Перейти к содержанию
Правила раздела
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала.

[РЕШЕНО] Не получается удалить вирус

webassasin123

Автор webassasin123
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано (изменено)
10 минут назад, safety сказал:

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.

 

KOMPUTER_2024-08-04_15-16-58_v4.99.0v x64.7z

 

Изменено пользователем webassasin123
  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    17

  • webassasin123

    16

  • thyrex

    2

  • andrew75

    1

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

safety

safety

Опубликовано
Опубликовано

по расширенному видимо, что родительский процесс для Explorer с добавленными потоками, и который нагружает CPU

является pid 3100

и он засветился для Conhost.exe

pid 3100 C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

запускается он из службы:

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

 

Есть подозрением, что в системе активный руткит. И  нужен будет образ автозапуска из под Wnpe

safety

safety

Опубликовано
Опубликовано (изменено)

Как создать образ автозапуска из под Winpe.

 

Нужен будет файл Winpe&UVS.iso для создания загрузочной флэшки.

скачать актуальный диск W10uVS415

 

Как создать образ автозапуска из под Winpe&uVS

--------

Можно вести отчет по шагам:

скачали файл ISO

записали загрузочную флэшку

загружаемся с флэшки (для этого надо будет временно выставить в BIOS загрузку не с жесткого диска, а с флэшки)

создали образ автозапуска.

скопировали образ автозапуска на форум.

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Кстати, uVS смог считать хэш этого файла, возможно до его удаления чем то (потоки он внедрил в Explorer)

SHA1 -- 4005DAF3001250293F7808F9C9D0905A7908DAD7

 

https://www.virustotal.com/gui/file/88f036c5a7951b184f57f000d783e3478993ab9fb14eb4556a42aac349ad50a9

Kaspersky HEUR:Trojan.Win64.Reflo.pef

9 минут назад, webassasin123 сказал:

 А есть способ полегче? В данный момент у меня нету флешки

Скорее всего он восстанавливается при перезагрузки системы с помощью руткита. Руткит понятно, нам не виден из активной системы.

Если есть возможность прикрутить системный диск к чистому ПК и с него сделать образ автозапуска неактивной системы, тогда это будет проще, без создания загрузочного Winpe&uVS.

 

Возможно, можно и так:

Цитата

o Запуск uVS с командной строки без загрузки с диска для работы с неактивной системой.
1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
3. Выберите админскую учетную запись и введите для нее пароль.
4. Запустите start.exe/start_x64.exe из каталога uVS.
(!) Обычно система расположена на диске C или D.
Например: uVS лежит в каталоге c:\uvs (в командной строке это будет d:\uvs)
Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
1. d:
2. cd d:\uvs
3. start_x64.exe
5. Выберите каталог Windows (обычно d:\Windows и он автоматически выбран).

 

Изменено пользователем safety
webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано

@safety умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

safety

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, webassasin123 сказал:

умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

Это нетривиальное заражение. И соответственно нетривиальная задача, с которыми нам иногда приходится сталкиваться в жизни.

Но подумаем, как упростить задачу. В любом случае нужен будет загрузочный диск с антивирусом. Можете "пожить" некоторое время с этой проблемой, но нужно будет на чистом ПК создать загрузочный диск KRD, и просканировать ваш системный диск с его помощью, но это может решить проблему в том случае, если KRD задетектирует источник в системе, который создает и скрывает данный троян.

https://www.kaspersky.ru/downloads/free-rescue-disk

Изменено пользователем safety
webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано

@safety одним словом через uvs уже нету смысла ничго проверять, ну выбрал я каталог, оба даже, пишет что не обнаружил систему. Сейчас скачаю КРД

safety

safety

Опубликовано
Опубликовано (изменено)
9 минут назад, webassasin123 сказал:

ну выбрал я каталог, оба даже

Здесь надо подробнее расписать что вы сделали.

Так понимаю, что зашли в режим командной строки.

После запуска uVS вам надо выбрать только один каталог с windows. Если он лежит на диске C, значит находим каталог Windows на диске C и выбираем его. Если он лежит в текущей ситуации на диске D, значит выбираем каталог Windows с диска D.

и далее...

 

 

 

Можно так же из нормального режима системы выполнить такой скрипт.

  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
apply
restart

после перезагрузки добавить лог выполнения скрипта, чтобы проверить, сможет ли uVS удалить запись службы в реестре, или она защищена от удаления.

+

создать новый образ для проверки.

--------

Я предполагаю, что либо защищена, либо удалится, но после перезагрузки будет восстановлена.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Возможно, что ключ был удален.

 

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

новый образ  сейчас проверю.

safety

safety

Опубликовано
Опубликовано (изменено)

в новом образе он опять воскрес как феникс, причем еще живой сейчас.

C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

с той же службой,

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

и

именем

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

 

Цитата

Полное имя                  C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
Имя файла                   LHHSGWKTKATL.EXE
Тек. статус                 ?ВИРУС? сервис в автозапуске
                            
www.virustotal.com          2024-06-29 12:38 [2024-06-29]
K7AntiVirus                 Trojan ( 005af85d1 )
Symantec                    Trojan.Coinminer!g3
ESET-NOD32                  a variant of Win64/Kryptik.EDF
Avast                       Win64:Evo-gen [Trj]
Kaspersky                   HEUR:Trojan.Win64.Reflo.pef
BitDefender                 Gen:Variant.Tedy.527225
Emsisoft                    Gen:Variant.Tedy.527225 (B)
Microsoft                   Trojan:Win64/Coinminer.RB!MTB
                            
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     667A22EC50D000
Linker                      14.0
Размер                      5261312 байт
Создан                      04.08.2024 в 15:49:24
Изменен                     04.08.2024 в 16:46:27
                            
TimeStamp                   25.06.2024 в 01:52:44
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Версия файла                3,0,3,0
Описание                    VLC media player
Производитель               VideoLAN
                            
Доп. информация             на момент обновления списка
pid = 2104                  NT AUTHORITY\СИСТЕМА
Процесс создан              16:46:48 [2024.08.04]
Процесс завершен            16:46:53 [2024.08.04]
CmdLine                     
parentid = 776              C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        4005DAF3001250293F7808F9C9D0905A7908DAD7
MD5                         2F058E9F9746516FAA8E0578D5E36822
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath
ImagePath                   C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe
QHRAJGDI                    тип запуска: Авто (2)
Изменен                     04.08.2024 в 16:46:27


                            

 

------------

пробуйте лечить систему с KRD, если не поможет, тогда приступим к самому сложному методу с uVS

Это ключи, которые создаются при его запуске.

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\Start
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\Start
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\Start
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT\DontOfferThroughWUAU

 

Изменено пользователем safety
thyrex

thyrex

Опубликовано
Опубликовано

Если не против, я продолжу.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3363424655-1899317289-3417850717-1002\...\Run: [YandexBrowserAutoLaunch_F804F8B1579483BBAB01F3C583FF9B7E] => "C:\Users\Eustap der Schneider\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\taskkill.exe
IFEO\upfc.exe: [Debugger] C:\Windows\System32\taskkill.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1E82EA54-6430-47FA-BCD4-D879D5FF3F2F} - System32\Tasks\Opera GX scheduled Autoupdate 1720749068 => C:\Users\Eustap der Schneider\AppData\Local\Programs\Opera GX\autoupdate\opera_autoupdate.exe  --scheduledtask --bypasslauncher $(Arg0) (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
S2 QHRAJGDI; C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe [5261312 2024-08-04] (VideoLAN) [Файл не подписан] <==== ВНИМАНИЕ
S2 OutbyteDUHelper; "C:\Program Files (x86)\Outbyte\Driver Updater\ServiceHelper.Agent.exe" [X]
2024-08-03 22:21 - 2024-08-04 01:48 - 000000000 ____D C:\ProgramData\nalfdgwigwyg
FirewallRules: [Block Cortana ActionUriServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriServer.exe => Нет файла
FirewallRules: [Block Cortana PlacesServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersShareTargetApp.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersShareTargetApp.exe => Нет файла
FirewallRules: [Block Cortana SearchUI.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe => Нет файла
FirewallRules: [{B5930E5C-1983-4238-82CB-1A0CE49E4EF9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{0FC224F2-50B7-4FD7-B68D-CCA30A2CC332}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_gminer\kryptex_gminer.exe => Нет файла
FirewallRules: [{9D476C1B-8726-41BB-B888-D484DEAEAEA4}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_lolMiner\kryptex_lolMiner.exe => Нет файла
FirewallRules: [{580267B8-3E6E-4C8C-9AFC-D96DC4A703D5}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_nbminer\kryptex_nbminer.exe => Нет файла
FirewallRules: [{71BF3199-54F5-4D0F-9891-415DF567A999}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_SRBMiner-MULTI\kryptex_SRBMiner-MULTI.exe => Нет файла
FirewallRules: [{2ED30E2C-623C-41FD-892A-5B496732A344}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_t-rex\kryptex_t-rex.exe => Нет файла
FirewallRules: [{AF49A7E5-917C-4969-A506-73FF41BDCF6F}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{CE9403D7-9D4A-4151-8828-D9B683EA99D1}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{671ADFDB-AD52-4404-8B61-0B4349CB58B5}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{C3D7EF15-1EBA-401B-BB62-7ACBA0282639}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{EC232B62-F11E-44FF-9F99-F1A50CFD35CE}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{F775667B-70C0-489D-937B-20B0CB86656C}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{BB077975-0483-4035-8FFF-7D3008CAA08F}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{17C73DDA-5FF0-414B-BDBA-7A8B445CBDBF}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{48473E39-C0D2-49E8-A160-099ADC9FD7B2}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{397B4F12-7DEB-4937-AF35-D0822C64BF8E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{EE9FB36F-5FD0-46E1-9C64-0437E51CB97E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{21405DDE-0173-47B3-BCF6-AB4F37ADFE2E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{81965CD8-68F0-47F5-A553-190A82F505CC}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{B86A0E61-4162-4501-BA86-64962DA4DECE}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • booblick
      [РЕШЕНО] Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen
      Автор booblick
      После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.
       
      Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.
      CollectionLog-2025.09.14-21.03.zip
    • Saumraika
      [РЕШЕНО] Не могу удалить Trojan.BitCoinMiner, Trojan Agent
      Автор Saumraika
      Пробовала удалять вручную, после перезапуска опять появляются и по новой кидаю в карантин
      CollectionLog-2025.09.03-13.09.zip
    • shepp0
      [РЕШЕНО] Неудаляемый вирус майнер XMrig
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • David1990
      Не могу восстановить с точку восстановления ошибка rstrui.exe 0xc0000017 и SystemSettingAdminFlows.exe 0xc0000017
      Автор David1990
      Сегодня скачал какой то VPN для того что бы перевести регион в Epic Store но после этого начали происходить странные вещи, не могу восстановить систему с помощью точки восстановления выдает ошибку rstrui.exe 0x0000017  и если я пробую восстановить через обновления и безопасность -> Восстановления -> начать, выдает эту же ошибку но уже с этого способа Ошибка; SystemSettingAdminFlows.exe 0xc0000017, переустанавливать систему не могу, боюсь потерять доступ к лицензированных программ которые были на пк. 
      Заранее всем откликнувшимся большое спасибо! 
    • Kagore345
      Вирус (возможно майнер). Google\Chrome\updater.exe
      Автор Kagore345
      Постоянно подкачивается файл по адресу C:\ProgramData\Google\Chrome\updater.exe. Хотя у меня даже гугла нет, после удаления этой папки также подкачка осталась. Также скорее всего изменены реестры + видеокарта начала сильнее греться. Помогите пожалуйста.

      Сканил и Dr.Web, Malwarebytes и KVRT. Какие-то вирусы они удалили, но проблема с реестрами так и осталось, возможно, также не все вирусы удалили.
×
×
  • Создать...