Mysa, Mysa2, ok в планировщике задач

[YuYuha]

Помогите пожалуйста избавиться от назойливых программок Mysa, Mysa2 и ok в планировщике задач. В принципе они не мешают, но сам факт присутствия вируса на компьютере напрягает.

[Info_bot]

Уважаемый(ая) YuYuha, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Vvvyg]

Пролечитесь KVRT? затем логи по правилам сделайте.

[YuYuha]

Добрый день. Лечение KVRT помогло. Вирусы ушли из планировщика задач. Прилагаю логи

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
 TerminateProcessByName('c:\program files\mobilebrserv\mbbservice.exe');
 StopService('Mobile Broadband HL Service');
 QuarantineFile('c:\program files\mobilebrserv\mbbservice.exe', '');
 DeleteFile('C:\Program Files\DriverToolkit\DriverToolkit.exe', '32');
 DeleteFile('C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Avast Secure Browser.lnk', '32');
 DeleteFileMask('c:\program files\drivertoolkit', '*', true);
 DeleteFileMask('c:\program files\mobilebrserv', '*', true);
 DeleteDirectory('c:\program files\drivertoolkit');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BackgroundContainerV2', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update', 'x32');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zune Launcher', 'x32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 DeleteSchedulerTask('AVAST Software\Avast settings backup');
 DeleteSchedulerTask('AvastUpdateTaskMachineCore');
 DeleteSchedulerTask('AvastUpdateTaskMachineUA');
 DeleteSchedulerTask('DriverToolkit Autorun');
 DeleteSchedulerTask('DriverToolkit Autorun.job');
BC_ImportALL;
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

R3 - HKLM\..\URLSearchHooks: (no name) - {96f454ea-9d38-474f-b504-56193e00c1a5} - (no file)
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EFBC9A91-7795-478A-8D4E-27AE4A0F6FC2}: [URL] = http://trovi.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN36533740517634101&UM=7 - uTorrentControl_v6 Customized Web Search
R4 - SearchScopes: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\Yahoo: [URL] = http://ru.search.yahoo.com/search?p={searchTerms}\ - Yahoo
O3 - HKLM\..\Toolbar: (no name) - {96f454ea-9d38-474f-b504-56193e00c1a5} - (no file)
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2020/03/04) - {c9071fa0-7914-4570-86d9-ef62a10bbcae} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: {31DD0E84-65C9-4E2A-B576-76C16650684C} - C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe
O22 - Task: {3D73BFD7-B46F-4818-9675-1F8CD18ECF27} - C:\Windows\system32\pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{319D91C6-3D44-436C-9F79-36C0D22372DC}\setup.exe" -c -runfromtemp -l0x0019 -removeonly
O22 - Task: {6884EFC1-93AF-451E-B4AD-BBCAC4B101D7} - C:\Program Files\AIDA64\Extreme\aida64.exe
O22 - Task: {68FB69FF-6F7D-447E-AFDB-CADA95588EE5} - C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe
O22 - Task: {7F77EAA8-D52C-4764-ADF3-D91AD31FDE1E} - C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c start c:\windows\inf\aspnet\lsma12.exe -p

Platform: x32 Windows 7 (Ultimate), 6.1.7600.0, Service Pack: 0 <=== Attention! (outdated SP)

Уведомление

Microsoft официально прекратила расширенную техническую поддержку Windows 7 SP1 с 14.01.2020

А у Вас ни сервис-пак не установлен, ни сотни выпущенных после него критических патчей, а троян, который был, как раз через уязвимости системы распространяется

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[YuYuha]

Добрый день! Извините за паузу, работа. Архив карантина quarantine.zip выслал.
Отчет о работе утилиты

- - - - -Добавлено - - - - -

Отчеты FRST.txt, Addition.txt

[Vvvyg]

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1692822261-516589777-3824372760-1000\...\MountPoints2: {65997494-94c1-11e4-8f45-002215561854} - F:\Start.exe
HKU\S-1-5-21-1692822261-516589777-3824372760-1000\...\MountPoints2: {65997574-94c1-11e4-8f45-002215561854} - F:\Start.exe
HKU\S-1-5-21-1692822261-516589777-3824372760-1000\...\MountPoints2: {951e6313-22f2-11ea-b412-002215561854} - F:\AutoRun.exe
HKU\S-1-5-21-1692822261-516589777-3824372760-1000\...\MountPoints2: {cfd8912d-6f42-11e6-a893-002215561854} - F:\Lenovo_Suite.exe
HKU\S-1-5-18\...\Run: [] => [X]
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {6022983D-244F-413A-A8A6-DCDDD3B2A748} - \oka -> No File <==== ATTENTION
Folder: C:\ProgramData\{92542395-9254-9254-925423950506}
Folder: C:\ProgramData\{55697880-5569-5569-556978803531}
Folder: C:\ProgramData\{82773542-8277-8277-827735420313}
Folder: C:\ProgramData\{16355416-1635-1635-163554161595}
2020-03-06 09:14 - 2014-08-03 12:35 - 000000000 ____D C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zaxar Games Browser
2020-03-02 21:05 - 2017-05-26 14:26 - 000000077 _____ C:\Windows\system32\p
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"coronav2\"",Filter="__EventFilter.Name=\"coronav\"::
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ATTENTION
WMI:subscription\__EventFilter->coronav::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 10900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
FirewallRules: [{DDBE5BC8-9C63-4B64-A249-7F54B0E79C7C}] => (Block) LPort=445
FirewallRules: [{D78F0451-53ED-4E67-A970-115459E09B98}] => (Block) LPort=139
FirewallRules: [{F59CD29C-B154-4DE9-B6B5-44CD63ED727E}] => (Allow) C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

И обновляйте систему, иначе будет рецидив.

[YuYuha]

Высылаю последний отчет

[Vvvyg]

Windows Defender (Enabled - Out of date)

Обновления, антивирус. Иначе будете постоянным клиентом раздела.

[YuYuha]

Спасибо!

[Vvvyg]

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 2
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 9
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=
  =E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB =E2 =EA=E0=F0=E0=ED=F2=E8=ED=E0=F5 =ED=
  =E5 =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB