Перейти к содержанию
Правила раздела

[РЕШЕНО] Не получается удалить вирус

webassasin123

Автор webassasin123
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

webassasin123

webassasin123

Опубликовано
Опубликовано

Здравствуйте!

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

image.thumb.png.052e856250018d77d3a5d7f9a2a4ee64.png

 

Как бы я его не удалял, антивирусы не удаляли, самостоятельно - файл автоматически создавался, пытался нарыть информацию но там были только темы о том как он устроен, что собственно не помогло мне в его удалении 

 

Лог  с AVZ 

avz_log.txt

 

Лог с FRST

FRST.txtAddition.txt

 

  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    17

  • webassasin123

    16

  • thyrex

    2

  • andrew75

    1

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

andrew75

andrew75

Опубликовано
Опубликовано

@webassasin123, прочитайте правила до конца.

Нужен отчет автологгера вида CollectionLog-yyyy.mm.dd-hh.mm.zip

safety

safety

Опубликовано
Опубликовано
9 часов назад, webassasin123 сказал:

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

Логи именно с этого ПК созданы?

добавьте еще образ автозапуска:

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

safety

safety

Опубликовано
Опубликовано (изменено)

Потоки внедрены в процесс Explorer.exe, необходимо более глубокое исследование.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [6396], tid=6608

 

выполните, очистке системы в  uVS, после перезагрузки системы создайте новый образ автозапуска.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и автоматически перегрузит систему.


  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\OPERA.EXE
delref HTTPS://F.A.K/E
delref HTTP://RUSEARCH.CO
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSHELPER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\NPGOOGLEUPDATE3.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPNNOTIFICATIONSERVICESTARTER.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\PDFPREVIEW\PDFPREVIEWHANDLER.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.APPSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.SYSTEMSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.VPNSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SPLITTUNNEL\DRIVER\EXPRESSVPNSPLITTUNNEL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OUTBYTE\DRIVER UPDATER\SERVICEHELPER.AGENT.EXE
delref %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R. - ЗОНА ПОРАЖЕНИЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\S.T.A.L.K.E.R. DEAD AIR (V0.98B)\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\HD-PLAYER.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FINESHARE\VOICETRANS\VOICETRANS.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
delref %SystemDrive%\CALL OF CHERNOBYL\STALKER-COC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ТЕНЬ ЧЕРНОБЫЛЬЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ЧИСТОЕ НЕБО\BIN\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SUMMER-LAUNCHER\ARIZONA SUMMER.EXE
;-------------------------------------------------------------

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено пользователем safety
webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано

image.png.891f20dfd1c1bde4cc0e7196aefeb3d3.png@safety тут про скрипт нечего не написано

image.png.cb0529963484fb01a077d5eefb3b76ab.png@safetyИзвиняюсь, я уже нашел и вставил. Вылезло это чудо.

safety

safety

Опубликовано
Опубликовано (изменено)

скрипт выполнился? система перегрузилась?

 

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

----------

похоже форму со скриптом не пропустил ваш защитник от DDOS :) возможно, придется скрипт переписать в виде файла.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Упростил пока скрипт очистки для uVS. Пробуйте этот скрипт вставить из буфера обмена для выполнения в uVS.


  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 35
;---------command-block---------
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BKEMKLNFMEFIEJFLHJPELNOOPMEHDKAF\9.659_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
apply

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено пользователем safety
webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано

@safety прямо создавать файл дата_времяlog.txt или заполнять его на нынешнее? 

 

@safetyдайте полную инструкцию что мне надо сделать

safety

safety

Опубликовано
Опубликовано (изменено)
20 минут назад, webassasin123 сказал:

прямо создавать файл дата_времяlog.txt или заполнять его на нынешнее? 

это все автоматом делается при выполнении скрипта, надо только найти этот файл в каталоге, который я указал, и загрузить этот файл в ваше сообщение.

Как то нарушилась обратная связь, напишите, что вы смогли сделать из тех скриптов и рекомендаций, которые я вам выше написал.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Отслеживание процессов и задач включено.

Отслеживание задач: 1
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.


 

Цитата

 

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • Saumraika
      [РЕШЕНО] Не могу удалить Trojan.BitCoinMiner, Trojan Agent
      Автор Saumraika
      Пробовала удалять вручную, после перезапуска опять появляются и по новой кидаю в карантин
      CollectionLog-2025.09.03-13.09.zip
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • David1990
      Не могу восстановить с точку восстановления ошибка rstrui.exe 0xc0000017 и SystemSettingAdminFlows.exe 0xc0000017
      Автор David1990
      Сегодня скачал какой то VPN для того что бы перевести регион в Epic Store но после этого начали происходить странные вещи, не могу восстановить систему с помощью точки восстановления выдает ошибку rstrui.exe 0x0000017  и если я пробую восстановить через обновления и безопасность -> Восстановления -> начать, выдает эту же ошибку но уже с этого способа Ошибка; SystemSettingAdminFlows.exe 0xc0000017, переустанавливать систему не могу, боюсь потерять доступ к лицензированных программ которые были на пк. 
      Заранее всем откликнувшимся большое спасибо! 
    • Kagore345
      Вирус (возможно майнер). Google\Chrome\updater.exe
      Автор Kagore345
      Постоянно подкачивается файл по адресу C:\ProgramData\Google\Chrome\updater.exe. Хотя у меня даже гугла нет, после удаления этой папки также подкачка осталась. Также скорее всего изменены реестры + видеокарта начала сильнее греться. Помогите пожалуйста.

      Сканил и Dr.Web, Malwarebytes и KVRT. Какие-то вирусы они удалили, но проблема с реестрами так и осталось, возможно, также не все вирусы удалили.
×
×
  • Создать...