Перейти к содержанию
Правила раздела

Вирус спамит запросами через SearchApp.exe

Annatvenn

Автор Annatvenn,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

Annatvenn

Annatvenn 0

Опубликовано
Опубликовано

Заметил странный трафик исходящий от разных приложений, при детальном изучении пакетов и адресов, выяснил что это что то вроде парсинга сайтов на предмет уязвимостей или брута, адреса чаще всего ведут на формы авторизаций разных сайтов и тому подобное.
Запросы шли от всех запущенных браузеров. 
обнаружил проблему после запуска приложения Fiddler Classic, из-за того что не настроил сертификат (вроде бы я так это понимаю) и просто весь трафик начал блокироваться спам пошел с удвоенной силой и я его заметил, возможно особенность работы вируса, насколько могу судить он перебирает порты если не удалось установить соединение.
После закрытия процессов всех браузеров спам начал идти через процесс SearchApp
image.thumb.png.5f0aae9dc88f93213484713ebd5baf27.png
Через данное приложение спам уходит партиями каждый раз когда я нажимаю на поиск в строке поиска windows.

CollectionLog-2024.04.06-02.26.zip

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 91

Опубликовано
Опубликовано

Добавьте дополнительно образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 91

Опубликовано
Опубликовано

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


  

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\CANONICALGROUPLIMITED.UBUNTUONWINDOWS_2004.2022.1.0_X64__79RHKP1FNDGSC\UBUNTU.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\SPACEFORGE\SF LAUNCHER.EXE
;------------------------autoscript---------------------------

delref HTTP=185.122.206.211:4702;HTTPS=185.122.206.211:4702;FTP=185.122.206.211:4702
delall %SystemDrive%\SEARCHERBAR\RUN.HTA
delall %SystemDrive%\USERS\79055\APPDATA\ROAMING\DRIVERPACK NOTIFIER\BIN\TOOLS\RUN.HTA
delall %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\DRIVERPACK NOTIFIER\BIN\TOOLS\RUN.HTA
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
apply


deltmp
delref %SystemDrive%\NVPACK\POLLER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVER BOOSTER\SCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVER BOOSTER\AUTOUPDATE.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\HELP DESK\MSI UPDATE AGENT.EXE
delref %SystemDrive%\PROGRAM FILES\NAHIMIC\NAHIMIC2\USERINTERFACE\NAHIMIC2SVC32.EXE
delref %SystemDrive%\PROGRAM FILES\NAHIMIC\NAHIMIC2\USERINTERFACE\X64\NAHIMIC2SVC64.EXE
delref %SystemDrive%\PROGRAM FILES\NAHIMIC\NAHIMIC2\USERINTERFACE\NAHIMIC2UILAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\117.0.5938.134\INSTALLER\CHRMSTP.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {9B5F5829-A529-4B12-814A-E81BCB8D93FC}\[CLSID]
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\DRIVERS\WNV.SYS
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES\INTEL\THUNDERBOLT SOFTWARE\TBTSVC.EXE
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\INTCDAUD.SYS
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemRoot%\KMSAUTO.EXE
delref %SystemRoot%\KMSAUTOS
delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {2F603045-309F-11CF-9774-0020AFD0CFF6}\[CLSID]
delref {BC593DF5-466F-44EC-8FFD-C4DBC603B917}\[CLSID]
delref {CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\INTEL\KILLER\KILLERPROVIDERDATAHELPERSERVICE.EXE
delref %Sys32%\DRIVERS\VBOXNETFLT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\DRAGON CENTER\WINIO64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\SUPER PEOPLE\ENGINE\BINARIES\THIRDPARTY\WONDERTRUST\WTDRV64.SYS
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\FXMONITOR@MOZILLA.ORG.XPI
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.51\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.49\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.167.21\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.171.39\PSUSER_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE32.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.169.31\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.45\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.171.37\PSUSER_64.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.51\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.49\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.167.21\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.171.39\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.169.31\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.173.45\PSUSER.DLL
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.171.37\PSUSER.DLL
delref %SystemDrive%\USERS\79055\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.3.314\NOTIFICATION_HELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.21\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.181.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.352\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.152\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.171.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.202\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.212\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.27\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.332\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.312\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.292\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.183.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.167.21\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.177.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.132\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.27\PSMACHINE_64.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.273\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.242\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.171.39\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.169.31\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.82\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.21\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.163.19\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.352\GOOGLEUPDATEONDEMAND.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT VISUAL STUDIO\2017\COMMUNITY\COMMON7\IDE\DEVENV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.181.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.352\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.152\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.155.85\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.171.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.202\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVMII.INF_AMD64_78515247753844C2\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.212\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.352\GOOGLEUPDATEBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVMII.INF_AMD64_78515247753844C2\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\MEWMIPROV.INF_AMD64_CAD1DB73E8C782A6\MEPROV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.27\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.332\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.312\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.112\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.292\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.183.29\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.167.21\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.177.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.132\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.45\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.185.27\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.273\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.242\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.171.39\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.169.31\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.153.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\SYNAPSE3\WPFUI\FRAMEWORK\RAZER SYNAPSE 3 HOST\RAZER SYNAPSE 3.EXE
delref %SystemDrive%\GAMES\BLESS ARKANIA EPISODE 5\LAUNCHER.EXE
delref %SystemDrive%\KINGS3\CRUSADER.KINGS.III.ROYAL.EDITION.V1.9.2.1\GAME\BINARIES\CK3.EXE
delref %SystemDrive%\HADEAN TACTICS\HADEANTACTICS.EXE
delref %SystemDrive%\HERETIC'S FORK\HERETICS FORK.EXE
delref %SystemDrive%\USERS\WORK\DOWNLOADS\STARFIELD.DIGITAL.PREMIUM.EDITION.STEAM.RIP-INSANERAMZES\STARFIELD\STARFIELD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAMAPPS\COMMON\SUPER PEOPLE\BRAVOHOTELCLIENT.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON310\PYTHONW.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON310\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON310\PYTHON.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON310\DOC\PYTHON3105.CHM
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHONW.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHON.EXE
delref %SystemDrive%\USERS\WORK\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\DOC\PYTHON390.CHM
delref %SystemDrive%\GOG GAMES\CULTIST SIMULATOR\CULTISTSIMULATOR.EXE
delref %SystemDrive%\GOG GAMES\X4 FOUNDATIONS\X4.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS, напишите по результату, что с проблемой.

Ссылка на сообщение
Поделиться на другие сайты
Annatvenn

Annatvenn 0

Опубликовано
  • Автор
Опубликовано

Не получается найти пункт "Скрипт - выполнить скрипт из буфера обмена"
image.thumb.png.8792546b72ea5390bc0862731d7897f2.png

 

Проблема сохранилась. 
При открытии "пуска" все так же через SearchApp.exe уходит пачка пакетов, на различные ip, часть не доступны, а есть всякие левые сайты который я никогда не посещал, и панели для авторизации в админке.

 

2024-04-06_11-34-23_log.txt

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 91

Опубликовано
Опубликовано (изменено)
Quote

Не получается найти пункт "Скрипт - выполнить скрипт из буфера обмена"

Вначале надо зайти в главное меню программы. Т.е. выбрать текущий пользователь, если запуск start.exe был от имени Администратора. (судя по логу выполнения скрипта, у вас получилось это сделать.)

+

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
safety

safety 91

Опубликовано
Опубликовано
2 hours ago, Annatvenn said:

При открытии "пуска" все так же через SearchApp.exe уходит пачка пакетов, на различные ip, часть не доступны, а есть всякие левые сайты который я никогда не посещал, и панели для авторизации в админке.

При каждом нажатии на  "Пуск" наблюдается подобная сетевая активность?

Ссылка на сообщение
Поделиться на другие сайты
safety

safety 91

Опубликовано
Опубликовано (изменено)

пробуйте создать расширенный образ автозапуска в uVS с отслеживанием процессов и задач.

 

Как это сделать:

 

После запуска uVS (start.exe - текущий пользователь), в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

скрипт ниже: 

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

После перезагрузки системы, еще раз запускаем start,exe (от имени Администратора), текущий пользователь.

5. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

(лучше бы запустить его создание в момент сразу после отправки пакетов.)

6. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
7. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Sashok103
      [РЕШЕНО] Заразил систему кучей вирусов и майнером Taskhostw.exe
      От Sashok103
      Здравствуйте! Имеется такая проблема: после установки ПО подхватил вирусы и майнер. 
      Что бы попытаться решить эту проблему, пробовал самостоятельно методы по их удалению с помощью просмотра советов в Интернете. 
      Например при запуске ПК, у меня сразу же отображались командная строка и Windows PowerShell на пару секунд, исходя из которых они делали внедрение своих вредоносных команд в мою систему.
      Изучая это всю ночь, мне таки удалось удалить в пути C:\ProgramData\ папки с вредоносным содержимым (Папка Setup, папка RealtekHD, папка WindowsTask и папка Windows Tasks Service).
      и теперь, после запуска системы, диспетчер задач больше не закрывается автоматически, блокнот с файлом hosts и сама папка ProgramData, но я всё равно заметил, что возможно какие-то команды при запуске Windows всё ещё включаются (но появляется теперь только командная строка). 
      Увидел похожее обращение на вашем сайте и решил так же воспользоваться такой возможностью.
      Прикрепил логи результатов из программы AV_block_remover
      Заранее спасибо!
      AV_block_remove_2024.05.20-09.23.log
    • Ivan.134GA
      NET:MALWARE.URL Нужна помощь с удалением
      От Ivan.134GA
      Скачал торрент и игрой, и решил для профилактики просканировать пк с помощью dr web curelt, он нашел данный вирус и не смог вылечить
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь".
    • Anoxiefy
      [РЕШЕНО] NET.MALWARE.URL Прошу помощи с удалением
      От Anoxiefy
      Перешел на сайт, появилось уведомление что то про эксплойт в браузере, закрыл сайт решил проверить через Dr.web, нашел NET.MALWARE.URL попытался вылечить и не получилось, помогите пожалуйста кто знает.
    • Sokolov_
      Дикие фризы при расширении окон и микрофризы при скролинге в браузере
      От Sokolov_
      Приветствую. С недавних пор начались дикие фризы во всех приложениях, даже в самой ОС.

      Фризы при расширении окон (очень повышена резкость, оставляют след. Можно сравнить как, например, быстро передвигаемый курсор по экрану. Так же, при этом нередко наблюдаются повышенные частоты ЦП и ГП)

      Микрофризы при скроллинге в браузере и во всех приложениях (листаешь-листаешь (и даже когда не листаешь а двигаешься с места:D ), и тут бац, микрофриз. Будто до 0 фпс упало на 1 секунду, а потом все назад вернулось.
                — Что касательно других приложений - суть такая же. - Раскрываешь вкладку, и будто кадры в ноль опускаются.)

      Перепроверил ПК всеми антивирусами, делал восстановление, /sfc scannow и /dism online restore - все в пустую. Ничего из этого не помогает. Все драйверы обновлял сегодня.

      Гуру ПК, помогите пожалуйста

      Характеристики:
      Windows 11 23H2
      Nvidia RTX 4060Ti
      16GB DDR5 5200
      MSI SPATIUM 1TB
       
    • Denisqq
      Грузит процессор под 90%
      От Denisqq
      Это вирус? И как это лечить? В диспетчере не показывается, только в Process Hacker
×
×
  • Создать...