Решена Удаление Mysa (1) - Ok

Статус
В этой теме нельзя размещать новые ответы.

Gala52

Новый пользователь
Сообщения
14
Реакции
1
Добрый день.
Проверял ноутбук своей матери (очень медленно работает как в сети, так и с ПО), в планировщике обнаружил подозрительные процессы: Mysa 1,2,3 и ok.
Изначально проверил в безопасном режиме DrWeb CureIt! - и "вылечил" угрозы (вероятно, этого было делать нельзя - но азарт же). Лог этого события прикрепляю.
Примечательно, что в штатном режиме вредоносное ПО не позволяет нормально запуститься DrWeb, а также не позволяет корректно выполнить командный файл forum_drweb.cmd с известного сайта. В Безопасном режиме это возможно. Но угроз не видит. Также компьютер прекрасно функционирует при отключении от сети.
В общем, при запуске с сеткой все повторяется. Но. Я решил пойти дальше и нашел вручную по параметру Mysa в ветках Tasks и Tree в реестре подозрительные записи и удалил их (да, я парень отчаянный). После перезагрузки стало получше и пока я их в реестре не наблюдаю. Тем не менее, думаю, что проблема моя не решена, поэтому прошу помощи. Записи Автологгера сделаны после указанных манипуляций, также есть лог DrWeba. Еще есть лог DrWeb Sysinfo, но его прикреплять не буду, размер большой. Выложу, если надо. Спасибо.
 

Вложения

  • _cureit.txt
    3.5 MB · Просмотры: 8
  • CollectionLog-2021.03.21-17.10.zip
    54.5 KB · Просмотры: 12

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,767
Реакции
14,057
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 

Gala52

Новый пользователь
Сообщения
14
Реакции
1
1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
Постараюсь разместить сегодня (если получится дистанционно объяснить маме), либо завтра сделаю сам.

лечение MYSA, OK

Где продолжать будете?
Если правильно понял вопрос - то работать предполагаю с данным форумом.
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,636
Реакции
2,595
Тогда там попросите закрыть тему. Одновременное лечение в разных местах может вам же навредить и запутать консультанта.

либо завтра сделаю сам
Хорошо, ждём.
 
Последнее редактирование:

Gala52

Новый пользователь
Сообщения
14
Реакции
1
Добрый день. Вроде бы, получилось. Единственная особенность: пришлось содержимое Reports перенести в папку отдельно. Угроз при сканировании не обнаружено. Вчера я проверял KVRTом в двух режимах (Безопасная и Стандартная загрузки) - тоже без выявленных угроз.
 

Вложения

  • Новая папка о(2).zip
    924 байт · Просмотры: 7
Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,636
Реакции
2,595
Лечение проводили несколько раз?

Соберите новый CollectionLog.zip Автологером.
 
  • Like
Реакции: akok

Gala52

Новый пользователь
Сообщения
14
Реакции
1
Лечение проводили несколько раз?

Соберите новый CollectionLog.zip Автологером.
Да, это было долго и несколько хаотично. Первым был DrWeb, далее загрузка с DrWebLiveCD, проверка KVRT. После первого удаления ни один из инструментов не выявлял угроз ни в одном режиме загрузки. Тем не менее, я находил в реестре записи Mysa и Ok. Это тоже было один раз, после удаления вручную повторно не выявлялись. Я заметил две особенности: также невозможно запустить DrWebовский сценарий (не видит переименованный согласно инструкции CureIt! и настойчиво требует переименовать, при Безопасной загрузке работает нормально) и какие-то проблемы с отображением активных элементов в Файрфоксе (не получалось прикрепить файлы к сообщению на форуме, правда - не у меня). Что касается Автологера - попробую позже продолжить, когда мамина и моя нервные системы восстановятся.
 

Gala52

Новый пользователь
Сообщения
14
Реакции
1
прикрепляю файл
 

Вложения

  • CollectionLog-2021.03.25-18.48.zip
    54.8 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,636
Реакции
2,595
Логи выглядят значительно лучше. Как себя сейчас ведёт система?
 

Gala52

Новый пользователь
Сообщения
14
Реакции
1
Логи выглядят значительно лучше. Как себя сейчас ведёт система?
Никаких манипуляций я больше не делал; компьютер работает быстрее, не настолько быстро, как при загрузке в безопасном режиме. К сожалению, пока не могу сам проверить все, Автологгер запускала мама. Компьютер смогу увидеть не раньше воскресенья. В общем, система ведет себя, как описано в стартовом сообщении. Что еще можно сделать?
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,636
Реакции
2,595
Ещё такие логи давайте посмотрим:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Gala52

Новый пользователь
Сообщения
14
Реакции
1
прикрепляю файлы
 

Вложения

  • Addition.txt
    38.2 KB · Просмотры: 1
  • FRST.txt
    31.3 KB · Просмотры: 1

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,636
Реакции
2,595
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3458985357-3687323062-2426133341-1000\...\MountPoints2: {a19e861c-c96b-11e8-a83c-047d7b27f375} - E:\AutoRun.exe
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{f825d785-001f-4056-9b3c-e41df94d97fc} <==== ВНИМАНИЕ (Ограничение - IP)
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ВНИМАНИЕ
    WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ВНИМАНИЕ
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    Toolbar: HKU\S-1-5-21-3458985357-3687323062-2426133341-1000 -> Нет имени - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  Нет файла
    FirewallRules: [{EEFB452B-F811-49A9-A200-AF1C56E54E0F}] => (Allow) LPort=2869
    FirewallRules: [{F767F81D-575C-4DDF-8DB2-4D014C4DC851}] => (Allow) LPort=1900
    FirewallRules: [{3F8CAAB2-48FC-4F2A-AB46-0499F5D3A77F}] => (Block) LPort=445
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 

Gala52

Новый пользователь
Сообщения
14
Реакции
1
На всякий случай , выкладываю отчет HJT, поставленного в автозагрузку с отсрочкой. Возможно, пригодится. Скрипт выполню позже.
 

Вложения

  • HiJackThis.log
    23 KB · Просмотры: 0

Gala52

Новый пользователь
Сообщения
14
Реакции
1
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-3458985357-3687323062-2426133341-1000\...\MountPoints2: {a19e861c-c96b-11e8-a83c-047d7b27f375} - E:\AutoRun.exe
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{f825d785-001f-4056-9b3c-e41df94d97fc} <==== ВНИМАНИЕ (Ограничение - IP)
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
    WMI:subscription\__TimerInstruction->fuckyoumm2_itimer:: <==== ВНИМАНИЕ
    WMI:subscription\__IntervalTimerInstruction->fuckyoumm2_itimer:: <==== ВНИМАНИЕ
    WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
    WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
    Toolbar: HKU\S-1-5-21-3458985357-3687323062-2426133341-1000 -> Нет имени - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Нет файла
    FirewallRules: [{EEFB452B-F811-49A9-A200-AF1C56E54E0F}] => (Allow) LPort=2869
    FirewallRules: [{F767F81D-575C-4DDF-8DB2-4D014C4DC851}] => (Allow) LPort=1900
    FirewallRules: [{3F8CAAB2-48FC-4F2A-AB46-0499F5D3A77F}] => (Block) LPort=445
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
Здравствуйте! Программа автоматически выполнит скрипт из буфера обмена?
 

akok

Команда форума
Администратор
Ассоциация VN
Сообщения
20,767
Реакции
14,057

Gala52

Новый пользователь
Сообщения
14
Реакции
1
высылаю файл
 

Вложения

  • Fixlog.txt
    4.5 KB · Просмотры: 2

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
8,636
Реакции
2,595
Что сейчас с проблемой?
 
  • Like
Реакции: akok
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу