Троян lsmosee

[teovolkot]

Помогите избавиться от трояна. Из-за него постоянно выбивает ошибки на компе и аваст постоянно ругается.

[Info_bot]

Уважаемый(ая) teovolkot, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\WINDOWS\help\lsmosee.exe','');
 DeleteFile('C:\WINDOWS\help\lsmosee.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger, прикрепите к следующему сообщению НОВЫЕ логи.

[teovolkot]

Сделал

[thyrex]

Проблема решена?

[teovolkot]

Нет.Все как было так и осталось.Выбивает ошибка "16 разрядная подсистема Ms-dos.c:/windows/help/lsmosee.exe.Процессор NTVDM обнаружил недопустимую инструкцию....

[thyrex]

Сделайте лог полного сканирования МВАМ

[teovolkot]

Сделал

[teovolkot]

Кто нибудь поможет убить lsmosee?Или как с ним бороться?Заранее благодарен!

[thyrex]

Удалите в МВАМ только

Код:

PUP.Optional.AdBlaster, HKLM\SOFTWARE\CLIENTS\STARTMENUINTERNET\browser.exe, Проигнорировано пользователем, [13313], [253672],1.0.3749

PUP.Optional.OpenCandy, C:\Documents and Settings\Admin\Application Data\OpenCandy\5440919E0D704DCFA9744845C36D6FD6, Проигнорировано пользователем, [460], [173202],1.0.3749
PUP.Optional.OpenCandy, C:\Documents and Settings\Admin\Application Data\OpenCandy, Проигнорировано пользователем, [460], [173202],1.0.3749

PUP.Optional.OpenCandy, C:\Documents and Settings\Admin\Application Data\OpenCandy\5440919E0D704DCFA9744845C36D6FD6\hfza_2018.exe, Проигнорировано пользователем, [460], [173202],1.0.3749
PUP.Optional.Tenorshare, C:\WINDOWS\TASKS\WINDOWS CARE GENIUS.JOB, Проигнорировано пользователем, [1758], [348478],1.0.3749

[teovolkot]

Вроде удалил все 5 объектов,но в этот раз мбам еще что-то новое нашел.

[thyrex]

Удаляйте и записи от майнера

[teovolkot]

Сегодня аваст ругается на процессc/windows/system32/wbem/scrcons.exe,заражение win32:dropper-gen.Откуда эта хрень лезет?

[Vvvyg]

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

[teovolkot]

Готово

[Vvvyg]

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
deltmp
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref %SystemDrive%\PROGRAM FILES\WINDOWS CARE GENIUS\WCGTURBO.EXE
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Сообщите, что с проблемой. Если осталась, сделайте такой лог.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[teovolkot]

Скрипт сделал, аваст пока не ругается.

[Vvvyg]

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

[teovolkot]

Готово

[Vvvyg]

Adobe Flash Player ActiveX & Plugin v.26.0.0.137 Внимание! Скачать обновления
^Удалите старую версию и установите новые Flash Player ActiveX и Flash Player Plugin^

Больше устранимых уязвимостей нет, не считая самой системы, которая давно не обновляется и не поддерживает актуальные версии браузеров, в тех, что у Вас - полно дыр.