Перейти к содержанию

[РЕШЕНО] Не получается удалить вирус


webassasin123

Рекомендуемые сообщения

10 минут назад, safety сказал:

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.

 

KOMPUTER_2024-08-04_15-16-58_v4.99.0v x64.7z

 

Изменено пользователем webassasin123
Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 35
  • Created
  • Последний ответ

Top Posters In This Topic

  • safety

    17

  • webassasin123

    16

  • thyrex

    2

  • andrew75

    1

по расширенному видимо, что родительский процесс для Explorer с добавленными потоками, и который нагружает CPU

является pid 3100

и он засветился для Conhost.exe

pid 3100 C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

запускается он из службы:

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

 

Есть подозрением, что в системе активный руткит. И  нужен будет образ автозапуска из под Wnpe

Ссылка на комментарий
Поделиться на другие сайты

Как создать образ автозапуска из под Winpe.

 

Нужен будет файл Winpe&UVS.iso для создания загрузочной флэшки.

скачать актуальный диск W10uVS415

 

Как создать образ автозапуска из под Winpe&uVS

--------

Можно вести отчет по шагам:

скачали файл ISO

записали загрузочную флэшку

загружаемся с флэшки (для этого надо будет временно выставить в BIOS загрузку не с жесткого диска, а с флэшки)

создали образ автозапуска.

скопировали образ автозапуска на форум.

 

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Кстати, uVS смог считать хэш этого файла, возможно до его удаления чем то (потоки он внедрил в Explorer)

SHA1 -- 4005DAF3001250293F7808F9C9D0905A7908DAD7

 

https://www.virustotal.com/gui/file/88f036c5a7951b184f57f000d783e3478993ab9fb14eb4556a42aac349ad50a9

Kaspersky HEUR:Trojan.Win64.Reflo.pef

9 минут назад, webassasin123 сказал:

 А есть способ полегче? В данный момент у меня нету флешки

Скорее всего он восстанавливается при перезагрузки системы с помощью руткита. Руткит понятно, нам не виден из активной системы.

Если есть возможность прикрутить системный диск к чистому ПК и с него сделать образ автозапуска неактивной системы, тогда это будет проще, без создания загрузочного Winpe&uVS.

 

Возможно, можно и так:

Цитата

o Запуск uVS с командной строки без загрузки с диска для работы с неактивной системой.
1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
3. Выберите админскую учетную запись и введите для нее пароль.
4. Запустите start.exe/start_x64.exe из каталога uVS.
(!) Обычно система расположена на диске C или D.
Например: uVS лежит в каталоге c:\uvs (в командной строке это будет d:\uvs)
Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
1. d:
2. cd d:\uvs
3. start_x64.exe
5. Выберите каталог Windows (обычно d:\Windows и он автоматически выбран).

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

@safety умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

Ссылка на комментарий
Поделиться на другие сайты

7 минут назад, webassasin123 сказал:

умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

Это нетривиальное заражение. И соответственно нетривиальная задача, с которыми нам иногда приходится сталкиваться в жизни.

Но подумаем, как упростить задачу. В любом случае нужен будет загрузочный диск с антивирусом. Можете "пожить" некоторое время с этой проблемой, но нужно будет на чистом ПК создать загрузочный диск KRD, и просканировать ваш системный диск с его помощью, но это может решить проблему в том случае, если KRD задетектирует источник в системе, который создает и скрывает данный троян.

https://www.kaspersky.ru/downloads/free-rescue-disk

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

@safety одним словом через uvs уже нету смысла ничго проверять, ну выбрал я каталог, оба даже, пишет что не обнаружил систему. Сейчас скачаю КРД

Ссылка на комментарий
Поделиться на другие сайты

9 минут назад, webassasin123 сказал:

ну выбрал я каталог, оба даже

Здесь надо подробнее расписать что вы сделали.

Так понимаю, что зашли в режим командной строки.

После запуска uVS вам надо выбрать только один каталог с windows. Если он лежит на диске C, значит находим каталог Windows на диске C и выбираем его. Если он лежит в текущей ситуации на диске D, значит выбираем каталог Windows с диска D.

и далее...

 

 

 

Можно так же из нормального режима системы выполнить такой скрипт.

 

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
apply
restart

после перезагрузки добавить лог выполнения скрипта, чтобы проверить, сможет ли uVS удалить запись службы в реестре, или она защищена от удаления.

+

создать новый образ для проверки.

--------

Я предполагаю, что либо защищена, либо удалится, но после перезагрузки будет восстановлена.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Возможно, что ключ был удален.

 

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

новый образ  сейчас проверю.

Ссылка на комментарий
Поделиться на другие сайты

в новом образе он опять воскрес как феникс, причем еще живой сейчас.

C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

с той же службой,

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

и

именем

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

 

Цитата

Полное имя                  C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
Имя файла                   LHHSGWKTKATL.EXE
Тек. статус                 ?ВИРУС? сервис в автозапуске
                            
www.virustotal.com          2024-06-29 12:38 [2024-06-29]
K7AntiVirus                 Trojan ( 005af85d1 )
Symantec                    Trojan.Coinminer!g3
ESET-NOD32                  a variant of Win64/Kryptik.EDF
Avast                       Win64:Evo-gen [Trj]
Kaspersky                   HEUR:Trojan.Win64.Reflo.pef
BitDefender                 Gen:Variant.Tedy.527225
Emsisoft                    Gen:Variant.Tedy.527225 (B)
Microsoft                   Trojan:Win64/Coinminer.RB!MTB
                            
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     667A22EC50D000
Linker                      14.0
Размер                      5261312 байт
Создан                      04.08.2024 в 15:49:24
Изменен                     04.08.2024 в 16:46:27
                            
TimeStamp                   25.06.2024 в 01:52:44
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Версия файла                3,0,3,0
Описание                    VLC media player
Производитель               VideoLAN
                            
Доп. информация             на момент обновления списка
pid = 2104                  NT AUTHORITY\СИСТЕМА
Процесс создан              16:46:48 [2024.08.04]
Процесс завершен            16:46:53 [2024.08.04]
CmdLine                     
parentid = 776              C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        4005DAF3001250293F7808F9C9D0905A7908DAD7
MD5                         2F058E9F9746516FAA8E0578D5E36822
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath
ImagePath                   C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe
QHRAJGDI                    тип запуска: Авто (2)
Изменен                     04.08.2024 в 16:46:27


                            

 

------------

пробуйте лечить систему с KRD, если не поможет, тогда приступим к самому сложному методу с uVS

Это ключи, которые создаются при его запуске.

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\Start
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\Start
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\Start
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT\DontOfferThroughWUAU

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Если не против, я продолжу.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3363424655-1899317289-3417850717-1002\...\Run: [YandexBrowserAutoLaunch_F804F8B1579483BBAB01F3C583FF9B7E] => "C:\Users\Eustap der Schneider\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\taskkill.exe
IFEO\upfc.exe: [Debugger] C:\Windows\System32\taskkill.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1E82EA54-6430-47FA-BCD4-D879D5FF3F2F} - System32\Tasks\Opera GX scheduled Autoupdate 1720749068 => C:\Users\Eustap der Schneider\AppData\Local\Programs\Opera GX\autoupdate\opera_autoupdate.exe  --scheduledtask --bypasslauncher $(Arg0) (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
S2 QHRAJGDI; C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe [5261312 2024-08-04] (VideoLAN) [Файл не подписан] <==== ВНИМАНИЕ
S2 OutbyteDUHelper; "C:\Program Files (x86)\Outbyte\Driver Updater\ServiceHelper.Agent.exe" [X]
2024-08-03 22:21 - 2024-08-04 01:48 - 000000000 ____D C:\ProgramData\nalfdgwigwyg
FirewallRules: [Block Cortana ActionUriServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriServer.exe => Нет файла
FirewallRules: [Block Cortana PlacesServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersShareTargetApp.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersShareTargetApp.exe => Нет файла
FirewallRules: [Block Cortana SearchUI.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe => Нет файла
FirewallRules: [{B5930E5C-1983-4238-82CB-1A0CE49E4EF9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{0FC224F2-50B7-4FD7-B68D-CCA30A2CC332}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_gminer\kryptex_gminer.exe => Нет файла
FirewallRules: [{9D476C1B-8726-41BB-B888-D484DEAEAEA4}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_lolMiner\kryptex_lolMiner.exe => Нет файла
FirewallRules: [{580267B8-3E6E-4C8C-9AFC-D96DC4A703D5}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_nbminer\kryptex_nbminer.exe => Нет файла
FirewallRules: [{71BF3199-54F5-4D0F-9891-415DF567A999}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_SRBMiner-MULTI\kryptex_SRBMiner-MULTI.exe => Нет файла
FirewallRules: [{2ED30E2C-623C-41FD-892A-5B496732A344}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_t-rex\kryptex_t-rex.exe => Нет файла
FirewallRules: [{AF49A7E5-917C-4969-A506-73FF41BDCF6F}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{CE9403D7-9D4A-4151-8828-D9B683EA99D1}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{671ADFDB-AD52-4404-8B61-0B4349CB58B5}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{C3D7EF15-1EBA-401B-BB62-7ACBA0282639}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{EC232B62-F11E-44FF-9F99-F1A50CFD35CE}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{F775667B-70C0-489D-937B-20B0CB86656C}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{BB077975-0483-4035-8FFF-7D3008CAA08F}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{17C73DDA-5FF0-414B-BDBA-7A8B445CBDBF}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{48473E39-C0D2-49E8-A160-099ADC9FD7B2}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{397B4F12-7DEB-4937-AF35-D0822C64BF8E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{EE9FB36F-5FD0-46E1-9C64-0437E51CB97E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{21405DDE-0173-47B3-BCF6-AB4F37ADFE2E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{81965CD8-68F0-47F5-A553-190A82F505CC}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{B86A0E61-4162-4501-BA86-64962DA4DECE}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ДанилКО
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
    • AndyShugar
      От AndyShugar
      Не удалить этот вирус и папка с его расположением не открывается. Прошу помощи

      CollectionLog-2024.11.01-22.04.zip
    • moyyor
      От moyyor
      Решил проверить ноут через DrWeb, обнаружился вирус net:malware.url. Как его удалить ? Логи прикрепил. 

      CollectionLog-2024.11.01-13.28.zip
    • fodymoran
      От fodymoran
      Добрый вечер! Помогите, пожалуйста, удалить/обезвредить данный троян.
      При проверке через Kaspersky Virus Removal Tool он не отображается, но при проверке через Kaspersky Free он есть.
      При попытке устранения через фри версию также вылетают ошибки перед перезагрузкой пк: browser.exe - Bad image (Состояние ошибки 0x0000022)
      CollectionLog-2024.09.10-22.37.zip
    • Zhuraulik
      От Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip

×
×
  • Создать...