lsmose.exe грузит проц [HEUR:Trojan.Win32.Generic ]

Вообщем процесс lsmose.exe грузит проц на 80-100%

Уважаемый(ая) [B]Epic[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
QuarantineFile('c:\windows\debug\item.dat', '');
QuarantineFile('c:\windows\help\lsmosee.exe', '');
QuarantineFile('c:\windows\debug\ok.dat', '');
QuarantineFile('C:\Windows\syswow64\lsmos.exe', '');
DeleteFile('c:\windows\debug\item.dat', '32');
DeleteFile('c:\windows\help\lsmosee.exe', '32');
DeleteFile('c:\windows\debug\ok.dat', '32');
DeleteFile('C:\Windows\syswow64\lsmos.exe', '32');
DeleteService('catchme');
ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start1');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Устраняйте уязвимость, которую используют в т. ч. нашумевшие шифровальщики WannaCry и Petya - [URL="https://support.microsoft.com/ru-ru/help/4012598/title"]MS17-010: Описание обновления безопасности для Windows SMB Server[/URL] срочно устанавливайте, причём на всех компьютерах в сети, если их несколько. Иначе не избавитесь от заразы.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше все в одном архиве).

Выполнил

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:[CODE]CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
FF ProfilePath: C:\Users\ADMIN\AppData\Roaming\Firefox\Firefox\naweriweentcofise\Profiles\nahd6ha2.default\Profiles\nahd6ha2.default [not found] <==== ATTENTION
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Firefox\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Keyword.URL: Firefox\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B97340A90-3DE2-494D-B829-E2EA5652527E%7D&gp=812258
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\ADMIN\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\Extensions\[email protected] [2017-02-28]
FF SearchPlugin: C:\Users\ADMIN\AppData\Roaming\Firefox\Firefox\Profiles\nahd6ha2.default\searchplugins\mailru.xml [2017-02-28]
CHR StartupUrls: ChromeDefaultData -> "hxxp://vk.com/whathappened","hxxp://isearch.avg.com/?cid={EC130A30-9EA4-4F36-BCC0-A09024553B06}&mid=25b02364bde547d3a529c593affb1d01-7f0acdcb738615538b1ca8a74bda0a8adade6780&lang=ru&ds=AVG&pr=pr&d=2013-07-13 19:59:18&v=15.1.0.2&pid=avg&sg=&sap=hp","hxxp://www.startpageing123.com/?type=hp&ts=1488539441&z=3b4126c111ff9571b25864dgczfbeb4w9cftco6cao&from=che0812&uid=ST31000524AS_9VPD2TTGXXXX9VPD2TTG"
Task: {4EBAFB4C-3243-4B81-9237-3702E5E44840} - \Smart Driver Updater Schedule -> No File <==== ATTENTION
Task: {A0DF258A-26EE-481F-86B6-B9660B7BE610} - \Eberkshevaght -> No File <==== ATTENTION
Reboot:[/CODE]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool
Отключите до перезагрузки антивирус, [U]закройте все браузеры[/U], в FRST нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемами.

Вроде бы проблема разрешилась , последние полтора дня процесс не подгружался.

Если обновление установили, то повторения быть не должно.

Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].

Приложите этот файл к своему следующему сообщению.

...

Это Вы что-то промахнулись с логом :O

Да чуть чуть промахнулся )

[QUOTE]Internet Explorer 9.0.8112.16421 [color=red][b]Внимание! [url=http://windows.microsoft.com/ru-ru/internet-explorer/ie-11-worldwide-languages]Скачать обновления[/url][/b][/color]
[color=blue][b]^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^[/b][/color][/QUOTE]
Установите Internet Explorer 11 даже если им не пользуетесь, это критически важный для безопасности компонент Windows.

[QUOTE][color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color][/QUOTE]
Рекомендую ознакомиться со статьёй [URL="http://www.outsidethebox.ms/10034/"]Так ли страшен контроль учетных записей (UAC)?[/URL] и включить.

[QUOTE]HotFix KB3115858 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-013.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3140735 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-026.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138910 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3138962 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-027.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3145739 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-039.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3146963 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-040.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156013 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156016 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3156019 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-055.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3155178 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-056.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3153171 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-061.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3170455 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-087.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3178034 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-097.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3185911 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-106.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3184122 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-116.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3192391 [color=red][b]Внимание! [url=https://technet.microsoft.com/en-us/library/security/ms16-122.aspx]Скачать обновления[/url][/b][/color]
HotFix KB3197867 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867]Скачать обновления[/url][/b][/color]
HotFix KB3205394 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394]Скачать обновления[/url][/b][/color]
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4019263 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263]Скачать обновления[/url][/b][/color]
HotFix KB4022722 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722]Скачать обновления[/url][/b][/color]
HotFix KB4015546 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546]Скачать обновления[/url][/b][/color]
HotFix KB4025337 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337]Скачать обновления[/url][/b][/color]
HotFix KB4034679 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679]Скачать обновления[/url][/b][/color][/QUOTE]Это самый минимум критических обновлений, без которых система, как решето.

[QUOTE]Adobe Flash Player 23 ActiveX v.23.0.0.162 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 23 NPAPI v.23.0.0.162 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player.exe]Скачать обновления[/url][/b][/color]
Adobe Flash Player 26 PPAPI v.26.0.0.131 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ppapi.exe]Скачать обновления[/url][/b][/color]
Adobe Reader 9.1 - Russian v.9.1.0 [color=red][b]Данная программа больше не поддерживается разработчиком.[/b][/color] Рекомендуется деинсталлировать ее, скачать и установить [b][url=http://get.adobe.com/ru/reader/otherversions/]Adobe Reader XI или Adobe Acrobat Reader DC[/url][/b].[/QUOTE]
Продукты Adobe обновлять обязательно. Или удалить Adobe Flash Player вовсе, ютуб уже только по HTML5 работает.

[QUOTE]Opera 12.14 v.12.14.1738 [color=red][b]Внимание! [url=http://ftp.opera.com/pub/opera/win/1218/int/Opera_1218_int_Setup.exe]Скачать обновления[/url][/b][/color][/QUOTE]Наверняка не пользуетесь, лучше удалить.

[QUOTE]AusLogics BoostSpeed [color=red][b]Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Auslogics Driver Updater [color=red][b]Внимание! Подозрение на демо-версию антишпионской программы или программы-оптимизатора - scareware или badware.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster 4.5 v.4.5.0 [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Driver Booster [color=red][b]Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов.[/b][/color] Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
BikaQ Rss v.2.0.16 [color=red][b]Внимание! Подозрение на Adware![/b][/color][/QUOTE]

Вообщем ничего не изменилось , вирус как был , так и остался :(

Скачайте утилиту Universal Virus Sniffer [URL="https://yadi.sk/d/6A65LkI1WEuqC"]отсюда[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].
Если файл не влезет во вложения, загрузите в доступное облачное хранилище или на файлообменник (rghost.ru, например) и дайте ссылку.

[url]http://rgho.st/6bxTfxtFP[/url]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):[code];uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
delref %Sys32%\DRIVERS\VDI1MZQY.SYS
delref HTTP://JS.MYKINGS.TOP:280/HELLOWORLD.MSI
delref HTTP://JS.MYKINGS.TOP:280/V.SCT
delref HTTP://WWW.STARTPAGEING123.COM/?TYPE=HP&TS=1488539441&Z=3B4126C111FF9571B25864DGCZFBEB4W9CFTCO6CAO&FROM=CHE0812&UID=ST31000524AS_9VPD2TTGXXXX9VPD2TTG
delref HTTP://ISEARCH.AVG.COM/?CID={EC130A30-9EA4-4F36-BCC0-A09024553B06}&MID=25B02364BDE547D3A529C593AFFB1D01-7F0ACDCB738615538B1CA8A74BDA0A8ADADE6780&LANG=RU&DS=AVG&PR=PR&D=2013-07-13 19:59:18&V=15.1.0.2&PID=AVG&SG=&SAP=HP
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
zoo %SystemRoot%\DEBUG\LSMOSE.EXE
addsgn 9A274378E182D11E0AD4C8F0930F833F6D0B11F089FA1FAB652A0B8052D639C74F32C3162491164F6301429B4616490294F88C77550EF216FC2FAC8F0E27E6E7 8 Win64/CoinMiner.ET [ESET] 7

zoo %SystemRoot%\SYSWOW64\LSMOS.EXE
addsgn 9A50DF60B3827C34F52B25F541C874F2FC85571702B63A7C6C0EB35DAF5387CDCE15C3573ED069BFFB7655F97DCECC1B88FD2914DC9E9528B1F8E00AC78D248B 16 Win32/BitCoinMiner.BV [ESET] 7

zoo %SystemRoot%\HELP\LSMOSEE.EXE
addsgn 9A66A979F282507409D4EE348B3FD1510010F50EBC0C56B9FA423A946A2C21B510CFA5FEBF4B68A0F1087E6002630BF3D818D4B002CE0EC60F93C167A61FD026 8 variant of Win32/CoinMiner.ALB [ESET] 7

chklst
delvir
cexec sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
cexec sc.exe config mrxsmb10 start= disabled
cexec wmic qfe list | find "KB4012212"
deltmp
czoo
restart[/code]
Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

.....

Пока не установите обновления по ссылкам выше - ловить майнер будете до бесконечности. Критические обновления из лога SecurityCheck пиратку вашу не завалят. А если завалят - хреновая пиратка.
Всё, до устранения уязвимостей системы претензии по майнеру не принимаются.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\debug\item.dat - [B]Trojan.Win32.Agent.ikpa[/B][*] c:\windows\help\lsmosee.exe - [B]Trojan.Win32.Agentb.bwmv[/B][*] c:\windows\syswow64\lsmos.exe - [B]not-a-virus:RiskTool.Win32.BitCoinMiner.ifni[/B][*] \lsmosee.exe._31963a2d736b5285b6dbab8761c16bacad8b64c5 - [B]HEUR:Trojan.Win32.Generic[/B] ( BitDefender: Gen:Trojan.Heur.TP.dUW@bSxlgdhi )[*] \lsmos.exe._6daa55745525e964db6b9d699af01e92485f5ef1 - [B]HEUR:Trojan.Win32.Generic[/B][/LIST][/LIST]