Перейти к содержанию

[РЕШЕНО] Нужна помощь, не могу удалить GLUPTEBA


Рекомендуемые сообщения

Доброй ночи! Подхватил какую-то фигню:

 - никак не удаляется, новые процессы в итоге выводят каждый раз в новые папки. Сразу после оповещения от дефендера винды вырубил инет на всякий случай, вот что показал дефендер, сам он удалить не может:

 

Trojan:Win64/Glupteba!MTB

Trojan:Win32/Acll

 

P.S. после перезагрузки теперь на пол экрана идёт спам консольных окон и на каждую ошибка что "файл не обнаружен"

 

UPD. 

Вскакивают периодически такие процессы как: 

QMEmulatorService - процесс есть, удалить файл (.txt) не даёт 

AppMarket / GameLoop (синий круг на иконке)

- аппмаркет появился и на панели внизу но при нажатии на нем ПКМ - его всплывающее окно зависает в виде черного прямоугльника

 

UPD2.

 

Какой-то процесс *китайские символы*32 бита

Изменено пользователем AndrusBelarus
Ссылка на комментарий
Поделиться на другие сайты

Пробуйте из безопасного режима системы собрать все необходимые логи по правилам

+

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты

 Вроде бы всё сделал, но в процессе никаких перезагрузок не было, если они должны были быть
Сегодня, к слову, при запуске никаких консольных окон не выбило почему-то

CollectionLog-2024.03.14-12.38.zip DESKTOP-3TIAO4M_2024-03-14_12-46-09_v4.15.1.7z

Ссылка на комментарий
Поделиться на другие сайты

360 TS сами ставили? Зачем вам такой антивирус, если вирусных тел по завязку в системе.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemRoot%\RSS\CSRSS.EXE
hide %SystemDrive%\USERS\ДАНИК\DESKTOP\НОВАЯ ПАПКА\AUTOLOGGER\RSIT\RSITX64.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\CCANPVBNWPOCC\PDAQRVP.DLL
zoo %SystemDrive%\PROGRAM FILES (X86)\OBJPSURAU\WJHRLA.DLL
zoo %SystemDrive%\PROGRAM FILES (X86)\JMCQTFJARKVZOGRLYUR\CPCPIVB.DLL
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\9276~1\APPDATA\LOCAL\TEMP\UPDATER.EXE
delref HTTP://GOOGLE.RU/
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLJGLAJJNNKAPGHBCKKCMODICJHACBFHK%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\CCANPVBNWPOCC\PDAQRVP.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\OBJPSURAU\WJHRLA.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\JMCQTFJARKVZOGRLYUR\CPCPIVB.DLL
addsgn 1AD8169A55834C720BD4C4A50C904344256236F289FAF77F89C3C5B3E7261B4ECBD0A3573E0C2504718084F97F1349FA3DDF9C7666015B1F8C4BA46FC7879A73 8 csrss 7

zoo %SystemDrive%\PROGRAM FILES (X86)\XQVZRRWMPGDU2\DWKJXHZRMLXAZ.DLL
addsgn A7679B1928664D070E3CA12E64C8ED70357589FA768F179082C3C5BCD3127D11E11BC33D323DA56A2D906C64791649C9BD9F6307595F4659214E9147C063327C 64 DJK 7

zoo %SystemRoot%\SYSWOW64\VWABTGQL\NZHEKXDB.EXE
chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAMDATA\SKLEXEPXIIWMGHVB\WNHNXXG.WSF
delref %SystemDrive%\PROGRAM FILES (X86)\ITOP SCREEN RECORDER\ISCRREC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ITOP SCREEN RECORDER\AUTOUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\PUB\ITOPXMSP23.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\DRIVERS\NTFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\STORPORT.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemRoot%\RSS
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\TEMP\CSRSS
delref %SystemRoot%\SYSWOW64\VWABTGQL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{F662C3CB-C63A-401A-B38F-7BAF5BD20BF4}\MPKSLDRV.SYS
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\USERS\9276~1\APPDATA\LOCAL\TEMP\.OPERA\A8F9AFF20445\INSTALLER.EXE
delref D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref D:\COUNTER-STRIKE V1.9\HL.EXE
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\ENLISTED\LAUNCHER.EXE
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\ENLISTED\UNINS000.EXE
delref D:\LDPLAYER\LDPLAYER9\DNUNINST.EXE
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\ROBLOX\VERSIONS\VERSION-C3359BD5FD094EB0\ROBLOXPLAYERBETA.EXE
delref %SystemDrive%\USERS\ДАНИК\APPDATA\LOCAL\ROBLOX\VERSIONS\ROBLOXSTUDIOINSTALLER.EXE
delref D:\STEAM\STEAM.EXE
delref D:\НОВЫЙ ПОВОРОТ\PDD32_EDUC\SETTINGS.EXE
delref D:\НОВЫЙ ПОВОРОТ\PDD32_EDUC\UNINSTALL.EXE
delref D:\НОВЫЙ ПОВОРОТ\PDD32_EDUC\STARTAPP.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой майнера.

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

 

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

Ссылка на комментарий
Поделиться на другие сайты

 

2 minutes ago, AndrusBelarus said:

Извините, это с ними что сделать надо?

 

это информационная часть, ничего не надо с ними делать, они уже удалены и проверены на детекты

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт автоматически очистит систему и перезагрузит

Start::
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {886870CA-2717-42C0-BA38-0A7326C8E989} - System32\Tasks\Adblock Fast => C:\Users\Даник\Programs\Adblock\Adblock.exe [6668632 2023-11-14] (Rocketship Apps, LLC -> Rocketship Apps, LLC) <==== ВНИМАНИЕ
Startup: C:\Users\Даник\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adblock Fast.lnk [2022-07-28]
ShortcutTarget: Adblock Fast.lnk -> C:\Windows\System32\schtasks.exe (Microsoft Windows -> Microsoft Corporation)
S4 VBoxGuest; VBoxGuest [X]
S4 VBoxMouse; VBoxMouse [X]
S4 VBoxService; VBoxService [X]
S4 VBoxSF; VBoxSF [X]
S4 VBoxVideo; VBoxVideo [X]
S4 VBoxWddm; VBoxWddm [X] <==== ВНИМАНИЕ
2024-03-14 00:58 - 2024-03-14 13:36 - 000000000 ____D C:\Program Files (x86)\ccanPvbNWPOcC
2024-03-14 00:58 - 2024-03-14 00:58 - 000000000 ____D C:\Program Files (x86)\oTrjukYUAXUn
2024-03-14 00:57 - 2024-03-14 13:36 - 000000000 ____D C:\Program Files (x86)\xqVZRRWMpgdU2
2024-03-14 00:57 - 2024-03-14 13:36 - 000000000 ____D C:\Program Files (x86)\ObjPSUraU
2024-03-14 00:57 - 2024-03-14 13:36 - 000000000 ____D C:\Program Files (x86)\JmcqTFJaRkvZOGrLYuR
2024-03-14 00:57 - 2024-03-14 03:14 - 000000000 ____D C:\ProgramData\sklEXePXIIWMGhVB
2024-03-14 00:57 - 2024-03-14 00:57 - 000003164 _____ C:\WINDOWS\system32\Tasks\kAGQimpfkgNEt2
2024-03-14 00:54 - 2024-03-14 13:50 - 000000004 ____H () C:\ProgramData\rc66.dat
2024-03-14 00:53 - 2024-03-14 12:34 - 000000128 ____H () C:\ProgramData\resource-a.dat
2024-03-14 00:53 - 2024-03-14 00:53 - 000000128 ____H () C:\ProgramData\resource-b.dat
2024-03-14 00:53 - 2024-03-14 00:53 - 000000008 ____H () C:\ProgramData\ts66.dat
Unlock: C:\WINDOWS\SysWOW64\vwabtgql
2024-03-14 13:36 C:\WINDOWS\SysWOW64\vwabtgql
EmptyTemp:
Reboot:
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST в ваше сообщение.

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Не могу отправить фикслог. Слетел инет на ноуте после перезагрузки, на остальных гаджетах работает, это может быть связано с применением скрипта?

 

Или я туплю?

 

По диагностике винды пишет что dns сервера недоступны

Изменено пользователем AndrusBelarus
Ссылка на комментарий
Поделиться на другие сайты

Пробуйте вручную прописать DNS в настройках сетевого подключения 8.8.8.8, 8.8.4.4.

Сможете?

так же можно 360TS деинсталлировать через установку/удаление программ. Тольку с него никакого, если так система заражена.

Ссылка на комментарий
Поделиться на другие сайты

Установите российские антивирусные продукты (Drweb или Kaspersky) , лучше будет система защищена.

 

В завершении:

 

 

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

  • 3 недели спустя...

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • AJIEKCAHDP
      Автор AJIEKCAHDP
      Утром (26.02.2025) Зашифровало абсолютно все.  Помогите пож. 
      26022025.rar
    • m1pod
      Автор m1pod
      Доброго всем. Не работает поиск и пуск. Появилось после последних обновлений windows, долго не обновлялся, решил обновить и тут вот такой сюрприз
      Нажимаешь пуск - идёт "запуск процесса" и далее ничего не происходит. При нажатии на пуск появляется некое очертание поиска, но сам он не работает. Пробовал всевозможные варианты, которые находил в интернете. Через редактор реестра, обновление и перезапуск службы, перезагрузка банальная, при помощи системы поиска неисправностей, перестройка индексирования, смена владельца, обновление винды при помощи media creation tool, на очереди попытка сменить редакцию винды с про на хоум, не знаю какой толк от этого. Служба поиска неисправностей выдает "NT AUTHORITY\СИСТЕМА Разрешения каталога данных службы поиска Windows" 
      На скриншоте показываю "работу" поиска его очертания можно заметить.



      Пуск и поиск работает если сменить профиль на пк, там как бы чистый лист, поэтому оно и работает, не знаю. Конечно, можно переустановить винду и не париться, но легких путей не ищем, тем более нет желания заново всё устанавливать и настраивать.

      Прошу помощи, может кто сталкивался

    • Taaeq
      Автор Taaeq
      Здравствуйте, поймал майнер, который не лечится и не удаляется. Пробовал около 5 антивирусов, вирус находит только касперский видя его как указано в тегах. Скачал MinerSearch там нашло syhAMDRSServ.exe, не придав значения, просто пытался удалить его, но после каждого удаления и сканирования он оставался. Контролировал открытие и закрытие майнера с помощью AIDA и диспетчера. Увидев нагрузку на видеокарту открывал диспетчер пытаясь найти его там, но ничего не нашел. Позже с помощью ProcessExplorer я успел поймать его и увидел там знакомое название, такое же как и нашел MinerSearch. Найдя расположение попытался удалить в ручную, он конечно удалился, но касперский его все равно видит и после закрытия ProcessExplorer он снова появляется в процессах. Уже не знаCollectionLog-2025.04.29-22.44.zipю что делать, помогите пожалуйста.
    • RedKaroliner
      Автор RedKaroliner
      Здравствуйте!
      Использовал антивирус Касперского 3 раза. После первого и второго сканирования он показывал наличие троянов, я выбирал везде пункт "удалить". В третий раз после сканирования ничего не обнаружил. Хотелось бы понять, остались ли на компьютере трояны, или он чист.
      CollectionLog-2025.03.24-17.46.zip
    • Zed
      Автор Zed
      здравствуйте, уже 2 день не могу удалить, после перезагрузки ноута они опять появляются, пробовал все, бесполезно, помогите плиз!!!!!!!!
×
×
  • Создать...