Решена lsmosee, mysa, conhost TODO (китайские иероглифы), ok меня одолели

[zho17]

Доброе утро, пишу вам с просьбой, помочь с вирусами.
Что только против них не испробовал, как их не пытался удалить всеми возможными способами - всегда находят способ появиться снова
Компьютер старенький, иногда зависает намертво, после перезагрузки появляется в трее conhost todo. (грешил на компьютер, но видимо вирусня слишком перегружает процессор/видеокарту)
Ниже прикрепляю лог

 

[akok]

1. Загрузите GMER по одной из указанных ссылок:
   Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
2. Временно отключите драйверы эмуляторов дисков.
3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
4. Начнется экспресс-проверка. Если появится окно с сообщением о деятельности руткита, нажмите No.
5. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
6. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
7. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
   
   !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".​

Подробную инструкцию читайте в руководстве.

 

[zho17]

done

 

[regist]

буткит активен.

 

[akok]

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

 

[zho17]

ох, проверяло три раза и каждый раз по два с лишним часа
каждый раз находило что-то новое

 

[Sandor]

Соберите и прикрепите новый CollectionLog с помощью Автологера.

 

[zho17]

complete

 

[Sandor]

Ярлыки

C:\Users\Admin\Desktop\Новая папка\Mozilla Firefox.lnk
C:\Users\Admin\Desktop\Новая папка\DAEMON Tools Lite.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DAEMON Tools Lite.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk

исправьте с помощью утилиты ClearLNK.
Отчет в виде файла ClearLNK-<Дата>.log прикрепите к следующему сообщению.

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[zho17]

воть

 

[Sandor]

1.

• Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Настройки включите дополнительно в разделе Базовые действия:
  • Сбросить политики IE
  • Сбросить политики Chrome
• В меню Панель управления нажмите Сканировать.
• По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2.
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[zho17]

сброшено, проверено, не найдено, перезагружено, скачано, сделано)

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM Group Policy restriction on software: C:\WINDOWS\HELP\LSMOSEE.EXE <==== ATTENTION
  HKLM Group Policy restriction on software: C:\USERS\ADMIN\APPDATA\LOCAL\MAIL.RU\GAMECENTER\GAMECENTER@MAIL.RU.EXE <==== ATTENTION
  GroupPolicy: Restriction - Chrome <==== ATTENTION
  GroupPolicy\User: Restriction ? <==== ATTENTION
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  CHR HKU\S-1-5-21-3413216179-2476686559-4240863143-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{3558ff9c-40c2-4992-b743-7527b5711177} <==== ATTENTION (Restriction - IP)
  S2 Windows Audio Control; C:\Program Files\Common Files\conime.exe -s [X]
  S2 WITS; C:\Windows\Winlog\xinstaller.exe [76312 2017-05-09] (酷狗音乐)
  2018-09-24 14:21 - 2018-12-23 14:00 - 000000084 _____ () C:\Program Files\Common Files\xp.dat
  2018-09-23 17:59 - 2019-01-20 11:33 - 000000084 _____ () C:\Program Files\Common Files\xpdown.dat
  2015-07-31 12:59 - 2015-07-31 12:59 - 000000000 _____ () C:\Users\Admin\AppData\Local\Temp.dat
  Task: {022A4078-1D7C-477F-97F9-07B8977C3EEE} - \ok -> No File <==== ATTENTION
  Task: {07C7D802-5A6C-4BF0-B962-2F8EB0F01559} - \Mysa1 -> No File <==== ATTENTION
  Task: {1C12A3C8-3C44-450F-A374-AAD1A9610126} - \gg_uac_daemon_Admin -> No File <==== ATTENTION
  Task: {6C04ED4D-5C4E-4ECB-9DB4-6E6034EAEC3E} - \Mysa2 -> No File <==== ATTENTION
  Task: {7F42C022-3A64-4F3F-A910-2998770B07EA} - \{CE4B3187-E6DB-422A-B232-1AAA8B66132A} -> No File <==== ATTENTION
  Task: {E5D52DDD-DC45-4720-9330-2EA2E5EE3286} - \Mysa -> No File <==== ATTENTION
  Task: {EF611AAF-9B05-417E-8A37-50FA5385A47B} - \Mysa3 -> No File <==== ATTENTION
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\": <==== ATTENTION
  WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\": <==== ATTENTION
  WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
  WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
  WMI:subscription\__EventFilter->fuckyoumm3: <==== ATTENTION
  WMI:subscription\__EventFilter->fuckyoumm2_filter: <==== ATTENTION
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[zho17]

этот код же нужно было в frst копировать?
если да, то сделал

 

[Sandor]

Что сейчас с проблемой?

 

[zho17]

не знаю, пока вроде нормально, не вижу.
но сильно активно компьютером не пользовался, после выходных точно скажу, как всё обстоит
а пока спасибо огромное всем вам) целую-обнимаю, как родных

 

[Sandor]

Пока проделайте завершающие шаги (тема не закрывается):
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Настройки - Удалить AdwCleaner - выберите Удалить.
• Подтвердите удаление, нажав кнопку: Да.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Скачайте OTCleanIt, запустите, нажмите Clean up.


Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[zho17]

готово

 

[akok]

Исправьте по возможности
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18059 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138910 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3146963 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3156016 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3170455 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3185911 Внимание! Скачать обновления
HotFix KB3184122 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4480970 Внимание! Скачать обновления
HotFix KB4487345 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
7-Zip 16.04 v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
GIMP 2.8.14 v.2.8.14 Внимание! Скачать обновления
VLC media player v.2.2.2 Внимание! Скачать обновления
WinRAR 5.31 (32-разрядная) v.5.31.0 Внимание! Скачать обновления
OpenOffice 4.1.1 v.4.11.9775 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.20513.0 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.7.0.81 v.3.7.0.81 Внимание! Скачать обновления
--------------------------------- [ IM ] ----------------------------------
Skype, версия 8.34 v.8.34 Внимание! Скачать обновления
Telegram Desktop version 1.2.15 v.1.2.15 Внимание! Скачать обновления
^Необязательное обновление.^
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 144 v.8.0.1440.1 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u201-windows-i586.exe)^
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.18.011.20040 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 62.0 (x86 ru) v.62.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 57.0.3098.116 v.57.0.3098.116 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
------------------ [ AntivirusFirewallProcessServices ] -------------------
Защитник Windows (WinDefend) - Служба остановлена - без антивируса это не дело.

 

[Sandor]

без антивируса это не дело.

Процитирую, чтоб не потерялось

+
Рекомендации после удаления вредоносного ПО