Mysa майнер помогите

**fantomas88** · 25.04.2020, 18:54

добрый день, помогите избавиться от вируса Mysa майнера, логи прикрепляю.
В Назначенных заданиях появились задачи Mysa 1, Mysa 2, Mysa 3, ok.

спасибо

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.04.2020, 18:55

Уважаемый(ая) fantomas88, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 26.04.2020, 14:14

Не очень хорошо, что одновременно Dr. Web CureIt! работал, лучше после сканирование запускать, если не справится.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки:

Код:

O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2009/09/06) - {0421ef99-7486-4855-9cf1-efa05492bd96} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block
O22 - Task: oka - C:\Windows\system32\cmd.exe /c start c:\windows\inf\aspnet\lsma12.exe

Выполните скрипт в AVZ:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('c:\windows\inf\aspnet\lsma12.exe', '');
 QuarantineFile('C:\WINDOWS\mssecsvc.exe', '');
 QuarantineFile('C:\Windows\tasksche.exe', '');
 DeleteFile('C:\Windows\inf\aspnet\lsma12.exe', '');
 DeleteFile('c:\windows\inf\aspnet\lsma12.exe', '64');
 DeleteFile('C:\Windows\mssecsvc.exe', '');
 DeleteFile('C:\WINDOWS\mssecsvc.exe', '64');
 DeleteFile('C:\Windows\tasksche.exe', '');
 DeleteService('mssecsvc2.0');
 DeleteService('MySQL');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\MySQL', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\redmineThin1', 'x64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\redmineThin2', 'x64');
 DeleteSchedulerTask('oka');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R-Studio\R-Studio.lnk"          -> ["C:\Program Files (x86)\R-Studio\r-studio.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R-Studio\R-Studio Мастер Обновления.lnk"  -> ["C:\Program Files (x86)\R-Studio\rupdate.exe"  =>> 0 0]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R-Studio\Удалить R-Studio.lnk"  -> ["C:\Program Files (x86)\R-Studio\Uninstall.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R-Studio\R-Studio Справка.lnk"  -> ["C:\Program Files (x86)\R-Studio\RStudio.chm"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R-Studio\FAQ.lnk"     -> ["C:\Program Files (x86)\R-Studio\rs-faq.url"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R-Studio\Лицензионное Соглашение.lnk"     -> ["C:\Program Files (x86)\R-Studio\eula.txt"]

Отчёт о работе прикрепите.

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.