Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Помогите удалить вирус(ы)

RSS
 
Константин Ким
Константин Ким
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 22.01.2018
Размещено 25.01.2018 20:32:07
Здравствуйте.

Обнаружил у себя на ПК с помощью программы Spyware Process Detector в скрытых процессах процесс с именем item.dat. Находиться по адресу c:\windows\debug\item.dat, при этом в самой папке такого файла нет. В интернете пишут,что это вирус. Но антивирус его не видит (на ПК установлен NOD32 версии 9.0.386.1). Также скачал последнюю версию ESETOnlineScanner. Но он тоже ничего не нашел.

Кроме того, на ПК появилась новая "фишка" - при закрытии какого-либо окна обновляються (доли секунды) все объекты на экране (открытые папки, ярлыки рабочего стола, панель задач). Как при нажатии кнопи F5. Возможно это какой-то другой вирус, а может - результат выполнения процесса item.dat. Заметил, что если не запускаеться этот процесс - таких "обновлений" экрана нет.

Во вложенном архиве - лог с программы UVS.

Помогите удалить эту гадость.

Заранее благодарен.
1.JPG (239.21 КБ)
2.JPG (176.25 КБ)
Изменено: Константин Ким - 25.01.2018 23:07:35

Ответы

Пред. 1 2 3 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.01.2018 16:48:29
Константин Ким,

1. нужен новый образ автозапуска, созданный актуальной версией uVS
http://chklst.ru/data/uVS%20latest/uvs_latest.zip
(потому что прежнем образе, созданном устаревшей версией uVS нет информации о черве, который явно находится в системе, и периодически восстанавливает тело майнера)

2. скачайте и установите патч по ссылке
отсюда скачайте
WindowsXP-KB4012598-x86-Custom-RUS.exe
https://www.microsoft.com/ru-ru/download/details.aspx?id=55245
(иначе,  атака извне на систему повторится, и червь опять будет прописан в вашей системе)

лог малваребайт пока не нужен.
[ Как создать образ автозапуска? ]
 
Константин Ким
Константин Ким
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 22.01.2018
Размещено 28.01.2018 16:52:46
Об этом было указано после выполнения кода в самомо начале.

У меня сейчас открыта эта программа с обнаруженными угрозами (в том числе LSMOSEE.EXE). Мне эти объекты помещать в карантин или просто закрывать программу?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.01.2018 16:53:50
Цитата
Константин Ким написал:
Об этом было указано после выполнения кода в самомо начале.У меня сейчас открыта эта программа с обнаруженными угрозами (в том числе LSMOSEE.EXE). Мне эти объекты помещать в карантин или просто закрывать программу?
еще раз.
логи мбам нам пока не нужны. закройте программу, и выполните наши рекомендации.

Цитата
1. нужен новый образ автозапуска, созданный актуальной версией uVS
http://chklst.ru/data/uVS%20latest/uvs_latest.zip
(потому что прежнем образе, созданном устаревшей версией uVS нет информации о черве, который явно находится в системе, и периодически восстанавливает тело майнера)

2. скачайте и установите патч по ссылке
отсюда скачайте
WindowsXP-KB4012598-x86-Custom-RUS.exe
https://www.microsoft.com/ru-ru/download/details.aspx?id=55245
(иначе,  атака извне на систему повторится, и червь опять будет прописан в вашей системе)
[ Как создать образ автозапуска? ]
 
Константин Ким
Константин Ким
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 22.01.2018
Размещено 28.01.2018 17:06:18
Отправили новый образ.

Патч сейчас установлю.
 
Константин Ким
Константин Ким
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 22.01.2018
Размещено 28.01.2018 17:12:09
Патч уже установил
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.01.2018 17:15:05
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemRoot%\HELP\LSMOSEE.EXE
addsgn 1A04C99A5583D98CF42B627DA804DEC9E946303A45364AF36994933725DAFA01339CBE5FB59416982846BF61301E7202725D487355DA31D5AD77A42FB51AA14E 8 Win32/Packed.Armadillo 7

chklst
delvir

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\A\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref %SystemRoot%\DEBUG\ITEM.DAT
delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
apply

; Java(TM) 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet
deltmp
delref %SystemDrive%\DOCUMENTS AND SETTINGS\A\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\FEATURES\[email protected]
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\FEATURES\[email protected]
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\FEATURES\[email protected]
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\FEATURES\[email protected]
delref E:\INTERNET-BROWSERS\FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\DOCUMENTS AND SETTINGS\A\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER\NPUNITY3D32.DLL
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
(теперь можно еще раз сканером от малваребайт проверить систему)
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
Константин Ким
Константин Ким
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 22.01.2018
Размещено 28.01.2018 17:51:45
Скрипт в UVS выполнил. Сделал сканирование малваребайтом. Тех процессов (item.dat, lsmosee.exe) похоже уже нет. Но сканер все же показал угрозы, которые были при прошлом сканировании. Они не опасны? (Файл прилагаеться)
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 28.01.2018 18:19:27
удалите все найденное в мбам,

далее,

сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
[ Как создать образ автозапуска? ]
 
Константин Ким
Константин Ким
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 22.01.2018
Размещено 28.01.2018 18:33:45
Сейчас сделаю. Пока могу написать, что та фишка с обновлением экрана, описанная вначале темы продолжаеться, и, похоже, не связана с теми файлами и процессами которые были удалены.

Как только сделаю сканирование файлы логов FRST.txt и Addition.txt скину.
 
Константин Ким
Константин Ким
Пользователь
Сообщений: 13
Баллов: 6
Регистрация: 22.01.2018
Размещено 28.01.2018 18:42:42
http://rgho.st/private/8Xnmz7RQL/a4dc8c7cbf932af221e114b6d5284c40
http://rgho.st/private/6k22kVwNf/0b5dbca1d982e33b1747b7ed058dcd98
 
Пред. 1 2 3 След.
Читают тему