Перейти к содержанию
Правила раздела

[РЕШЕНО] Не получается удалить вирус

webassasin123

От webassasin123
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

webassasin123 Новичок

webassasin123

Опубликовано
Опубликовано

Здравствуйте!

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

image.thumb.png.052e856250018d77d3a5d7f9a2a4ee64.png

 

Как бы я его не удалял, антивирусы не удаляли, самостоятельно - файл автоматически создавался, пытался нарыть информацию но там были только темы о том как он устроен, что собственно не помогло мне в его удалении 

 

Лог  с AVZ 

avz_log.txt

 

Лог с FRST

FRST.txtAddition.txt

 

Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • safety

    17

  • webassasin123

    16

  • thyrex

    2

  • andrew75

    1

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

safety Ветеран

safety

Опубликовано
Опубликовано
9 часов назад, webassasin123 сказал:

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

Логи именно с этого ПК созданы?

добавьте еще образ автозапуска:

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Потоки внедрены в процесс Explorer.exe, необходимо более глубокое исследование.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [6396], tid=6608

 

выполните, очистке системы в  uVS, после перезагрузки системы создайте новый образ автозапуска.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и автоматически перегрузит систему.


  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\OPERA.EXE
delref HTTPS://F.A.K/E
delref HTTP://RUSEARCH.CO
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSHELPER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\NPGOOGLEUPDATE3.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPNNOTIFICATIONSERVICESTARTER.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\PDFPREVIEW\PDFPREVIEWHANDLER.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.APPSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.SYSTEMSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.VPNSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SPLITTUNNEL\DRIVER\EXPRESSVPNSPLITTUNNEL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OUTBYTE\DRIVER UPDATER\SERVICEHELPER.AGENT.EXE
delref %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R. - ЗОНА ПОРАЖЕНИЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\S.T.A.L.K.E.R. DEAD AIR (V0.98B)\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\HD-PLAYER.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FINESHARE\VOICETRANS\VOICETRANS.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
delref %SystemDrive%\CALL OF CHERNOBYL\STALKER-COC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ТЕНЬ ЧЕРНОБЫЛЬЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ЧИСТОЕ НЕБО\BIN\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SUMMER-LAUNCHER\ARIZONA SUMMER.EXE
;-------------------------------------------------------------

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

скрипт выполнился? система перегрузилась?

 

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

----------

похоже форму со скриптом не пропустил ваш защитник от DDOS :) возможно, придется скрипт переписать в виде файла.

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Упростил пока скрипт очистки для uVS. Пробуйте этот скрипт вставить из буфера обмена для выполнения в uVS.


  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 35
;---------command-block---------
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BKEMKLNFMEFIEJFLHJPELNOOPMEHDKAF\9.659_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
apply

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
20 минут назад, webassasin123 сказал:

прямо создавать файл дата_времяlog.txt или заполнять его на нынешнее? 

это все автоматом делается при выполнении скрипта, надо только найти этот файл в каталоге, который я указал, и загрузить этот файл в ваше сообщение.

Как то нарушилась обратная связь, напишите, что вы смогли сделать из тех скриптов и рекомендаций, которые я вам выше написал.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Отслеживание процессов и задач включено.

Отслеживание задач: 1
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.


 

Цитата

 

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • ДанилКО
      [РЕШЕНО] Антивирус не может удалить этот вирус HEUR:Trojan.Multi.GenBadur.genw.
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
    • AndyShugar
      [РЕШЕНО] HEUR:Trojan.Multi.GenBadur.genw не удалить!
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • moyyor
      [РЕШЕНО] Как удалить net:malware.url
      От moyyor
      Решил проверить ноут через DrWeb, обнаружился вирус net:malware.url. Как его удалить ? Логи прикрепил. 

      CollectionLog-2024.11.01-13.28.zip
    • fodymoran
      [РЕШЕНО] не получается удалить/обезвредить MEM:Trojan.Win32.SEPEH.gen
      От fodymoran
      Добрый вечер! Помогите, пожалуйста, удалить/обезвредить данный троян.
      При проверке через Kaspersky Virus Removal Tool он не отображается, но при проверке через Kaspersky Free он есть.
      При попытке устранения через фри версию также вылетают ошибки перед перезагрузкой пк: browser.exe - Bad image (Состояние ошибки 0x0000022)
      CollectionLog-2024.09.10-22.37.zip
    • Zhuraulik
      [РЕШЕНО] Помогите удалить вирус.
      От Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip
×
×
  • Создать...