[РЕШЕНО] Не получается удалить вирус

[webassasin123]

Здравствуйте!

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

 

Как бы я его не удалял, антивирусы не удаляли, самостоятельно - файл автоматически создавался, пытался нарыть информацию но там были только темы о том как он устроен, что собственно не помогло мне в его удалении 

 

Лог  с AVZ 

avz_log.txt

 

Лог с FRST

FRST.txtAddition.txt

 

[safety]

«Порядок оформления запроса о помощи».

[webassasin123]

6 часов назад, safety сказал:

«Порядок оформления запроса о помощи».

Я всё это делал, вирус все равно создается

[andrew75]

@webassasin123, прочитайте правила до конца.

Нужен отчет автологгера вида CollectionLog-yyyy.mm.dd-hh.mm.zip

[webassasin123]

CollectionLog-2024.08.04-10.30.zip@andrew75

[safety]

9 часов назад, webassasin123 сказал:

В одном из моего пользование компьютером была создана папка по пути  C\ProgramData\nalfdgwigwyg внутри которой был непонятный exe файл  lhhsgwktkatl.exe

Логи именно с этого ПК созданы?

добавьте еще образ автозапуска:

Добавьте дополнительно образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[webassasin123]

KOMPUTER_2024-08-04_12-05-59_v4.99.0v x64.7z@safety

[safety]

Потоки внедрены в процесс Explorer.exe, необходимо более глубокое исследование.

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [6396], tid=6608

 

выполните, очистке системы в  uVS, после перезагрузки системы создайте новый образ автозапуска.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и автоматически перегрузит систему.

 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\OPERA.EXE
delref HTTPS://F.A.K/E
delref HTTP://RUSEARCH.CO
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSHELPER.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\PROGRAMS\OPERA GX\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\NPGOOGLEUPDATE3.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPNNOTIFICATIONSERVICESTARTER.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\AUTOSETTINGSPS
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\PDFPREVIEW\PDFPREVIEWHANDLER.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.APPSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.SYSTEMSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SERVICES\EXPRESSVPN.VPNSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\SPLITTUNNEL\DRIVER\EXPRESSVPNSPLITTUNNEL.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OUTBYTE\DRIVER UPDATER\SERVICEHELPER.AGENT.EXE
delref %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R. - ЗОНА ПОРАЖЕНИЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\S.T.A.L.K.E.R. DEAD AIR (V0.98B)\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\HD-PLAYER.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER_PROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\FINESHARE\VOICETRANS\VOICETRANS.EXE
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\YANDEX\YAPIN\YANDEXWORKING.EXE
delref %SystemDrive%\CALL OF CHERNOBYL\STALKER-COC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EXPRESSVPN\EXPRESSVPN-UI\EXPRESSVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ТЕНЬ ЧЕРНОБЫЛЬЯ\BIN\XR_3DA.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\S.T.A.L.K.E.R ЧИСТОЕ НЕБО\BIN\XRENGINE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SUMMER-LAUNCHER\ARIZONA SUMMER.EXE
;-------------------------------------------------------------

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено 4 августа, 2024 пользователем safety

[webassasin123]

@safety тут про скрипт нечего не написано

@safetyИзвиняюсь, я уже нашел и вставил. Вылезло это чудо.

[safety]

скрипт выполнился? система перегрузилась?

 

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

----------

похоже форму со скриптом не пропустил ваш защитник от DDOS :) возможно, придется скрипт переписать в виде файла.

 

Изменено 4 августа, 2024 пользователем safety

[safety]

Упростил пока скрипт очистки для uVS. Пробуйте этот скрипт вставить из буфера обмена для выполнения в uVS.

 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
regt 35
;---------command-block---------
delref %SystemDrive%\USERS\EUSTAP DER SCHNEIDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BKEMKLNFMEFIEJFLHJPELNOOPMEHDKAF\9.659_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3DONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.86\BHO\IE_TO_EDGE_BHO_64.DLL
apply

restart

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

создаем новый образ автозапуска, который будет создан с отслеживанием процессов и задач.

Изменено 4 августа, 2024 пользователем safety

[webassasin123]

@safety прямо создавать файл дата_времяlog.txt или заполнять его на нынешнее? 

 

@safetyдайте полную инструкцию что мне надо сделать

[safety]

20 минут назад, webassasin123 сказал:

прямо создавать файл дата_времяlog.txt или заполнять его на нынешнее? 

это все автоматом делается при выполнении скрипта, надо только найти этот файл в каталоге, который я указал, и загрузить этот файл в ваше сообщение.

Как то нарушилась обратная связь, напишите, что вы смогли сделать из тех скриптов и рекомендаций, которые я вам выше написал.

Изменено 4 августа, 2024 пользователем safety

[webassasin123]

@safety

2024-08-04_14-45-16_log.txt

[safety]

Отслеживание процессов и задач включено.

Отслеживание задач: 1
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.

 

Цитата

 

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.