[ Закрыто ] Помогите удалить вирус(ы)

RSS
Здравствуйте.

Обнаружил у себя на ПК с помощью программы Spyware Process Detector в скрытых процессах процесс с именем item.dat. Находиться по адресу c:\windows\debug\item.dat, при этом в самой папке такого файла нет. В интернете пишут,что это вирус. Но антивирус его не видит (на ПК установлен NOD32 версии 9.0.386.1). Также скачал последнюю версию ESETOnlineScanner. Но он тоже ничего не нашел.

Кроме того, на ПК появилась новая "фишка" - при закрытии какого-либо окна обновляються (доли секунды) все объекты на экране (открытые папки, ярлыки рабочего стола, панель задач). Как при нажатии кнопи F5. Возможно это какой-то другой вирус, а может - результат выполнения процесса item.dat. Заметил, что если не запускаеться этот процесс - таких "обновлений" экрана нет.

Во вложенном архиве - лог с программы UVS.

Помогите удалить эту гадость.

Заранее благодарен.
1.JPG (239.21 КБ)
2.JPG (176.25 КБ)
Изменено: Константин Ким - 25.01.2018 23:07:35

Ответы

Константин Ким,

1. нужен новый образ автозапуска, созданный актуальной версией uVS
http://chklst.ru/data/uVS%20latest/uvs_latest.zip
(потому что прежнем образе, созданном устаревшей версией uVS нет информации о черве, который явно находится в системе, и периодически восстанавливает тело майнера)

2. скачайте и установите патч по ссылке
отсюда скачайте
WindowsXP-KB4012598-x86-Custom-RUS.exe
https://www.microsoft.com/ru-ru/download/details.aspx?id=55245
(иначе,  атака извне на систему повторится, и червь опять будет прописан в вашей системе)

лог малваребайт пока не нужен.
Об этом было указано после выполнения кода в самомо начале.

У меня сейчас открыта эта программа с обнаруженными угрозами (в том числе LSMOSEE.EXE). Мне эти объекты помещать в карантин или просто закрывать программу?
Цитата
Константин Ким написал:
Об этом было указано после выполнения кода в самомо начале.У меня сейчас открыта эта программа с обнаруженными угрозами (в том числе LSMOSEE.EXE). Мне эти объекты помещать в карантин или просто закрывать программу?
еще раз.
логи мбам нам пока не нужны. закройте программу, и выполните наши рекомендации.

Цитата
1. нужен новый образ автозапуска, созданный актуальной версией uVS
http://chklst.ru/data/uVS%20latest/uvs_latest.zip
(потому что прежнем образе, созданном устаревшей версией uVS нет информации о черве, который явно находится в системе, и периодически восстанавливает тело майнера)

2. скачайте и установите патч по ссылке
отсюда скачайте
WindowsXP-KB4012598-x86-Custom-RUS.exe
https://www.microsoft.com/ru-ru/download/details.aspx?id=55245
(иначе,  атака извне на систему повторится, и червь опять будет прописан в вашей системе)
Отправили новый образ.

Патч сейчас установлю.
Патч уже установил
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemRoot%\HELP\LSMOSEE.EXE
addsgn 1A04C99A5583D98CF42B627DA804DEC9E946303A45364AF36994933725DAFA01339CBE5FB59416982846BF61301E7202725D487355DA31D5AD77A42FB51AA14E 8 Win32/Packed.Armadillo 7

chklst
delvir

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\A\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref %SystemRoot%\DEBUG\ITEM.DAT
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
apply

; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet
deltmp
delref %SystemDrive%\DOCUMENTS AND SETTINGS\A\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\DOCUMENTS AND SETTINGS\A\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER\NPUNITY3D32.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
(теперь можно еще раз сканером от малваребайт проверить систему)
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Скрипт в UVS выполнил. Сделал сканирование малваребайтом. Тех процессов (item.dat, lsmosee.exe) похоже уже нет. Но сканер все же показал угрозы, которые были при прошлом сканировании. Они не опасны? (Файл прилагаеться)
удалите все найденное в мбам,

далее,

сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
Сейчас сделаю. Пока могу написать, что та фишка с обновлением экрана, описанная вначале темы продолжаеться, и, похоже, не связана с теми файлами и процессами которые были удалены.

Как только сделаю сканирование файлы логов FRST.txt и Addition.txt скину.
http://rgho.st/private/8Xnmz7RQL/a4dc8c7cbf932af221e114b6d5284c40
http://rgho.st/private/6k22kVwNf/0b5dbca1d982e33b1747b7ed058dcd98
Читают тему (гостей: 1)