[РЕШЕНО] Нужна помощь, не могу удалить GLUPTEBA

[AndrusBelarus]

Доброй ночи! Подхватил какую-то фигню:

 - никак не удаляется, новые процессы в итоге выводят каждый раз в новые папки. Сразу после оповещения от дефендера винды вырубил инет на всякий случай, вот что показал дефендер, сам он удалить не может:

 

Trojan:Win64/Glupteba!MTB

Trojan:Win32/Acll

 

P.S. после перезагрузки теперь на пол экрана идёт спам консольных окон и на каждую ошибка что "файл не обнаружен"

 

UPD. 

Вскакивают периодически такие процессы как: 

QMEmulatorService - процесс есть, удалить файл (.txt) не даёт 

AppMarket / GameLoop (синий круг на иконке)

- аппмаркет появился и на панели внизу но при нажатии на нем ПКМ - его всплывающее окно зависает в виде черного прямоугльника

 

UPD2.

 

Какой-то процесс *китайские символы*32 бита

Изменено 14 марта, 2024 пользователем AndrusBelarus

[safety]

Пробуйте из безопасного режима системы собрать все необходимые логи по правилам

+

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[AndrusBelarus]

 Вроде бы всё сделал, но в процессе никаких перезагрузок не было, если они должны были быть
Сегодня, к слову, при запуске никаких консольных окон не выбило почему-то

CollectionLog-2024.03.14-12.38.zip DESKTOP-3TIAO4M_2024-03-14_12-46-09_v4.15.1.7z

[safety]

360 TS сами ставили? Зачем вам такой антивирус, если вирусных тел по завязку в системе.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\RSS\CSRSS.EXE
hide %SystemDrive%\USERS\ДАНИК\DESKTOP\НОВАЯ ПАПКА\AUTOLOGGER\RSIT\RSITX64.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\CCANPVBNWPOCC\PDAQRVP.DLL
zoo %SystemDrive%\PROGRAM FILES (X86)\OBJPSURAU\WJHRLA.DLL
zoo %SystemDrive%\PROGRAM FILES (X86)\JMCQTFJARKVZOGRLYUR\CPCPIVB.DLL
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\9276~1\APPDATA\LOCAL\TEMP\UPDATER.EXE
delref HTTP://GOOGLE.RU/
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLJGLAJJNNKAPGHBCKKCMODICJHACBFHK%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\CCANPVBNWPOCC\PDAQRVP.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\OBJPSURAU\WJHRLA.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\JMCQTFJARKVZOGRLYUR\CPCPIVB.DLL
addsgn 1AD8169A55834C720BD4C4A50C904344256236F289FAF77F89C3C5B3E7261B4ECBD0A3573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 csrss 7

zoo %SystemDrive%\PROGRAM FILES (X86)\XQVZRRWMPGDU2\DWKJXHZRMLXAZ.DLL
addsgn A7679B1928664D070E3CA12E64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DA56A2D906C64791649C9BD9F6307595F4659214E9147C063327C 64 DJK 7

zoo %SystemRoot%\SYSWOW64\VWABTGQL\NZHEKXDB.EXE
chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAMDATA\SKLEXEPXIIWMGHVB\WNHNXXG.WSF
delref %SystemDrive%\PROGRAM FILES (X86)\ITOP SCREEN RECORDER\ISCRREC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ITOP SCREEN RECORDER\AUTOUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPXMSP23.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\DRIVERS\NTFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\STORPORT.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemRoot%\RSS
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\TEMP\CSRSS
delref %SystemRoot%\SYSWOW64\VWABTGQL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{F662C3CB-C63A-401A-B38F-7BAF5BD20BF4}\MPKSLDRV.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\USERS\9276~1\APPDATA\LOCAL\TEMP\.OPERA\A8F9AFF20445\INSTALLER.EXE
delref D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref D:\COUNTER-STRIKE V1.9\HL.EXE
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\ENLISTED\LAUNCHER.EXE
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\ENLISTED\UNINS000.EXE
delref D:\LDPLAYER\LDPLAYER9\DNUNINST.EXE
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\ROBLOX\VERSIONS\VERSION-C3359BD5FD094EB0\ROBLOXPLAYERBETA.EXE
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\ROBLOX\VERSIONS\ROBLOXSTUDIOINSTALLER.EXE
delref D:\STEAM\STEAM.EXE
delref D:\НОВЫЙ ПОВОРОТ\PDD32_EDUC\SETTINGS.EXE
delref D:\НОВЫЙ ПОВОРОТ\PDD32_EDUC\UNINSTALL.EXE
delref D:\НОВЫЙ ПОВОРОТ\PDD32_EDUC\STARTAPP.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

[safety]

по файлам:

CPCPIVB.DLL

CSRSS.EXE

DWKJXHZRMLXAZ.DLL

NZHEKXDB.EXE

PDAQRVP.DLL

WJHRLA.DLL

[AndrusBelarus]

Извините, это с ними что сделать надо?

FRSTlog.rar

Изменено 15 марта, 2024 пользователем safety

[safety]

 

2 minutes ago, AndrusBelarus said:

Извините, это с ними что сделать надо?

 

это информационная часть, ничего не надо с ними делать, они уже удалены и проверены на детекты

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и перезагрузит

Start::
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {886870CA-2717-42C0-BA38-0A7326C8E989} - System32\Tasks\Adblock Fast => C:\Users\Даник\Programs\Adblock\Adblock.exe [6668632 2023-11-14] (Rocketship Apps, LLC -> Rocketship Apps, LLC) <==== ВНИМАНИЕ
Startup: C:\Users\Даник\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adblock Fast.lnk [2022-07-28]
ShortcutTarget: Adblock Fast.lnk -> C:\Windows\System32\schtasks.exe (Microsoft Windows -> Microsoft Corporation)
S4 VBoxGuest; VBoxGuest [X]
S4 VBoxMouse; VBoxMouse [X]
S4 VBoxService; VBoxService [X]
S4 VBoxSF; VBoxSF [X]
S4 VBoxVideo; VBoxVideo [X]
S4 VBoxWddm; VBoxWddm [X] <==== ВНИМАНИЕ
2024-03-14 00:58 - 2024-03-14 13:36 - 000000000 ____D C:\Program Files (x86)\ccanPvbNWPOcC
2024-03-14 00:58 - 2024-03-14 00:58 - 000000000 ____D C:\Program Files (x86)\oTrjukYUAXUn
2024-03-14 00:57 - 2024-03-14 13:36 - 000000000 ____D C:\Program Files (x86)\xqVZRRWMpgdU2
2024-03-14 00:57 - 2024-03-14 13:36 - 000000000 ____D C:\Program Files (x86)\ObjPSUraU
2024-03-14 00:57 - 2024-03-14 13:36 - 000000000 ____D C:\Program Files (x86)\JmcqTFJaRkvZOGrLYuR
2024-03-14 00:57 - 2024-03-14 03:14 - 000000000 ____D C:\ProgramData\sklEXePXIIWMGhVB
2024-03-14 00:57 - 2024-03-14 00:57 - 000003164 _____ C:\WINDOWS\system32\Tasks\kAGQimpfkgNEt2
2024-03-14 00:54 - 2024-03-14 13:50 - 000000004 ____H () C:\ProgramData\rc66.dat
2024-03-14 00:53 - 2024-03-14 12:34 - 000000128 ____H () C:\ProgramData\resource-a.dat
2024-03-14 00:53 - 2024-03-14 00:53 - 000000128 ____H () C:\ProgramData\resource-b.dat
2024-03-14 00:53 - 2024-03-14 00:53 - 000000008 ____H () C:\ProgramData\ts66.dat
Unlock: C:\WINDOWS\SysWOW64\vwabtgql
2024-03-14 13:36 C:\WINDOWS\SysWOW64\vwabtgql
EmptyTemp:
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

 

Изменено 14 марта, 2024 пользователем safety

[AndrusBelarus]

Не могу отправить фикслог. Слетел инет на ноуте после перезагрузки, на остальных гаджетах работает, это может быть связано с применением скрипта?

 

Или я туплю?

 

По диагностике винды пишет что dns сервера недоступны

Изменено 14 марта, 2024 пользователем AndrusBelarus

[safety]

Пробуйте вручную прописать DNS в настройках сетевого подключения 8.8.8.8, 8.8.4.4.

Сможете?

так же можно 360TS деинсталлировать через установку/удаление программ. Тольку с него никакого, если так система заражена.

[AndrusBelarus]

Вроде-бы заработали сервера, тудым-сюдым. 360ТС так-же удалил.
Вот фикслог:

Fixlog.txt

[safety]

Установите российские антивирусные продукты (Drweb или Kaspersky) , лучше будет система защищена.

 

В завершении:

 

 

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

Изменено 15 марта, 2024 пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".