Перейти к содержанию
Правила раздела

[РЕШЕНО] Не получается удалить вирус

webassasin123

Автор webassasin123
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

webassasin123

webassasin123

Опубликовано
Опубликовано

Здравствуйте!

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

image.thumb.png.052e856250018d77d3a5d7f9a2a4ee64.png

 

Как бы я его не удалял, антивирусы не удаляли, самостоятельно - файл автоматически создавался, пытался нарыть информацию но там были только темы о том как он устроен, что собственно не помогло мне в его удалении 

 

Лог  с AVZ 

avz_log.txt

 

Лог с FRST

FRST.txtAddition.txt

 

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    17

  • webassasin123

    16

  • thyrex

    2

  • andrew75

    1

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

safety

safety

Опубликовано
Опубликовано
9 часов назад, webassasin123 сказал:

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

Логи именно с этого ПК созданы?

добавьте еще образ автозапуска:

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Потоки внедрены в процесс Explorer.exe, необходимо более глубокое исследование.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [6396], tid=6608

 

выполните, очистке системы в  uVS, после перезагрузки системы создайте новый образ автозапуска.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и автоматически перегрузит систему.


  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\OPERA.EXE
delref HTTPS://F.A.K/E
delref HTTP://RUSEARCH.CO
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSHELPER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\NPGOOGLEUPDATE3.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPNNOTIFICATIONSERVICESTARTER.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\PDFPREVIEW\PDFPREVIEWHANDLER.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.APPSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.SYSTEMSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.VPNSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SPLITTUNNEL\DRIVER\EXPRESSVPNSPLITTUNNEL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OUTBYTE\DRIVER UPDATER\SERVICEHELPER.AGENT.EXE
delref %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R. - ЗОНА ПОРАЖЕНИЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\S.T.A.L.K.E.R. DEAD AIR (V0.98B)\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\HD-PLAYER.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FINESHARE\VOICETRANS\VOICETRANS.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
delref %SystemDrive%\CALL OF CHERNOBYL\STALKER-COC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ТЕНЬ ЧЕРНОБЫЛЬЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ЧИСТОЕ НЕБО\BIN\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SUMMER-LAUNCHER\ARIZONA SUMMER.EXE
;-------------------------------------------------------------

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

скрипт выполнился? система перегрузилась?

 

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

----------

похоже форму со скриптом не пропустил ваш защитник от DDOS :) возможно, придется скрипт переписать в виде файла.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)

Упростил пока скрипт очистки для uVS. Пробуйте этот скрипт вставить из буфера обмена для выполнения в uVS.


  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 35
;---------command-block---------
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BKEMKLNFMEFIEJFLHJPELNOOPMEHDKAF\9.659_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
apply

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано

@safety прямо создавать файл дата_времяlog.txt или заполнять его на нынешнее? 

 

@safetyдайте полную инструкцию что мне надо сделать

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
20 минут назад, webassasin123 сказал:

прямо создавать файл дата_времяlog.txt или заполнять его на нынешнее? 

это все автоматом делается при выполнении скрипта, надо только найти этот файл в каталоге, который я указал, и загрузить этот файл в ваше сообщение.

Как то нарушилась обратная связь, напишите, что вы смогли сделать из тех скриптов и рекомендаций, которые я вам выше написал.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано

Отслеживание процессов и задач включено.

Отслеживание задач: 1
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.


 

Цитата

 

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Anton3456
      [РЕШЕНО] появился вирус
      Автор Anton3456
      CollectionLog-2025.08.02-22.40.zip
       
    • HOUSEDause
      Помогите удалить вирус taskhost.exe
      Автор HOUSEDause
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ
      Не скачиваются антивирусы
    • Dmdozors1982
      [РЕШЕНО] Помогите удалить tool.btcmine.2794
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
    • -AdviZzzor-
      [РЕШЕНО] Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
      Автор -AdviZzzor-
      Здравствуйте!
      Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.
      Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.
      Помогите избавиться от него. 
      CollectionLog-2025.07.10-08.10.zip
    • composer1995
      [РЕШЕНО] Вирус CAAServices.exe
      Автор composer1995
      Добрый день!

      Столкнулся с вирусом CAAServices.exe. Изложу последовательно события и свои действия:

      1. Центр обновления Windows установил обновления (не знаю, связано ли это с дальнейшей проблемой)
      - Накопительное обновление для Windows 11 Version 24H2 для систем на базе процессоров x64, 2025 07 (KB5062553)
      - 2025-07 Накопительное обновление .NET Framework 3.5 и 4.8.1 для Windows 11, version 24H2 для x64-разрядных систем (KB5056579)

      2. После обновления комп перезагрузился и в простое на рабочем столе начал сильно шуметь. Я решил проверить диспетчер задач и заглянуть в автозагрузки. В этот момент комп уже остыл и вернулся к нормальному уровню шума. В списке автозагрузок обнаружил файл CAAServices.exe, расположение файла C:\ProgramData\CAAService

      3. Нагуглил, что это майнер, провёл проверку защитником Windows, обнаружил вирус:
      - Trojan:Win64/DisguisedXMRigMiner!rfn, затронутые элементы C:\ProgramData\CAAService\Microsoft Network Realtime lnspection Service.exe

      Далее, в исключениях обнаружил CAAServices.exe, убрал его из списка исключений. Вручную указал папку CAAService, и в ней он нашёл:
      - Trojan:Win32/Wacatac.H!ml, затронутые элементы C:\ProgramData\CAAService\CAAServices.exe

      Защитник удалил оба вируса. После рестарта компа в автозагрузках снова обнаружил этот CAAServices.exe. Повторил процедуру по поиску и удалению вируса, комп не перезагружал.

      4. Пришёл сюда на сайт, провёл проверку Kaspersky Virus Removal Tool, обнаружил два вируса (прикладываю скрин). После проверки данной утилитой и рестарта компа в автозагрузке майнер не появляется. В папке C:\ProgramData\CAAService исчез файл CAAServices.exe. Остались только файлы CAAServices.vdr и OpenCL.dll.

      5. Собрал логи с помощью AutoLogger, прикладываю архив.

      Скажите, пожалуйста, избавился ли я от майнера, или нужно предпринять ещё какие-то меры?

      CollectionLog-2025.07.10-12.42.zip
×
×
  • Создать...