Mysa вирус помогите избавиться

[fantomas88]

добрый день, помогите избавиться от вируса Mysa майнера, логи прикрепляю.
В Назначенных заданиях появились задачи Mysa 1, Mysa 2, Mysa 3, ok.

 

CollectionLog-2020.04.25-18.49.zip

[Sandor]

Здравствуйте!

 

Пролечите систему с помощью KVRT. Папку C:\KVRT_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.

После этого соберите свежий CollectionLog.

[fantomas88]

21 час назад, Sandor сказал:

Здравствуйте!

 

Пролечите систему с помощью KVRT. Папку C:\KVRT_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.

После этого соберите свежий CollectionLog.

 

проличил при помощи KVRT, собрал новые логи 

CollectionLog-2020.04.27-10.16.zip Reports.rar

[Sandor]

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[fantomas88]

23 минуты назад, Sandor сказал:

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

выполнил, новые логи прилагаю

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  
  Task: {E43EF1FE-6C47-4475-965A-8DAFA802D42F} - \oka -> No File <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{0421ef99-7486-4855-9cf1-efa05492bd96} <==== ATTENTION (Restriction - IP)
  NETSVC: Ms48543718App -> no filepath.
  NETSVC: Ms48543718AppB -> no filepath.
  NETSVC: Ms48543718AppC -> no filepath.
  NETSVC: Ms48543718AppBak -> no filepath.
  NETSVC: Ms48543718AppA -> no filepath.
  C:\Windows\tasksche.exe
  
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

  
  
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
  

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

[fantomas88]

57 минут назад, Sandor сказал:

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  
  Start::
  CreateRestorePoint:
  
  Task: {E43EF1FE-6C47-4475-965A-8DAFA802D42F} - \oka -> No File <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{0421ef99-7486-4855-9cf1-efa05492bd96} <==== ATTENTION (Restriction - IP)
  NETSVC: Ms48543718App -> no filepath.
  NETSVC: Ms48543718AppB -> no filepath.
  NETSVC: Ms48543718AppC -> no filepath.
  NETSVC: Ms48543718AppBak -> no filepath.
  NETSVC: Ms48543718AppA -> no filepath.
  C:\Windows\tasksche.exe
  
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

выполнил, лог прилагаю 

Fixlog.txt

[Sandor]

Проблема решена?

[fantomas88]

2 минуты назад, Sandor сказал:

Проблема решена?

нужно понаблюдать некоторое время, спасибо

Изменено 27 апреля, 2020 пользователем fantomas88

[Sandor]

Пока наблюдаете, проделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[fantomas88]

19 часов назад, Sandor сказал:

Пока наблюдаете, проделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

выполнил п. 1, 2

просканировал SecurityCheck лог прилагаю

SecurityCheck.txt

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Service Pack не установлен Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 8.0.7600.16385 Внимание! Скачать обновления
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.5614.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.01 (64-bit) v.5.01.0 Внимание! Скачать обновления
 

 

Читайте Рекомендации после удаления вредоносного ПО