[РЕШЕНО] Вирус поразил системные файлы!

[Galem333]

Здравствуйте,при лечении этих файлов происходит компьютер зависает и появляется черный экран, после перезагрузки вам приходит в норму,но вирусы не лечатся. 

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Помощь по персональным продуктам".

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[Galem333]

CollectionLog-2024.06.09-14.53.zip

[safety]

обнаружение в каком антивирусном продукте происходит? WinDefender?

 

добавьте дополнительно логи FRST

и

образ автозапуска в uVS:

 

создайте образ автозапуска системы с помощью uVS для проверки.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Galem333]

Обнаружения происходят от Касперского. 

 

 

FRST.txt

[safety]

+ файл Addition.txt +образ автозапуска в uVS+ журнал обнаружений угроз из антивируса Касперского.

Изменено 9 июня, 2024 пользователем safety

[Galem333]

DESKTOP-9CVNU6O_2024-06-09_16-31-36_v4.15.4v.7z

Addition.txt

А где найти файл с отчётами от антивируса?

отчёт.txt

нашёл

 

[safety]

Судя по отчету угроз сегодня не обнаружено. Логи FRST и образ автозапуска проверю сейчас.

 

Quote

Сегодня, 09.06.2024 13:32:44    Вы установили приложение    Защита                                                                    0    
Сегодня, 09.06.2024 13:47:47    Вы активировали приложение    Защита                                                                    0    
    Включите расширение для Mozilla Firefox и управляйте защитой на лету    Защита                                                                    0    DESKTOP-9CVNU6O\ArdorPc
    Включите расширение для Яндекс.Браузер и управляйте защитой на лету    Защита                                                                    0    NT AUTHORITY\СИСТЕМА
Сегодня, 09.06.2024 15:14:08    Защита была возобновлена    Защита                                                                    0    
Сегодня, 09.06.2024 14:50:29    Вы приостановили защиту на 5 часов    Защита

 

[Galem333]

Dr.Web CureIt я для проверки не использовал,как и kvrt

я только Kaspersky проверил и всё.

[Galem333]

Лечение что с перезагрузкой или без вызывает зависание и чёрный экран

[safety]

6 minutes ago, Galem333 said:

Лечение что с перезагрузкой или без вызывает зависание и чёрный экран

объект указан как системный файл, поэтому лечение может быть с BSOD. Возможно, вы не тот отчет сформировали. Так как угрозы на скрине датированы 09.06, в отчете их нет, посмотрите внимательно по отчетам антивируса, чтобы сформировать список обнаружений на сегодня.

Изменено 9 июня, 2024 пользователем safety

[safety]

по очистке в uVS:

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит систему.

 

;uVS v4.15.4v [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {818DF32A-9AED-4634-A11E-8E0F4A2D69A6}\[CLSID]
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\NISSRV.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPEVMSG.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPSVC.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPRTP.DLL
delref %SystemRoot%\UUS\%PROCESSOR_ARCHITECTURE%\WUAUENGCORE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\DRIVERS\WDFILTER.SYS
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPCLIENT.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_351\BIN\DTPLUGIN\NPDEPLOYJAVA1.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.24050.7-0\MPDEFENDERCORESERVICE.EXE
;-------------------------------------------------------------

restart

после перезагрузки:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Сделайте новый скрин обнаружений в центре уведомлений Касперского.

[safety]

+

найдите этот файл в системе:

C:\Program Files\Google\Libs\WR64.sys

загрузите для проверки на Virustotal.com

и дайте ссылку здесь на линк проверки

[Galem333]

щас другой отчёт скину.

отчёт2.txt

вот он

 

https://www.virustotal.com/gui/file/11bd2c9f9e2397c9a16e0990e4ed2cf0679498fe0fd418a3dfdac60b5c160ee5

 

этот пункт?

[safety]

20 minutes ago, Galem333 said:

этот пункт?

Если вы планируете выполнить скрипт, и uVS в данный момент был не загружен, то да, по текущим пользователем выбираем, если start.exe был запущен от имени администратора.