[ Закрыто ] после вируса майнера Todo Mysa, ok

RSS
не запускается ни автоматически ни вручную Smart Security (после вируса майнера Todo  Mysa, ok)
В реестре стоит  - "egui" = ""C:\Program Files\ESET\ESET Security\ecmds.exe" /launch /hide"   но в процессах нет его
Изменено: Гриша Мясцов - 01.04.2019 08:40:28

Ответы

судя по последнему образу  ПОСЛЕ_СКРИПТА_ИПРОВЕРКИ_КИЛЛЕРОМ_____* политика безопасности ipsec  удалена.

да, именно в такой последовательности:
проверить еще раз killer-ом (без сети) и убедиться в том, что mbr более не заражен.
пропатчить систему,
а потом еще раз провериться (киллером и в uVS) уже после подключения к инету.
--------

после этого можно будет решать проблему с незапуском антивируса, если она останется.
При перезагрузке - первым выскочил TDSSKiller, предложил проверку. проверился. За ним загрузился Нод32. и больше не падал.

Киллер ничего не обнаружил. Чисто
делаю образ автозагрузки. Прилагаю.
Интернет не подключаю. Браузер не открываю
Делаю патч. Презагружаюсь с подключением

Перегрузился. Система настроила обновление. Загрузился Нод 32 и не упал. Подключил интернет и открыл Хром.
Хром больше не виснет надолго при загрузке. (как при майнере)
Планировщик заданий чистый, больше без Мусы и Ок. (до лечения при подключении тут же появлялись там)
Киллер - чисто
Делаю образ автозагрузки. В этот раз как-то долго делается

Компьютер висит страшно!   svhost занимает 2 с лишним гига памяти

В этот раз образ делалася почти час. Закончил наконец... Начался в 11:43 ... щас 12 40



Вопрос может не по адресу:  Не мог делать точки восстановления. (ошибка теневого копирования). Это может как то быть связано с ДаркГалакси? Наверное да. Пока ждал образ автозагрузки  - получилось создать точку
svh.JPG (115.29 КБ)
возможно, было обновление какое то для системы. образ сейчас гляну.
по первому образу ПОСЛЕ_ПЕРЕЗАГРУЗКИ_ДО ПАТЧА_______*

HitmanPro 3.8 и это C:\PROGRAM FILES (X86)\TROJAN REMOVER\TRUPD.EXE имхо, можно и удалить.
достаточно для проверок проверенных программ: антивирусный монитор с обновлением, сканеры mbam, adwcleaner, FRST
по второму образу ПОСЛЕ ПАТЧА И ПЕРЕЗАГРУЗКИ С ИНТЕРНЕТОМ____*

для очистки системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAM FILES\FONTEXPERT\FONTEXPERT.EXE
addsgn 6E8C9F9A556A4C2F8839A93CE913E9FADA0AC5F7867E5D7A85C303BD515DB467A67838A8C1DC1826D07F7B9EC389B20582525D91AE254F2D2B22F245876E2263 8 Win32/LockScreen.BAS 7

chklst
delvir

delref %SystemDrive%\USERS\МЕРЗА\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\91YH7QU6.DEFAULT\EXTENSIONS\HELPER-SIG@SAVEFROM.NET.XPI
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOIHLEDLMCHHOFENPACBHPHNBNPAKGMO%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\RECOVERY\GURCF7E.TMP\GOOGLEUPDATESETUP.CRX3
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\89214746.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CS6\WMENCODINGHELPER.EXE
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\AFTERFX.EXE
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\MOCHA\BIN\MOCHA4AE_ADOBE.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
Цитата
Не мог делать точки восстановления. (ошибка теневого копирования). Это может как то быть связано с ДаркГалакси?

возможно, что после установки патча MS-17-010 система создавала точку восстановления.
Я имел ввиду что не мог делать точки когда был DarkGalaxy.
Точка, сделанная системой, уже стояла когда я полез пробовать свою точку вручную делать. Прежде чем сам делать полез посмотреть, не сделала ли система точку. Ведь при обновлении она астоматом делает

Да, ща буду удалять все ненужные программы, установленные для лечения.  Вроде пока все хорошо после перезагрузки. Пока скрипт делат не буду наверное. посмотрю как до вечера будет.

Спасибо большое за помощь!
да,
это скрип очистки, по сути мусора, хотя есть и детект на одну программу %SystemDrive%\PROGRAM FILES\FONTEXPERT\FONTEXPERT.EXE. (может и ложный)

имеет смысл выполнить наши рекомендации по безопасной работе в сети.
https://forum.esetnod32.ru/forum9/topic13764//

и на этом все.
Читают тему (гостей: 1)