Решена Удаление Mysa (1) - Ok

[Gala52]

Добрый день.
Проверял ноутбук своей матери (очень медленно работает как в сети, так и с ПО), в планировщике обнаружил подозрительные процессы: Mysa 1,2,3 и ok.
Изначально проверил в безопасном режиме DrWeb CureIt! - и "вылечил" угрозы (вероятно, этого было делать нельзя - но азарт же). Лог этого события прикрепляю.
Примечательно, что в штатном режиме вредоносное ПО не позволяет нормально запуститься DrWeb, а также не позволяет корректно выполнить командный файл forum_drweb.cmd с известного сайта. В Безопасном режиме это возможно. Но угроз не видит. Также компьютер прекрасно функционирует при отключении от сети.
В общем, при запуске с сеткой все повторяется. Но. Я решил пойти дальше и нашел вручную по параметру Mysa в ветках Tasks и Tree в реестре подозрительные записи и удалил их (да, я парень отчаянный). После перезагрузки стало получше и пока я их в реестре не наблюдаю. Тем не менее, думаю, что проблема моя не решена, поэтому прошу помощи. Записи Автологгера сделаны после указанных манипуляций, также есть лог DrWeba. Еще есть лог DrWeb Sysinfo, но его прикреплять не буду, размер большой. Выложу, если надо. Спасибо.

 

[akok]

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

 

[Vvvyg]

лечение MYSA, OK​

Где продолжать будете?

 

[Gala52]

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

Постараюсь разместить сегодня (если получится дистанционно объяснить маме), либо завтра сделаю сам.

лечение MYSA, OK​

Где продолжать будете?

Если правильно понял вопрос - то работать предполагаю с данным форумом.

 

[Sandor]

Тогда там попросите закрыть тему. Одновременное лечение в разных местах может вам же навредить и запутать консультанта.

либо завтра сделаю сам

Хорошо, ждём.

 

[Gala52]

Добрый день. Вроде бы, получилось. Единственная особенность: пришлось содержимое Reports перенести в папку отдельно. Угроз при сканировании не обнаружено. Вчера я проверял KVRTом в двух режимах (Безопасная и Стандартная загрузки) - тоже без выявленных угроз.

 

[Sandor]

Лечение проводили несколько раз?

Соберите новый CollectionLog.zip Автологером.

 

[Gala52]

Лечение проводили несколько раз?

Соберите новый CollectionLog.zip Автологером.

Да, это было долго и несколько хаотично. Первым был DrWeb, далее загрузка с DrWebLiveCD, проверка KVRT. После первого удаления ни один из инструментов не выявлял угроз ни в одном режиме загрузки. Тем не менее, я находил в реестре записи Mysa и Ok. Это тоже было один раз, после удаления вручную повторно не выявлялись. Я заметил две особенности: также невозможно запустить DrWebовский сценарий (не видит переименованный согласно инструкции CureIt! и настойчиво требует переименовать, при Безопасной загрузке работает нормально) и какие-то проблемы с отображением активных элементов в Файрфоксе (не получалось прикрепить файлы к сообщению на форуме, правда - не у меня). Что касается Автологера - попробую позже продолжить, когда мамина и моя нервные системы восстановятся.

 

[Gala52]

прикрепляю файл

 

[Sandor]

Логи выглядят значительно лучше. Как себя сейчас ведёт система?

 

[Gala52]

Логи выглядят значительно лучше. Как себя сейчас ведёт система?

Никаких манипуляций я больше не делал; компьютер работает быстрее, не настолько быстро, как при загрузке в безопасном режиме. К сожалению, пока не могу сам проверить все, Автологгер запускала мама. Компьютер смогу увидеть не раньше воскресенья. В общем, система ведет себя, как описано в стартовом сообщении. Что еще можно сделать?

 

[Sandor]

Ещё такие логи давайте посмотрим:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Gala52]

прикрепляю файлы

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3458985357-3687323062-2426133341-1000\...\MountPoints2: {a19e861c-c96b-11e8-a83c-047d7b27f375} - E:\AutoRun.exe
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{f825d785-001f-4056-9b3c-e41df94d97fc} <==== ВНИМАНИЕ (Ограничение - IP)
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ВНИМАНИЕ
  WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ВНИМАНИЕ
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  Toolbar: HKU\S-1-5-21-3458985357-3687323062-2426133341-1000 -> Нет имени - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Нет файла
  FirewallRules: [{EEFB452B-F811-49A9-A200-AF1C56E54E0F}] => (Allow) LPort=2869
  FirewallRules: [{F767F81D-575C-4DDF-8DB2-4D014C4DC851}] => (Allow) LPort=1900
  FirewallRules: [{3F8CAAB2-48FC-4F2A-AB46-0499F5D3A77F}] => (Block) LPort=445
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Gala52]

На всякий случай , выкладываю отчет HJT, поставленного в автозагрузку с отсрочкой. Возможно, пригодится. Скрипт выполню позже.

 

[Sandor]

Скрипт выполню позже.

Хорошо, ждём.

 

[Gala52]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-3458985357-3687323062-2426133341-1000\...\MountPoints2: {a19e861c-c96b-11e8-a83c-047d7b27f375} - E:\AutoRun.exe
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{f825d785-001f-4056-9b3c-e41df94d97fc} <==== ВНИМАНИЕ (Ограничение - IP)
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ВНИМАНИЕ
  WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ВНИМАНИЕ
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  Toolbar: HKU\S-1-5-21-3458985357-3687323062-2426133341-1000 -> Нет имени - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Нет файла
  FirewallRules: [{EEFB452B-F811-49A9-A200-AF1C56E54E0F}] => (Allow) LPort=2869
  FirewallRules: [{F767F81D-575C-4DDF-8DB2-4D014C4DC851}] => (Allow) LPort=1900
  FirewallRules: [{3F8CAAB2-48FC-4F2A-AB46-0499F5D3A77F}] => (Block) LPort=445
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Здравствуйте! Программа автоматически выполнит скрипт из буфера обмена?

 

[akok]

Верно.

 

[Gala52]

высылаю файл

 

[Sandor]

Что сейчас с проблемой?