Перейти к содержанию

Рекомендуемые сообщения

Прошу помощи , на виндовс 7 пк заразился трояном RenderCraft а также неправильно ведет себя утилита fc.exe , оба процесса запускаются после 30 секунд от включения пк и начинают грузить систему ( и ОЗУ и ЦП )  , RenderCraft работает пару десятков секунд ( примерно 40) и исчезает из процессов ,  а fc.exe стабильно грузит систему никуда не уходит. изначально попробовал решить проблему самостоятельно с помощью KVRT и AV BR ,  но ничего не помогло , в итоге начал искать решение в интернете , нашел только один сайт на этом же форуме где было предоставлено решение от господина Sandor . Начал делать все как в случае с Дамир 95 . 

Но к сожелению ничего не помогло , (  строго додерживался всех инструкций  ) но без положительного результата. Ни один процес не ушел . ПРОШУ ПОМОГИТЕ !

Все максимально подробно описать не могу ( имеется в виду мое полное исполнение действий и рекомендаций от Sandor  , не все получалось так как в писал Sandor , к примеру так не вышло если в Farbar Recovery Scan Tool я нажал кнопку исправить и в человека вышло все нормально а в меня выдало ошибку " не удается найти файл fixlist.txt " а автоматически у меня ничего не создало . если сам создам текстовый файл напишу то понятно , что там начнет исправлять и исправит пустоту , ведь там в списке ничего нет , а я не знаю что туда вводить , в итоге исправить ничего не вышло . помогите пожалуйста . 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

1. Добавьте, пожалуйста, логи по правилам.

 

2.

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

  • Like (+1) 2
Ссылка на сообщение
Поделиться на другие сайты

Благодарю, за то что отозвались на помощь мне. извините если закреплю файлы не туда куда нужно ( никогда не было опыта в общенни на форумах ). Должен предупредить что по случайности сначала провел процедуру с uVs а потом Farbar ( не в том порядке) . Но очень надеюсь , что на процесс и результат лечения это не повлияет.


Вот логи из Farbar :

 

Addition.txtFRST.txt

а это из uVS

ПК_2024-03-01_22-22-27.rar

также жду ответа. так как для меня это очень важно.  

01.03.2024 в 03:27, safety сказал:

1. Добавьте, пожалуйста, логи по правилам.

 

2.

подготовьте, пожалуйста, дополнительные логи:

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. копируем скрипт (ниже) из браузера в буфер обмена,

Далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже:



;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

образ автозапуска переделайте, пожалуйста, актуальной версией uVS, вы сделали его устаревшей версией

uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

 

Как написано в инструкции, так и надо сделать:

1. скачать актуальную версию.

2. выполнить скрипт, указанный в инструкции с перезагрузкой системы

скрипт ниже:

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

 

3. создать новый образ автозапуска.

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
10 часов назад, safety сказал:

образ автозапуска переделайте, пожалуйста, актуальной версией uVS, вы сделали его устаревшей версией

uVS v4.0 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

 

Как написано в инструкции, так и надо сделать:

1. скачать актуальную версию.

2. выполнить скрипт, указанный в инструкции с перезагрузкой системы

скрипт ниже:


;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

 

3. создать новый образ автозапуска.

 

 

 

А что делать если загрузка блокируется ? Гугл не позволяет скачать файлы с этой ссылки ( пишет что файл опасный , не установлено) . пробовал найти програму самостоятельно но как уже вы сказали програма устаревшая.

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Borova сказал:

А что делать если загрузка блокируется ?

Продолжать загрузку, программа безопасная. И важны новые функции, которых нет в 4.0, а есть в 4.15.1

 

1 час назад, Borova сказал:

пробовал найти програму самостоятельно но как уже вы сказали програма устаревшая.

Может быть и небезопасная, если загружена из недостоверных источников.

Ссылка на сообщение
Поделиться на другие сайты
25 минут назад, safety сказал:

Может быть и небезопасная, если загружена из недостоверных источников.

Спасибо , на этот раз успешно установил файл по вашей ссылке с другого браузера , вот образ автозапуска из новой программы :

ПК_2024-03-02_11-19-25_v4.15.1.7z

 

Изменено пользователем Borova
Ссылка на сообщение
Поделиться на другие сайты

Теперь нормально.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
ZOO C:\Windows\SysWOW64\nav394.dat
dirzooex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
delall %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
delall C:\Windows\SysWOW64\nav394.dat
delall %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER\KFBEVCG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2\KYLYLTZZVFZCT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC\UACTUPD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU\YYTZFC.DLL
deldirex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKGJFGPLPABLKJNLKJMJDECGDPFANKDLE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref %SystemDrive%\2323\UNINSTALL TOOL\UNINSTALLTOOL.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\TEMP\RJZKRWXZOCCQZXVN
delref %SystemRoot%\TEMP\LUDIBKWAQQUTKLZJ
delref %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC
delref %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2
delref %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU
delref %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER
delref %SystemDrive%\PROGRAM FILES (X86)\RTKYXTBOEKUN
delref %SystemDrive%\PROGRAMDATA\FCYDSHCXPZQUDNVB
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\SERVICE\X64\DCISERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-10765-T-16M-V10.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-5667-T-16M.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-74215-T-16M-WORKING-LIGHTING.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-8133-T-16.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\MINECRAFT.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\UNINS000.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Изменено пользователем safety
  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
8 часов назад, safety сказал:

Теперь нормально.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 


;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
ZOO C:\Windows\SysWOW64\nav394.dat
dirzooex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
delall %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\F5A2685BB1E6\DAAAC07273.MSI
delall C:\Windows\SysWOW64\nav394.dat
delall %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER\KFBEVCG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2\KYLYLTZZVFZCT.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC\UACTUPD.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU\YYTZFC.DLL
deldirex %SystemDrive%\PROGRAMDATA\RENDERCRAFT-A2B37018-54F2-4CEF-9AF4-5CD445CB1FB2
;------------------------autoscript---------------------------

zoo %SystemRoot%\SYSWOW64\WIZCHAIN.DLL
addsgn A7679BC9DE37442480A1A234929F997835FFF575B4D6953985C32E9AD328703826943D554B773C0DA1C1841A866240AD2B8C17A2D01AC4207A21F7C7D2F9DD8C 64 Miner.gen 7

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKGJFGPLPABLKJNLKJMJDECGDPFANKDLE%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
deltmp
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref %SystemDrive%\2323\UNINSTALL TOOL\UNINSTALLTOOL.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\TEMP\RJZKRWXZOCCQZXVN
delref %SystemRoot%\TEMP\LUDIBKWAQQUTKLZJ
delref %SystemDrive%\PROGRAM FILES (X86)\HXCCXINTLMMAC
delref %SystemDrive%\PROGRAM FILES (X86)\PQNAWREEZNBU2
delref %SystemDrive%\PROGRAM FILES (X86)\BEORAAFRU
delref %SystemDrive%\PROGRAM FILES (X86)\DSAWPOHOJTEWMXNSJER
delref %SystemDrive%\PROGRAM FILES (X86)\RTKYXTBOEKUN
delref %SystemDrive%\PROGRAMDATA\FCYDSHCXPZQUDNVB
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\SERVICE\X64\DCISERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ДНЗ№3 РИБКА\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-10765-T-16M-V10.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-5667-T-16M.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-74215-T-16M-WORKING-LIGHTING.EXE
delref %SystemDrive%\2323\FARMING SIMULATOR 15 GOLD EDITION\MODMANAGER UNINSTALLERS\UNINSTALL-[TRACTORS]-8133-T-16.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\MINECRAFT.EXE
delref %SystemDrive%\GAMES\MINECRAFT 1.8.3\UNINS000.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

 

Благодарю за ответ , rendercraft.exe больше не запускается , надеюсь fc.exe тоже                                                                                                                                            ( хотя даже когда rendercraft.exe был оно не всегда запускалось вместе з rendercraft.exe . часто rendercraft.exe сам , а fc.exe изредка и только в период с 10.00-17.00  )  вот ссылка на zoo файл

 

https://drive.google.com/file/d/16gSlie1SpDdJAh7Auvl8DKpfk_A_T-6C/view?usp=drive_link 

 

(если такое облачное хранилище вам не подойдет я пришлю из того которе нужно вам)  

 

Еще раз спасибо , очень надеюсь что угрозы больше не будет и с вашей неоценимо важной помощью мы смогли его побороть. огромная благодарность вам и всех благ. даже если угроза все еще актуальна никогда не будет лишним поблагодарить отзывчивого человека ))) . 

Ссылка на сообщение
Поделиться на другие сайты
6 hours ago, Borova said:

даже если угроза все еще актуальна

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.

Start::
SystemRestore: On
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {6CE0ADDD-133C-4437-A873-5A7D8A2EFED2} - System32\Tasks\FdswUmVFcKNnfGx2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\bEorAAFRU\YYTzfC.dll",#1 <==== ВНИМАНИЕ
Task: {55831224-7B68-4D31-9F06-9131C7AAD545} - System32\Tasks\fxOgmTGKQQFjjFtehKw2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\HxCCxIntlmmAC\UaCtUPD.dll",#1 <==== ВНИМАНИЕ
Task: {7374321C-1F93-4AAD-8ED3-9B0B97EB4B13} - System32\Tasks\HEHDyzlXLzKhNAFaL2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\dSawpOhOJteWMxnsjER\KfBEVCG.dll",#1 <==== ВНИМАНИЕ
Task: {E7C4539C-6024-4058-B86D-80AA142CE510} - System32\Tasks\OxOHQhyRXwkAPj => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\PQNaWREeZnbU2\kYLYlTzzvfzCt.dll",#1 <==== ВНИМАНИЕ
Task: {8951A1CF-28DD-4F04-9C8F-72E93EEBD7C4} - System32\Tasks\zoom-chrome-S-1-5-21-4015462960-1742986276-3845732525-1000 => C:\Windows\System32\msiexec.exe [129024 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\ДНЗ№3 РИБКА\AppData\Local\Programs\f5a2685bb1e6\daaac07273.msi" /quiet JDLSKYHP=1
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients88.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients52.google.com/service/update2/crx] <==== ВНИМАНИЕ
R2 WizAgntSvc_bf0645; C:\Windows\SysWOW64\wizchain.dll [125456 2024-02-26] (Microsoft Corporation) [Файл не подписан]
S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X] <==== ВНИМАНИЕ
S2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [X] <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 BdDci; C:\Windows\System32\DRIVERS\bddci.sys [800672 2023-10-05] (Microsoft Windows Hardware Compatibility Publisher -> Bitdefender)
2024-02-26 21:31 - 2024-02-29 21:32 - 000000000 __SHD C:\ProgramData\RenderCraft-a2b37018-54f2-4cef-9af4-5cd445cb1fb2
2024-02-26 21:30 - 2024-02-26 21:30 - 001099573 _____ C:\Windows\SysWOW64\nav394.dat
2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wizchain.dll
Unlock: C:\ProgramData\RDP Wrapper
2024-02-26 17:23 C:\ProgramData\RDP Wrapper

2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) [Файл не подписан] c:\windows\syswow64\wizchain.dll

FirewallRules: [TCP Query User{807D0109-9E0E-4203-A35D-2AB79BE73A3E}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{419B42B0-EE00-417D-ACD9-6C4854C2E18D}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [TCP Query User{0F4A384C-9AF5-4D54-8E1F-7ECBB6EE34DE}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{07DAF065-DC1F-4ECB-AD45-299F4F105605}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла


Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Ссылка на сообщение
Поделиться на другие сайты
12 часов назад, safety сказал:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему, и перезагрузит ее.


Start::
SystemRestore: On
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {6CE0ADDD-133C-4437-A873-5A7D8A2EFED2} - System32\Tasks\FdswUmVFcKNnfGx2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\bEorAAFRU\YYTzfC.dll",#1 <==== ВНИМАНИЕ
Task: {55831224-7B68-4D31-9F06-9131C7AAD545} - System32\Tasks\fxOgmTGKQQFjjFtehKw2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\HxCCxIntlmmAC\UaCtUPD.dll",#1 <==== ВНИМАНИЕ
Task: {7374321C-1F93-4AAD-8ED3-9B0B97EB4B13} - System32\Tasks\HEHDyzlXLzKhNAFaL2 => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\dSawpOhOJteWMxnsjER\KfBEVCG.dll",#1 <==== ВНИМАНИЕ
Task: {E7C4539C-6024-4058-B86D-80AA142CE510} - System32\Tasks\OxOHQhyRXwkAPj => C:\Windows\system32\rundll32.exe [46080 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\PQNaWREeZnbU2\kYLYlTzzvfzCt.dll",#1 <==== ВНИМАНИЕ
Task: {8951A1CF-28DD-4F04-9C8F-72E93EEBD7C4} - System32\Tasks\zoom-chrome-S-1-5-21-4015462960-1742986276-3845732525-1000 => C:\Windows\System32\msiexec.exe [129024 2022-02-04] (Microsoft Windows -> Microsoft Corporation) -> /i "C:\Users\ДНЗ№3 РИБКА\AppData\Local\Programs\f5a2685bb1e6\daaac07273.msi" /quiet JDLSKYHP=1
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients88.google.com/service/update2/crx] <==== ВНИМАНИЕ
CHR Extension: (Adblocker for Youtube™) - C:\Users\ДНЗ№3 РИБКА\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2024-02-24] [UpdateUrl:hxxps://clients52.google.com/service/update2/crx] <==== ВНИМАНИЕ
R2 WizAgntSvc_bf0645; C:\Windows\SysWOW64\wizchain.dll [125456 2024-02-26] (Microsoft Corporation) [Файл не подписан]
S2 DCIService; C:\Program Files (x86)\Lavasoft\Web Companion\Service\x64\DCIService.exe [X] <==== ВНИМАНИЕ
S2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [X] <==== ВНИМАНИЕ
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
R2 BdDci; C:\Windows\System32\DRIVERS\bddci.sys [800672 2023-10-05] (Microsoft Windows Hardware Compatibility Publisher -> Bitdefender)
2024-02-26 21:31 - 2024-02-29 21:32 - 000000000 __SHD C:\ProgramData\RenderCraft-a2b37018-54f2-4cef-9af4-5cd445cb1fb2
2024-02-26 21:30 - 2024-02-26 21:30 - 001099573 _____ C:\Windows\SysWOW64\nav394.dat
2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wizchain.dll
Unlock: C:\ProgramData\RDP Wrapper
2024-02-26 17:23 C:\ProgramData\RDP Wrapper

2024-02-26 21:30 - 2024-02-26 21:30 - 000125456 _____ (Microsoft Corporation) [Файл не подписан] c:\windows\syswow64\wizchain.dll

FirewallRules: [TCP Query User{807D0109-9E0E-4203-A35D-2AB79BE73A3E}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{419B42B0-EE00-417D-ACD9-6C4854C2E18D}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [TCP Query User{0F4A384C-9AF5-4D54-8E1F-7ECBB6EE34DE}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла
FirewallRules: [UDP Query User{07DAF065-DC1F-4ECB-AD45-299F4F105605}C:\123456789\ravenfield.exe] => (Allow) C:\123456789\ravenfield.exe => Нет файла


Reboot:
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

Спасибо за ответ , добавляю fixlog

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, система очищена от майнера. Доступ, пожалуйста,предоставьте ккарантину после скрипта uVS. почту я указал в сообщении.

 

В завершении:

 

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
04.03.2024 в 01:45, safety сказал:

Хорошо, система очищена от майнера. Доступ, пожалуйста,предоставьте ккарантину после скрипта uVS. почту я указал в сообщении.

 

В завершении:

 

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

 

 

 

2 минуты назад, Borova сказал:

Спасибо за ответ , прикрепляю security check

 

2 минуты назад, Borova сказал:

 

 

 

 

Изменено пользователем Borova
Ссылка на сообщение
Поделиться на другие сайты

по возможности, установите необходимое обновление:

 

HotFix KB3177467 Внимание! Скачать обновления
HotFix KB4012212 Внимание! Скачать обновления
HotFix KB4499175 Внимание! Скачать обновления
HotFix KB4565354 Внимание! Скачать обновления
HotFix KB4539602 Внимание! Скачать обновления

 

WinRAR 6.23 (64-разрядная) v.6.23.0 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
FastStone Image Viewer 7.7 v.7.7 Внимание! Скачать обновления
Viber v.17.5.1.2 Внимание! Скачать обновления
Java 8 Update 371 (64-bit) v.8.0.3710.11 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u401-windows-x64.exe - Windows Offline (64-bit))^
K-Lite Mega Codec Pack 17.7.5 v.17.7.5 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 95.0.4635.90 v.95.0.4635.90 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Google Chrome v.109.0.5414.120 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ApploDi
      От ApploDi
      Здравствуйте, Касперский обнаружил троян, который не может вылечить, по такому пути C:\ProgramData\MoviGenius-463f7f01-be9f-4alb-ald3-094336fc5947\MoviGenius.exe
      Удаляет, но с каждой перезагрузкой снова его обнаруживает
      CollectionLog-2024.04.19-16.32.zip
    • Дмитрий_Дмитрий
      От Дмитрий_Дмитрий
      Здравствуйте, помогите удалить вирус пожалуйста! Farbar Recovery Scan Tool - результат в файле
      S2 GoogleUpdateTaskMachineQC; C:\ProgramData\Google\Chrome\updater.exe [5327128 2024-04-17] (Google LLC -> ) [Файл не подписан] <==== ВНИМАНИЕ
      Downloads.rar
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Sokolov_
      От Sokolov_
      Приветствую! С недавних пор начались беды: При перетаскивании окон, скролинге в браузере и работе приложениях начались микрофризы и зависания.
       
      Например, при перестакивании открытой папки GPU и CPU могут спокойно до 70% процентов нагрузится на 1-2 секунды, а дальше спад.
       
      Но на этом бедствия не закончились - если развернуть диспетчер задач в полный экран и навести курсор на поиск процессов, все процессы, в том числе и диспетчер задач начнут мигать на долю секунды. В приложениях развёртывание вкладок работает вообще ужасно. Будто фпс падает до 0 кадров, а дальше резко восстанавливается - эта же участь касается браузера. Видео предоставлю чуть попозже. Ещё заметил, что когда в папке много файлов, то очень сильно зависает при перетаскивании меню с названием файла, датой создания и тд. 
      Видео чуть попозже предоставлю. 
       
      К слову, sfc scannow и dism online restore не работают - кучу раз уже делал. Даже восстанавливал пк к исходному состоянию... 
       
      Вот тема на прошлый топик:
       
       
    • larmaswed
      От larmaswed
      Недавно обнаружил на ПК вирус updater.exe, путь: C:\Program Files\Google\Chrome\updater.exe. При попытке удалить, он сразу восстанавливается, перепробовал много способов, скачивал различные программы анти-вирусы, копался в реестре, ничего не помогло. Сканировался через malwarebytes, UnHuckMe, 360 total security.  

    • Jigglypuff
      От Jigglypuff
      Здравствуйте, Kaspersky Standard выдал обнаружение вируса HEUR:Trojan.Multi.GenAdur.gen, можете посмотреть пожалуйста логи. Как-то 2 месяца назад была похожая ошибка с Trojian, и мне сказали, что это просто Касперский агрится на Ads Power (антидетект браузер AdsPower для мультиаккаутинга, СММ, арбитража). Сейчас такая же проблема, или есть какой-то вирус:

      Событие: Объект вылечен
      Пользователь: DESKTOP-LEI20ML\serge
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Вылечено
      Описание результата: Вылечено
      Тип: Троянское приложение
      Название: HEUR:Trojan.Multi.GenBadur.gena
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Файл
      Имя объекта: SunBrowser.exe
      Путь к объекту: proc:\C:\Users\serge\AppData\Roaming\adspower_global\cwd_global\chrome_115

      И если написано: Результат: Вылечено, может ли он появится снова если его удалило, и вы ничего в логах не найдёте странного? 

      Заранее спасибо
      CollectionLog-2024.04.16-02.03.zip
×
×
  • Создать...