Mysa, Mysa2, ok в планировщике задач

Printable View

03.03.2020, 15:19
YuYuha

Mysa, Mysa2, ok в планировщике задач

Помогите пожалуйста избавиться от назойливых программок Mysa, Mysa2 и ok в планировщике задач. В принципе они не мешают, но сам факт присутствия вируса на компьютере напрягает. >:(
03.03.2020, 15:20
Info_bot

Уважаемый(ая) [B]YuYuha[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
03.03.2020, 20:17
Vvvyg

Пролечитесь [URL="https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool"]KVRT[/URL]? затем логи по правилам сделайте.
04.03.2020, 12:59
YuYuha

Вложений: 1

Добрый день. Лечение KVRT помогло. Вирусы ушли из планировщика задач. Прилагаю логи
04.03.2020, 20:12
Vvvyg

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
TerminateProcessByName('c:\program files\mobilebrserv\mbbservice.exe');
StopService('Mobile Broadband HL Service');
QuarantineFile('c:\program files\mobilebrserv\mbbservice.exe', '');
DeleteFile('C:\Program Files\DriverToolkit\DriverToolkit.exe', '32');
DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avast Secure Browser.lnk', '32');
DeleteFileMask('c:\program files\drivertoolkit', '*', true);
DeleteFileMask('c:\program files\mobilebrserv', '*', true);
DeleteDirectory('c:\program files\drivertoolkit');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BackgroundContainerV2', 'x32');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update', 'x32');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zune Launcher', 'x32');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
DeleteSchedulerTask('AVAST Software\Avast settings backup');
DeleteSchedulerTask('AvastUpdateTaskMachineCore');
DeleteSchedulerTask('AvastUpdateTaskMachineUA');
DeleteSchedulerTask('DriverToolkit Autorun');
DeleteSchedulerTask('DriverToolkit Autorun.job');
BC_ImportALL;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.[/code]Компьютер перезагрузится.

Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на [url=http://dragokas.com/tools/ClearLNK.zip]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в [B]Windows Vista/7/8/10[/B] необходимо запускать через правую кнопку мыши [B]Запуск от имени администратора)[/B])и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]R3 - HKLM\..\URLSearchHooks: (no name) - {96f454ea-9d38-474f-b504-56193e00c1a5} - (no file)
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EFBC9A91-7795-478A-8D4E-27AE4A0F6FC2}: [URL] = http://trovi.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN36533740517634101&UM=7 - uTorrentControl_v6 Customized Web Search
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\Yahoo: [URL] = http://ru.search.yahoo.com/search?p={searchTerms}\ - Yahoo
O3 - HKLM\..\Toolbar: (no name) - {96f454ea-9d38-474f-b504-56193e00c1a5} - (no file)
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: {31DD0E84-65C9-4E2A-B576-76C16650684C} - C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe
O22 - Task: {3D73BFD7-B46F-4818-9675-1F8CD18ECF27} - C:\Windows\system32\pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{319D91C6-3D44-436C-9F79-36C0D22372DC}\setup.exe" -c -runfromtemp -l0x0019 -removeonly
O22 - Task: {6884EFC1-93AF-451E-B4AD-BBCAC4B101D7} - C:\Program Files\AIDA64\Extreme\aida64.exe
O22 - Task: {68FB69FF-6F7D-447E-AFDB-CADA95588EE5} - C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe
O22 - Task: {7F77EAA8-D52C-4764-ADF3-D91AD31FDE1E} - C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", cmd /c start c:\windows\inf\aspnet\lsma12.exe -p[/code]
[QUOTE]Platform: x32 Windows 7 (Ultimate), 6.1.7600.0, Service Pack: 0 <=== Attention! (outdated SP)[/QUOTE]
[NOTICE]Microsoft официально прекратила расширенную техническую поддержку Windows 7 SP1 с 14.01.2020[/NOTICE]
А у Вас ни сервис-пак не установлен, ни сотни выпущенных после него критических патчей, а троян, который был, как раз через уязвимости системы распространяется >:(

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
06.03.2020, 11:10
YuYuha

Вложений: 2

Добрый день! Извините за паузу, работа. Архив карантина quarantine.zip выслал.
Отчет о работе утилиты

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Отчеты FRST.txt, Addition.txt
06.03.2020, 13:10
Vvvyg

Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1692822261-516589777-3824372760-1000\...\MountPoints2: {65997494-94c1-11e4-8f45-002215561854} - F:\Start.exe
HKU\S-1-5-21-1692822261-516589777-3824372760-1000\...\MountPoints2: {65997574-94c1-11e4-8f45-002215561854} - F:\Start.exe
HKU\S-1-5-21-1692822261-516589777-3824372760-1000\...\MountPoints2: {951e6313-22f2-11ea-b412-002215561854} - F:\AutoRun.exe
HKU\S-1-5-21-1692822261-516589777-3824372760-1000\...\MountPoints2: {cfd8912d-6f42-11e6-a893-002215561854} - F:\Lenovo_Suite.exe
HKU\S-1-5-18\...\Run: [] => [X]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {6022983D-244F-413A-A8A6-DCDDD3B2A748} - \oka -> No File <==== ATTENTION
Folder: C:\ProgramData\{92542395-9254-9254-925423950506}
Folder: C:\ProgramData\{55697880-5569-5569-556978803531}
Folder: C:\ProgramData\{82773542-8277-8277-827735420313}
Folder: C:\ProgramData\{16355416-1635-1635-163554161595}
2020-03-06 09:14 - 2014-08-03 12:35 - 000000000 ____D C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
2020-03-02 21:05 - 2017-05-26 14:26 - 000000077 _____ C:\Windows\system32\p
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"coronav2\"",Filter="__EventFilter.Name=\"coronav\"::
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__EventFilter->coronav::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
FirewallRules: [{DDBE5BC8-9C63-4B64-A249-7F54B0E79C7C}] => (Block) LPort=445
FirewallRules: [{D78F0451-53ED-4E67-A970-115459E09B98}] => (Block) LPort=139
FirewallRules: [{F59CD29C-B154-4DE9-B6B5-44CD63ED727E}] => (Allow) C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe No File
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Fix[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

И обновляйте систему, иначе будет рецидив.
06.03.2020, 14:35
YuYuha

Вложений: 1

Высылаю последний отчет
06.03.2020, 16:06
Vvvyg

[QUOTE]Windows Defender (Enabled - Out of date)[/QUOTE]
Обновления, антивирус. Иначе будете постоянным клиентом раздела.
06.03.2020, 18:05
YuYuha

Спасибо!
06.03.2020, 21:08
Vvvyg

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.
06.03.2020, 21:18
CyberHelper

=C8=F2=EE=E3 =EB=E5=F7=E5=ED=E8=FF

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]2[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]9[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
=E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB[/LIST]