Перейти к содержанию

[РЕШЕНО] Не получается удалить вирус


Рекомендуемые сообщения

Здравствуйте!

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

image.thumb.png.052e856250018d77d3a5d7f9a2a4ee64.png

 

Как бы я его не удалял, антивирусы не удаляли, самостоятельно - файл автоматически создавался, пытался нарыть информацию но там были только темы о том как он устроен, что собственно не помогло мне в его удалении 

 

Лог  с AVZ 

avz_log.txt

 

Лог с FRST

FRST.txtAddition.txt

 

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • safety

    17

  • webassasin123

    16

  • thyrex

    2

  • andrew75

    1

9 часов назад, webassasin123 сказал:

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

Логи именно с этого ПК созданы?

добавьте еще образ автозапуска:

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Потоки внедрены в процесс Explorer.exe, необходимо более глубокое исследование.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [6396], tid=6608

 

выполните, очистке системы в  uVS, после перезагрузки системы создайте новый образ автозапуска.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и автоматически перегрузит систему.


 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\OPERA.EXE
delref HTTPS://F.A.K/E
delref HTTP://RUSEARCH.CO
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSHELPER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\NPGOOGLEUPDATE3.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPNNOTIFICATIONSERVICESTARTER.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\PDFPREVIEW\PDFPREVIEWHANDLER.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.APPSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.SYSTEMSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.VPNSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SPLITTUNNEL\DRIVER\EXPRESSVPNSPLITTUNNEL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OUTBYTE\DRIVER UPDATER\SERVICEHELPER.AGENT.EXE
delref %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R. - ЗОНА ПОРАЖЕНИЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\S.T.A.L.K.E.R. DEAD AIR (V0.98B)\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\HD-PLAYER.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FINESHARE\VOICETRANS\VOICETRANS.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
delref %SystemDrive%\CALL OF CHERNOBYL\STALKER-COC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ТЕНЬ ЧЕРНОБЫЛЬЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ЧИСТОЕ НЕБО\BIN\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SUMMER-LAUNCHER\ARIZONA SUMMER.EXE
;-------------------------------------------------------------

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

скрипт выполнился? система перегрузилась?

 

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

----------

похоже форму со скриптом не пропустил ваш защитник от DDOS :) возможно, придется скрипт переписать в виде файла.

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Упростил пока скрипт очистки для uVS. Пробуйте этот скрипт вставить из буфера обмена для выполнения в uVS.


 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 35
;---------command-block---------
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BKEMKLNFMEFIEJFLHJPELNOOPMEHDKAF\9.659_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
apply

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты
20 минут назад, webassasin123 сказал:

прямо создавать файл дата_времяlog.txt или заполнять его на нынешнее? 

это все автоматом делается при выполнении скрипта, надо только найти этот файл в каталоге, который я указал, и загрузить этот файл в ваше сообщение.

Как то нарушилась обратная связь, напишите, что вы смогли сделать из тех скриптов и рекомендаций, которые я вам выше написал.

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

Отслеживание процессов и задач включено.

Отслеживание задач: 1
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.


 

Цитата

 

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • 123343545646
      От 123343545646
      Здравствуйте. Запускается браузер при загрузке Windows.
      CollectionLog-2024.10.18-20.36.zip
    • David Faker
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • JUICE YOGURT
      От JUICE YOGURT
      Возможно ли взаимодействие компьютера с одним из этих вирусов? Я буду исходить из своей ситуации, чтобы она была описана более понятна для всех.

      Обнаружил подозрительное вмешательство в своё личное интернет-пространство, злоумышленник решил оставить несколько сообщений от себя в DISCORD (от моего профиля), следов активности с других IP-адресов обнаружено не было, взлома не было, двухфакторная защита активирована. Я начал проверять с помощью антивирусов, увидел, что имелось заражение HOSTS, а после повторной проверки был обнаружен MSTASK Trojan Starter 7691 остальные были менее подозрительными, что могло бы вызвать подозрения на такое вмешательство.
    • Ilyambuss
      От Ilyambuss
      где-то на просторах интернета подцепил вирус UDS:DangerousObject.Multi.Generic, он лежит на диске С: exe'шным файлом (updater.exe), который после удаления восстанавливается после перезагрузки системы. каждые несколько дней мне прилетает 3 уведа от касперского (скриншоты прикрепил) о том, что этот вирусный файл удалён (скорее всего потому что появляется какая-то подозрительная активность), но потом он, опять же, восстанавливается, и так по кругу. и полная проверка через выполнить –> mrt, и полная проверка через касперского говорит, что комп чист (Kaspersky Removal Tool тоже использовал, там то же самое), да и сам этот файл вроде ничего плохого с моим пк не делает, но он меня всё же напрягает. мне посоветовали проверить пк kaspersky rescue disk, но при попытке запуска этой утилиты с флешки через boot menu, у меня просто появляется чёрный экран с точкой и нижним подчёркиванием, хотя всё делал по инструкциям. думал, может система что-то подгружает, но даже спустя 15-20 минут результат тот же: компьютер ни на что не реагирует, и приходится перезагружать его кнопкой включения. подскажите, что можно сделать? модель компьютера (ноутбука): SKU: MSI Modern 15 B12M-210RU-BB51235U8GXXDX11S

      CollectionLog-2024.09.21-15.59.zip
    • esc.tech
      От esc.tech
      Здравствуйте, я бы хотел у вас спросить, когда вы добавите в свой антивирус дополнительное сканирование файлов? Так как в последнее время люди уже начинают шифровать вирусы что делает его незамеченным и ваш антивирус не замечает его. 


×
×
  • Создать...