошибку при запуске скрипта.

 

Ошибка: Undeclared identifier: 'Execute File' в позиции 2:13

Изменено 10 января, 2019 пользователем jimmy_fi

[Sandor]

Утилиту запускаете из этой папки?

C:\nontemp\AutoLogger\AVZ\avz.exe

[jimmy_fi]

Sandor, спасибо, что обратили моё внимание на эту деталь.

 

Quarantine [KLAN-9432743339]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
conhost.exe - Trojan.Win64.Miner.ijc

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

[regist]

ждём остальное.

[jimmy_fi]

Сейчас запустил обновления Windows (c 2013 года система вообще не обновлялась). Сильно нагружает компьютер. Когда завершит, ещё раз сделаю проверку. Спасибо.

[jimmy_fi]

После запуска скрипта выше, все вирусы в памяти исчезли. Потом обновлялась Windows несколько часов. Перезагружалась. После последней перезагрузки опять вирусные процессы видны в диспетчере задач. Прикрепляю лог.

CollectionLog-2019.01.10-23.54.zip

[regist]

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('C:\Windows\debug\lsmose.exe');
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('a.exe', '');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('C:\Windows\debug\lsmose.exe', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('C:\Windows\Fonts\Microsoft\svchost.exe', '');
 QuarantineFile('c:\windows\temp\conhost.exe', '');
 DeleteFile('c:\windows\debug\item.dat');
 DeleteFile('C:\Windows\debug\lsmose.exe', '');
 DeleteFile('C:\Windows\debug\lsmose.exe', '64');
 DeleteFile('c:\windows\debug\ok.dat', '64');
 DeleteFile('C:\Windows\Fonts\Microsoft\svchost.exe', '64');
 DeleteFile('c:\windows\temp\conhost.exe', '');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('ok');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start', '32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
 

- Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O4 - HKCU\..\Run: [CPN Notifier] = C:\Program Files (x86)\Intertops Poker\PokerNotifier.exe (file missing)
O4 - HKCU\..\Run: [MAgent] = C:\Users\Алексей\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU (file missing)
O4 - HKCU\..\Run: [World of Tanks] = C:\Games\World_of_Tanks\WargamingGameUpdater.exe  (file missing)
O4 - MSConfig\startupreg: CPN Notifier [command] = C:\Program Files (x86)\Intertops Poker\PokerNotifier.exe (HKCU) (2017/02/18) (file missing)
O4 - MSConfig\startupreg: DAEMON Tools Lite Automount [command] = C:\Program Files\DAEMON Tools Lite\DTAgent.exe -autorun (HKCU) (2016/09/28) (file missing)
O4 - MSConfig\startupreg: Easybits Recovery [command] = C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe (HKLM) (2014/07/19) (file missing)
O4 - MSConfig\startupreg: HPWirelessAssistant [command] = C:\Program Files\Hewlett-Packard\HP Wireless Assistant\DelayedAppStarter.exe 120 C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe /hidden (HKLM) (2014/07/19) (file missing)
O4 - MSConfig\startupreg: MAgent [command] = C:\Users\Алексей\AppData\Roaming\Mail.Ru\Agent\magent.exe -CU (HKCU) (2016/09/28) (file missing)
O4 - MSConfig\startupreg: RemoteControl10 [command] = C:\Program Files (x86)\CyberLink\PowerDVD10\PDVD10Serv.exe (HKLM) (2014/07/19) (file missing)
O4 - MSConfig\startupreg: Skype [command] = C:\Program Files (x86)\Skype\Phone\Skype.exe /minimized /regrun (HKCU) (2016/09/28) (file missing)
O4 - MSConfig\startupreg: amigo [command] = C:\Users\Алексей\AppData\Local\Amigo\Application\amigo.exe --no-startup-window (HKCU) (2017/05/26) (file missing)
O4 - MSConfig\startupreg: uTorrent [command] = C:\Users\Алексей\AppData\Roaming\uTorrent\uTorrent.exe /MINIMIZED (HKCU) (2014/07/19) (file missing)
O7 - IPSec: Name: win (2019/01/10) - {dc6a0895-365b-4324-9638-bfeb14f1a21d} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/10) - {dc6a0895-365b-4324-9638-bfeb14f1a21d} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/10) - {dc6a0895-365b-4324-9638-bfeb14f1a21d} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/10) - {dc6a0895-365b-4324-9638-bfeb14f1a21d} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/01/10) - {dc6a0895-365b-4324-9638-bfeb14f1a21d} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O9 - Button: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523}: Mail.Ru Агент - C:\Users\Алексей\AppData\Roaming\Mail.Ru\Agent\magent.exe (file missing)
O9 - Tools menu item: HKCU\..\{7558B7E5-7B26-4201-BEDB-00D5FF534523}: Mail.Ru Агент - C:\Users\Алексей\AppData\Roaming\Mail.Ru\Agent\magent.exe (file missing)
O15 - Trusted Zone: http://hola.org

 

+ если это адреса не сами в настройках IE прописывали, то тоже пофиксьте

R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: [SuggestionsURL_JSON] = http://toolbar.avg.com/acp?q={searchTerms}&o=1 - AVG Secure Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: [URL] = http://isearch.avg.com/search?cid={E5AB967D-7E7C-4BE6-AD6E-68346E5EE80C}&mid=7332dbd2449847d0bd1871fa8a969948-16a369767c6a6f77d300b8a80ea93e8cca231a34&lang=ru&ds=nr014&pr=sa&d=2012-12-30 18:07:14&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms} - AVG Secure Search
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D9F0807E-1656-4299-ABD0-955762080309}: [SuggestionsURL] = http://asp.assoc-amazon.co.uk/suggestions?q={searchTerms}&t=hp-uk3-vsb-21 - Amazon (UK) Search Suggestions
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D9F0807E-1656-4299-ABD0-955762080309}: [SuggestionsURL_JSON] = http://completion.amazon.co.uk/search/complete?method=completion&q={searchTerms}&search-alias=aps&client=amzn-search-suggestions/9fe582406fb5106f343a84083d78795713c12d68&mkt=3 - Amazon (UK) Search Suggestions
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D9F0807E-1656-4299-ABD0-955762080309}: [URL] = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} - Amazon (UK) Search Suggestions
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: [URL] = http://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF - Yahoo
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: [SuggestionsURLFallback] = http://ru.wikipedia.org/w/api.php?action=opensearch&format=xml&search={searchTerms}&namespace=0 - Wikipedia
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{d43b3890-80c7-4010-a95d-1e77b5924dc3}: [URL] = http://ru.wikipedia.org/wiki/Special:Search?search={searchTerms} - Wikipedia
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{D9F0807E-1656-4299-ABD0-955762080309}: [SuggestionsURL] = http://asp.assoc-amazon.co.uk/suggestions?q={searchTerms}&t=hp-uk3-vsb-21 - Amazon (UK) Search Suggestions
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{D9F0807E-1656-4299-ABD0-955762080309}: [SuggestionsURL_JSON] = http://completion.amazon.co.uk/search/complete?method=completion&q={searchTerms}&search-alias=aps&client=amzn-search-suggestions/9fe582406fb5106f343a84083d78795713c12d68&mkt=3 - Amazon (UK) Search Suggestions
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{D9F0807E-1656-4299-ABD0-955762080309}: [URL] = http://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} - Amazon (UK) Search Suggestions
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: [URL] = http://ru.search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF - Yahoo

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

 

 

+ программы от Mail.ru используете? Сами ставили?

[jimmy_fi]

Internet Explorer вообще не использую (браузер по умолчанию Firefox). Его только онлайновая игра использовала, кажется. Из мейловых использовался агент, ставил сам.

 

quarantine [KLAN-9434643967]

Благодарим за обращение в Антивирусную Лабораторию

Присланные вами файлы были проверены в автоматическом режиме.

В следующих файлах обнаружен вредоносный код:
item.dat - HEUR:Trojan.Win32.DiskWriter.gen
lsmose.exe - Trojan.Win64.Miner.jlm
conhost.exe - Trojan.Win64.Miner.ijc

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

 

Процессы conhost.exe и lsmosee.exe с иероглифами всё также наблюдаются в диспетчере задач.

CollectionLog-2019.01.11-01.39.zip

[regist]

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

 

+ - Исправьте с помощью утилиты ClearLNK следующие ярлыки:

C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
C:\Users\Алексей\Desktop\poker\Unibet.lnk
C:\Users\Алексей\Desktop\чепуха\Double Dragon III - The Sacred Stones [T-Rus] [t2] [!] by RusTranslate Team & Multisoft.nes - Ярлык.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\LeonPoker.lnk
C:\Users\Алексей\Desktop\poker\PokerStars.lnk
C:\Users\Алексей\Desktop\games_ярлыки\Cuphead.lnk
C:\Users\Алексей\Desktop\games_ярлыки\World of Tanks.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\TrioBet.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\Magic Desktop.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\PokerStars.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\RedKings Poker.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\PokerHeaven by Ongame.lnk
C:\Users\Алексей\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\25bb2cdfb96af2d6\PokerStars.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Poker Heaven\Uninstall Poker Heaven.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Poker Heaven\Poker Heaven.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\Titan Poker.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\William Hill Poker.lnk
C:\Users\Алексей\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk
C:\Users\Алексей\Desktop\poker\LotosPoker.lnk
C:\Users\Алексей\Desktop\poker\24HBet.lnk
C:\Users\Алексей\Desktop\poker\Poker 770.lnk
C:\Users\Алексей\Desktop\poker\ParadisePoker.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\ParadisePoker.lnk
C:\Users\Алексей\Desktop\poker\poker - копия\BlackChipPoker.lnk
C:\Users\Алексей\Desktop\poker\poker - копия\Expekt Poker.lnk
C:\Users\Алексей\Desktop\poker\poker - копия\LotosPoker.lnk
C:\Users\Алексей\Desktop\poker\poker - копия\ParadisePoker.lnk
C:\Users\Алексей\Desktop\poker\poker - копия\Poker 770.lnk
C:\Users\Алексей\Desktop\poker\poker - копия\Unibet.lnk
C:\Users\Алексей\Desktop\poker\poker - копия\Рграть РІ PKR Lite.lnk
C:\Users\Алексей\Desktop\poker\poker - копия\Рграть РІ PKR.lnk
C:\Users\Алексей\Desktop\poker\Expekt Poker.lnk
C:\Users\Алексей\Desktop\poker\PokerHeaven by Ongame.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\Рграть РІ PKR.lnk
C:\Users\Алексей\Desktop\games_ярлыки\Resident Evil Revelations.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\Рграть РІ PKR Lite.lnk
C:\Users\Алексей\Desktop\poker\poker_ярлыки\bwin Poker.lnk
C:\Users\Алексей\AppData\Roaming\Microsoft\Word\Резюме%20(1)304596551385877387\Резюме%20(1).doc.lnk
C:\Users\Алексей\Desktop\poker\bwin Poker.lnk

 

[jimmy_fi]

Проделал. Прилагаю логи.

ClearLNK-2019.01.11_15.20.56.log

gmer2019_01_11.log

[regist]

1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
2. Запустите файл TDSSKiller.exe.
3. Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
4. В процессе проверки могут быть обнаружены объекты двух типов:
   • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
   • подозрительные (тип вредоносного воздействия точно установить невозможно).

[*]По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием. [*]Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить. [*]Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить). [*]Самостоятельно без указания консультанта ничего не удаляйте!!! [*]После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат. [*]Прикрепите лог утилиты к своему следующему сообщению

По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt
 

[jimmy_fi]

Запустил утилиту. Она нашла два опасных объекта. Потребовала перезагрузки. После перезагрузки запустилась повторно сама. Нашла один объект. Дальше снова перезапуск и снова сама запустилась, предлагает проверку. Оба лога прилагаю. Мне дальше что делать?

Немного запутался в логах.

TDSSKiller.3.1.0.25_11.01.2019_15.53.06_log.txt

TDSSKiller.3.1.0.25_11.01.2019_16.03.55_log.txt

TDSSKiller.3.1.0.25_11.01.2019_15.56.46_log.txt

TDSSKiller.3.1.0.25_11.01.2019_16.16.51_log.txt

Изменено 11 января, 2019 пользователем jimmy_fi

[regist]

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .