Вирус lsmosee.exe

[jimmy_fi]

Проделал.

АЛЕКСЕЙ-HP_2019-01-11_21-19-41_v4.1.2.7z

[regist]

@jimmy_fi,
1) Сохраните себе куда-нибудь в текстовый файл скрипт, который ниже.
2) Отключитесь от интернета.
3)

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
  

  ;uVS v4.1.2 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  delref HTTP://173.208.139.170/2.TXT
  delref HTTP://35.182.171.137/3.TXT
  delref HTTP://JS.1226BYE.XYZ:280/V.SCT
  delref HTTP://WMI.1217BYE.HOST/1.TXT
  delref S.DAT
  zoo %SystemDrive%\USERS\CD86~1\APPDATA\LOCAL\TEMP\100BAE6C7CA.EXE
  delall %SystemDrive%\USERS\CD86~1\APPDATA\LOCAL\TEMP\100BAE6C7CA.EXE
  delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
  zoo %SystemRoot%\TEMP\CONHOST.EXE
  bl DB0E205613407C4E260BCB585270D8CD 782848
  addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
  
  zoo %SystemRoot%\HELP\LSMOSEE.EXE
  bl FEE31E72C90535FC782BC8333CF4F95D 785920
  addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7
  
  zoo %SystemRoot%\DEBUG\ITEM.DAT
  bl 5506F673EB568897B1DB7C06EB4E761A 2359296
  addsgn 19E477AA516A4C720BD4CE5964C81205780B11E689FA1FF968ABC32D505CF5680B17C357BEAD9C46AF87849F46777A3A3D1DE472BCDEB02C2D30AEEF9EBE4A75 64 Trojan.Win32.DiskWriter.gen [Kaspersky] 7
  
  zoo %SystemRoot%\DEBUG\LSMOSE.EXE
  bl 0C17491CBA1062BE447C0076EBF47896 5929472
  addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.Win64.Miner.jlm [Kaspersky] 7
  
  zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL
  bl 3F5363C475177E62AC64309785754C9D 10135552
  addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 64 Win64.BitCoinMiner.irwy [Kaspersky] 7
  
  chklst
  delvir
  
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\AVG SECURE SEARCH\13.2.0.5\AVG SECURE SEARCH_TOOLBAR.DLL
  delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL
  delref HTTP://EU.ASK.COM/WEB?Q={SEARCHTERMS}&L=DIS&O=HPNTDF
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.110\INSTALLER\CHRMSTP.EXE
  delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AVG SECURE SEARCH\REWARDSINSTALLER\17.1.2\AVGREWARDSWORKER.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\AVG SECURE SEARCH\GENERICWNDAPI.DLL
  delref A.EXE
  bl 4BAA91B9BFE6BD714B8BE58F9BDD4E0B 304543
  zoo %SystemRoot%\INF\MSIEF.EXE
  delall %SystemRoot%\INF\MSIEF.EXE
  bl BF69865A3ACD3379B0A8D870CCD43618 113
  zoo %SystemRoot%\WEB\N.VBS
  delall %SystemRoot%\WEB\N.VBS
  bl BC7FC83CE9762EB97DC28ED1B79A0A10 662528
  zoo %SystemRoot%\UPDATE.EXE
  delall %SystemRoot%\UPDATE.EXE
  delref S.RAR
  delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
  delref S&C:\WINDOWS\UPDATE.EXE
  czoo
  restart
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
• После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
  

  Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

• Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4) Пролечитесь ещё раз (если что-то найдёт) с помощью TDSSKiller.

5) Подключитесь к интернете.

6) Соберите свежий лог uVS.

[jimmy_fi]

Проделал. Отправил письмо (размер был около 16 мегабайт). Процессы с иероглифами в диспетчере сейчас не видны.

 

АЛЕКСЕЙ-HP_2019-01-12_11-48-12_v4.1.2.7z

[regist]

свежая проверка TDSSKiller-ом что-нибудь находит?

 

Что с проблемой?

[jimmy_fi]

Ничего больше не видно. Никаких процессов. Ничто процессор не нагружает. Удалось без проблем установить антивирус. Большое спасибо.

[regist]

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.