Перейти к содержанию

Вирус lsmosee.exe


Рекомендуемые сообщения

@jimmy_fi,
1) Сохраните себе куда-нибудь в текстовый файл скрипт, который ниже.
2) Отключитесь от интернета.
3)

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
    ;uVS v4.1.2 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    delref HTTP://173.208.139.170/2.TXT
    delref HTTP://35.182.171.137/3.TXT
    delref HTTP://JS.1226BYE.XYZ:280/V.SCT
    delref HTTP://WMI.1217BYE.HOST/1.TXT
    delref S.DAT
    zoo %SystemDrive%\USERS\CD86~1\APPDATA\LOCAL\TEMP\100BAE6C7CA.EXE
    delall %SystemDrive%\USERS\CD86~1\APPDATA\LOCAL\TEMP\100BAE6C7CA.EXE
    delref %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
    zoo %SystemRoot%\TEMP\CONHOST.EXE
    bl DB0E205613407C4E260BCB585270D8CD 782848
    addsgn 9252770A016AC1CC0B54454E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.ijc [Kaspersky] 7
    
    zoo %SystemRoot%\HELP\LSMOSEE.EXE
    bl FEE31E72C90535FC782BC8333CF4F95D 785920
    addsgn 9252775A016AC1CC0B84454E334BDFFACE9A6C66196A8FE80FC583345791709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E0707F900 8 Trojan.Win64.Miner.ide [Kaspersky] 7
    
    zoo %SystemRoot%\DEBUG\ITEM.DAT
    bl 5506F673EB568897B1DB7C06EB4E761A 2359296
    addsgn 19E477AA516A4C720BD4CE5964C81205780B11E689FA1FF968ABC32D505CF5680B17C357BEAD9C46AF87849F46777A3A3D1DE472BCDEB02C2D30AEEF9EBE4A75 64 Trojan.Win32.DiskWriter.gen [Kaspersky] 7
    
    zoo %SystemRoot%\DEBUG\LSMOSE.EXE
    bl 0C17491CBA1062BE447C0076EBF47896 5929472
    addsgn 9AE0D208F282AB8B03D4BE7B0D778E3941C61D7F6E0413CEFB7BE21176F33C517B9494368CC974D41E78F556B4D29A37E64990203885E8CD26C07DF35A3637B8 8 Trojan.Win64.Miner.jlm [Kaspersky] 7
    
    zoo %SystemRoot%\DEBUG\XMRSTAK_CUDA_BACKEND.DLL
    bl 3F5363C475177E62AC64309785754C9D 10135552
    addsgn BA653BBE5D22C5262FC4E23820EC0A85DF8BF3730BF81F78D69592E9185B446144723C1FB3EB9DA95E7ED3AE9D2780B2FE12179A05DAB02C2CACD02D34C5A96D 64 Win64.BitCoinMiner.irwy [Kaspersky] 7
    
    chklst
    delvir
    
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\AVG SECURE SEARCH\13.2.0.5\AVG SECURE SEARCH_TOOLBAR.DLL
    delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL
    delref HTTP://EU.ASK.COM/WEB?Q={SEARCHTERMS}&L=DIS&O=HPNTDF
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.110\INSTALLER\CHRMSTP.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AVG SECURE SEARCH\REWARDSINSTALLER\17.1.2\AVGREWARDSWORKER.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\AVG SECURE SEARCH\GENERICWNDAPI.DLL
    delref A.EXE
    bl 4BAA91B9BFE6BD714B8BE58F9BDD4E0B 304543
    zoo %SystemRoot%\INF\MSIEF.EXE
    delall %SystemRoot%\INF\MSIEF.EXE
    bl BF69865A3ACD3379B0A8D870CCD43618 113
    zoo %SystemRoot%\WEB\N.VBS
    delall %SystemRoot%\WEB\N.VBS
    bl BC7FC83CE9762EB97DC28ED1B79A0A10 662528
    zoo %SystemRoot%\UPDATE.EXE
    delall %SystemRoot%\UPDATE.EXE
    delref S.RAR
    delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
    delref S&C:\WINDOWS\UPDATE.EXE
    czoo
    restart
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO с паролем virus.

  • Полученный архив отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

4) Пролечитесь ещё раз (если что-то найдёт) с помощью TDSSKiller.

5) Подключитесь к интернете.

6) Соберите свежий лог uVS.

Ссылка на сообщение
Поделиться на другие сайты

Проделал. Отправил письмо (размер был около 16 мегабайт). Процессы с иероглифами в диспетчере сейчас не видны.

 

АЛЕКСЕЙ-HP_2019-01-12_11-48-12_v4.1.2.7z

Ссылка на сообщение
Поделиться на другие сайты

Ничего больше не видно. Никаких процессов. Ничто процессор не нагружает. Удалось без проблем установить антивирус. Большое спасибо.

Ссылка на сообщение
Поделиться на другие сайты

Выполните скрипт в AVZ при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

Выполните рекомендации после лечения.
 
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...