Перейти к содержанию
Правила раздела

Вирус спамит запросами через SearchApp.exe

Annatvenn

Автор Annatvenn
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Annatvenn

Annatvenn

Опубликовано
Опубликовано

Заметил странный трафик исходящий от разных приложений, при детальном изучении пакетов и адресов, выяснил что это что то вроде парсинга сайтов на предмет уязвимостей или брута, адреса чаще всего ведут на формы авторизаций разных сайтов и тому подобное.
Запросы шли от всех запущенных браузеров. 
обнаружил проблему после запуска приложения Fiddler Classic, из-за того что не настроил сертификат (вроде бы я так это понимаю) и просто весь трафик начал блокироваться спам пошел с удвоенной силой и я его заметил, возможно особенность работы вируса, насколько могу судить он перебирает порты если не удалось установить соединение.
После закрытия процессов всех браузеров спам начал идти через процесс SearchApp
image.thumb.png.5f0aae9dc88f93213484713ebd5baf27.png
Через данное приложение спам уходит партиями каждый раз когда я нажимаю на поиск в строке поиска windows.

CollectionLog-2024.04.06-02.26.zip

safety

safety

Опубликовано
Опубликовано

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

safety

safety

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\CANONICALGROUPLIMITED.UBUNTUONWINDOWS_2004.2022.1.0_X64__79RHKP1FNDGSC\UBUNTU.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\SPACEFORGE\SF LAUNCHER.EXE
;------------------------autoscript---------------------------

delref HTTP=185.122.206.211:4702;HTTPS=185.122.206.211:4702;FTP=185.122.206.211:4702
delall %SystemDrive%\SEARCHERBAR\RUN.HTA
delall %SystemDrive%\USERS\79055\APPDATA\ROAMING\DRIVERPACK NOTIFIER\BIN\TOOLS\RUN.HTA
delall %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\DRIVERPACK NOTIFIER\BIN\TOOLS\RUN.HTA
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
apply


deltmp
delref %SystemDrive%\NVPACK\POLLER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVER BOOSTER\SCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVER BOOSTER\AUTOUPDATE.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\HELP DESK\MSI UPDATE AGENT.EXE
delref %SystemDrive%\PROGRAM FILES\NAHIMIC\NAHIMIC2\USERINTERFACE\NAHIMIC2SVC32.EXE
delref %SystemDrive%\PROGRAM FILES\NAHIMIC\NAHIMIC2\USERINTERFACE\X64\NAHIMIC2SVC64.EXE
delref %SystemDrive%\PROGRAM FILES\NAHIMIC\NAHIMIC2\USERINTERFACE\NAHIMIC2UILAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\117.0.5938.134\INSTALLER\CHRMSTP.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {9B5F5829-A529-4B12-814A-E81BCB8D93FC}\[CLSID]
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\DRIVERS\WNV.SYS
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES\INTEL\THUNDERBOLT SOFTWARE\TBTSVC.EXE
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\INTCDAUD.SYS
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemRoot%\KMSAUTO.EXE
delref %SystemRoot%\KMSAUTOS
delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {2F603045-309F-11CF-9774-0020AFD0CFF6}\[CLSID]
delref {BC593DF5-466F-44EC-8FFD-C4DBC603B917}\[CLSID]
delref {CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\INTEL\KILLER\KILLERPROVIDERDATAHELPERSERVICE.EXE
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\DRAGON CENTER\WINIO64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\SUPER PEOPLE\ENGINE\BINARIES\THIRDPARTY\WONDERTRUST\WTDRV64.SYS
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FXMONITOR@MOZILLA.ORG.XPI
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.51\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.49\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.167.21\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.171.39\PSUSER_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE32.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.169.31\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.45\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.171.37\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.51\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.49\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.167.21\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.171.39\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.169.31\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.45\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.171.37\PSUSER.DLL
delref %SystemDrive%\USERS\79055\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.3.314\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.21\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.181.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.352\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.152\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.171.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.202\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.212\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.27\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.332\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.312\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.292\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.183.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.167.21\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.177.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.132\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.27\PSMACHINE_64.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.273\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.242\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.171.39\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.169.31\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.21\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.352\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\2017\COMMUNITY\COMMON7\IDE\DEVENV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.181.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.352\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.152\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.171.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.202\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVMII.INF_AMD64_78515247753844C2\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.212\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.352\GOOGLEUPDATEBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVMII.INF_AMD64_78515247753844C2\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\MEWMIPROV.INF_AMD64_CAD1DB73E8C782A6\MEPROV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.27\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.332\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.312\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.292\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.183.29\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.167.21\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.177.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.132\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.27\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.273\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.242\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.171.39\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.169.31\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\SYNAPSE3\WPFUI\FRAMEWORK\RAZER SYNAPSE 3 HOST\RAZER SYNAPSE 3.EXE
delref %SystemDrive%\GAMES\BLESS ARKANIA EPISODE 5\LAUNCHER.EXE
delref %SystemDrive%\KINGS3\CRUSADER.KINGS.III.ROYAL.EDITION.V1.9.2.1\GAME\BINARIES\CK3.EXE
delref %SystemDrive%\HADEAN TACTICS\HADEANTACTICS.EXE
delref %SystemDrive%\HERETIC'S FORK\HERETICS FORK.EXE
delref %SystemDrive%\USERS\WORK\DOWNLOADS\STARFIELD.DIGITAL.PREMIUM.EDITION.STEAM.RIP-INSANERAMZES\STARFIELD\STARFIELD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\SUPER PEOPLE\BRAVOHOTELCLIENT.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON310\PYTHONW.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON310\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON310\PYTHON.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON310\DOC\PYTHON3105.CHM
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHONW.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHON.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\DOC\PYTHON390.CHM
delref %SystemDrive%\GOG GAMES\CULTIST SIMULATOR\CULTISTSIMULATOR.EXE
delref %SystemDrive%\GOG GAMES\X4 FOUNDATIONS\X4.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Annatvenn

Annatvenn

Опубликовано
  • Автор
Опубликовано

Не получается найти пункт "Скрипт - выполнить скрипт из буфера обмена"
image.thumb.png.8792546b72ea5390bc0862731d7897f2.png

 

Проблема сохранилась. 
При открытии "пуска" все так же через SearchApp.exe уходит пачка пакетов, на различные ip, часть не доступны, а есть всякие левые сайты который я никогда не посещал, и панели для авторизации в админке.

 

2024-04-06_11-34-23_log.txt

safety

safety

Опубликовано
Опубликовано (изменено)
Quote

Не получается найти пункт "Скрипт - выполнить скрипт из буфера обмена"

Вначале надо зайти в главное меню программы. Т.е. выбрать текущий пользователь, если запуск start.exe был от имени Администратора. (судя по логу выполнения скрипта, у вас получилось это сделать.)

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано
2 hours ago, Annatvenn said:

При открытии "пуска" все так же через SearchApp.exe уходит пачка пакетов, на различные ip, часть не доступны, а есть всякие левые сайты который я никогда не посещал, и панели для авторизации в админке.

При каждом нажатии на  "Пуск" наблюдается подобная сетевая активность?

safety

safety

Опубликовано
Опубликовано (изменено)

пробуйте создать расширенный образ автозапуска в uVS с отслеживанием процессов и задач.

 

Как это сделать:

 

После запуска uVS (start.exe - текущий пользователь), в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже: 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

(лучше бы запустить его создание в момент сразу после отправки пакетов.)

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Константин Д
      [РЕШЕНО] Помощь в удалении Tool.BtcMine.2714,2754
      Автор Константин Д
      Добрый день! Вчера заметил, что в играх стал сильно проседать ФПС. При попытке скачать Dr.Web браузер закрывается, защитник Windows выключен, диспетчер задач не дает посмотреть автозагрузку приложений. В безопасном режиме CureIt обнаружил угрозы: Tool.BtcMine.2714 (объекты amd.exe, appmodule.exe), Trojan.BtcMine.2754, taskhost.exe,taskhostw.exe, Trojan.Autoit.1559, Trojan.Starter.8242. Autologger запустился только в безопасном режиме с измененным именем. В реестре отключен Windows Defender, включить через задачи тоже не дает- нет доступа. 
      CollectionLog-2026.01.06-12.21.zip
    • 3545fire
      Какой-то вирус
      Автор 3545fire
      С недавних пор компьютер стал медленнее работать, в том числе и интернет. КВРТ выявил всякие вирусы, трояны, но при удалении выскакивало множество ошибок. Повторное сканирование результата не дало, но ощущения, будто что-то сломано
      CollectionLog-2025.11.11-12.58.zip
    • alesha_prado
      Подозрения на майнер или вирусы
      Автор alesha_prado
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
      CollectionLog-2025.11.10-11.40.zip
    • 3545firego
      [РЕШЕНО] Поймал майнер
      Автор 3545firego
      Словил майнер на компьютер. Использовал dr.web для обнаружения, но удалить майнер не получилось. Выдал ошибку cure error. Сейчас dr web перестал работать и не могу сканировать ничем. Нужна помощь
    • Вячеслав Авдеев
      как удалить свой домен из антиспама?
      Автор Вячеслав Авдеев
      Купили домен, завели почту и сайт.
      Каперский автоматически причисляет все письма как спам.
      Что сделать, чтобы удалиться из спам-базы? 
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Уничтожение вирусов".
×
×
  • Создать...