Перейти к содержанию
Правила раздела

[РЕШЕНО] Не получается удалить вирус

webassasin123

Автор webassasin123
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано (изменено)
10 минут назад, safety сказал:

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.

 

KOMPUTER_2024-08-04_15-16-58_v4.99.0v x64.7z

 

Изменено пользователем webassasin123
  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    17

  • webassasin123

    16

  • thyrex

    2

  • andrew75

    1

Топ авторов темы

Изображения в теме

safety

safety

Опубликовано
Опубликовано

по расширенному видимо, что родительский процесс для Explorer с добавленными потоками, и который нагружает CPU

является pid 3100

и он засветился для Conhost.exe

pid 3100 C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

запускается он из службы:

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

 

Есть подозрением, что в системе активный руткит. И  нужен будет образ автозапуска из под Wnpe

safety

safety

Опубликовано
Опубликовано (изменено)

Как создать образ автозапуска из под Winpe.

 

Нужен будет файл Winpe&UVS.iso для создания загрузочной флэшки.

скачать актуальный диск W10uVS415

 

Как создать образ автозапуска из под Winpe&uVS

--------

Можно вести отчет по шагам:

скачали файл ISO

записали загрузочную флэшку

загружаемся с флэшки (для этого надо будет временно выставить в BIOS загрузку не с жесткого диска, а с флэшки)

создали образ автозапуска.

скопировали образ автозапуска на форум.

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Кстати, uVS смог считать хэш этого файла, возможно до его удаления чем то (потоки он внедрил в Explorer)

SHA1 -- 4005DAF3001250293F7808F9C9D0905A7908DAD7

 

https://www.virustotal.com/gui/file/88f036c5a7951b184f57f000d783e3478993ab9fb14eb4556a42aac349ad50a9

Kaspersky HEUR:Trojan.Win64.Reflo.pef

9 минут назад, webassasin123 сказал:

 А есть способ полегче? В данный момент у меня нету флешки

Скорее всего он восстанавливается при перезагрузки системы с помощью руткита. Руткит понятно, нам не виден из активной системы.

Если есть возможность прикрутить системный диск к чистому ПК и с него сделать образ автозапуска неактивной системы, тогда это будет проще, без создания загрузочного Winpe&uVS.

 

Возможно, можно и так:

Цитата

o Запуск uVS с командной строки без загрузки с диска для работы с неактивной системой.
1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
3. Выберите админскую учетную запись и введите для нее пароль.
4. Запустите start.exe/start_x64.exe из каталога uVS.
(!) Обычно система расположена на диске C или D.
Например: uVS лежит в каталоге c:\uvs (в командной строке это будет d:\uvs)
Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
1. d:
2. cd d:\uvs
3. start_x64.exe
5. Выберите каталог Windows (обычно d:\Windows и он автоматически выбран).

 

Изменено пользователем safety
webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано

@safety умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

safety

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, webassasin123 сказал:

умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

Это нетривиальное заражение. И соответственно нетривиальная задача, с которыми нам иногда приходится сталкиваться в жизни.

Но подумаем, как упростить задачу. В любом случае нужен будет загрузочный диск с антивирусом. Можете "пожить" некоторое время с этой проблемой, но нужно будет на чистом ПК создать загрузочный диск KRD, и просканировать ваш системный диск с его помощью, но это может решить проблему в том случае, если KRD задетектирует источник в системе, который создает и скрывает данный троян.

https://www.kaspersky.ru/downloads/free-rescue-disk

Изменено пользователем safety
webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано

@safety одним словом через uvs уже нету смысла ничго проверять, ну выбрал я каталог, оба даже, пишет что не обнаружил систему. Сейчас скачаю КРД

safety

safety

Опубликовано
Опубликовано (изменено)
9 минут назад, webassasin123 сказал:

ну выбрал я каталог, оба даже

Здесь надо подробнее расписать что вы сделали.

Так понимаю, что зашли в режим командной строки.

После запуска uVS вам надо выбрать только один каталог с windows. Если он лежит на диске C, значит находим каталог Windows на диске C и выбираем его. Если он лежит в текущей ситуации на диске D, значит выбираем каталог Windows с диска D.

и далее...

 

 

 

Можно так же из нормального режима системы выполнить такой скрипт.

  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
apply
restart

после перезагрузки добавить лог выполнения скрипта, чтобы проверить, сможет ли uVS удалить запись службы в реестре, или она защищена от удаления.

+

создать новый образ для проверки.

--------

Я предполагаю, что либо защищена, либо удалится, но после перезагрузки будет восстановлена.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Возможно, что ключ был удален.

 

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

новый образ  сейчас проверю.

safety

safety

Опубликовано
Опубликовано (изменено)

в новом образе он опять воскрес как феникс, причем еще живой сейчас.

C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

с той же службой,

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

и

именем

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

 

Цитата

Полное имя                  C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
Имя файла                   LHHSGWKTKATL.EXE
Тек. статус                 ?ВИРУС? сервис в автозапуске
                            
www.virustotal.com          2024-06-29 12:38 [2024-06-29]
K7AntiVirus                 Trojan ( 005af85d1 )
Symantec                    Trojan.Coinminer!g3
ESET-NOD32                  a variant of Win64/Kryptik.EDF
Avast                       Win64:Evo-gen [Trj]
Kaspersky                   HEUR:Trojan.Win64.Reflo.pef
BitDefender                 Gen:Variant.Tedy.527225
Emsisoft                    Gen:Variant.Tedy.527225 (B)
Microsoft                   Trojan:Win64/Coinminer.RB!MTB
                            
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     667A22EC50D000
Linker                      14.0
Размер                      5261312 байт
Создан                      04.08.2024 в 15:49:24
Изменен                     04.08.2024 в 16:46:27
                            
TimeStamp                   25.06.2024 в 01:52:44
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Версия файла                3,0,3,0
Описание                    VLC media player
Производитель               VideoLAN
                            
Доп. информация             на момент обновления списка
pid = 2104                  NT AUTHORITY\СИСТЕМА
Процесс создан              16:46:48 [2024.08.04]
Процесс завершен            16:46:53 [2024.08.04]
CmdLine                     
parentid = 776              C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        4005DAF3001250293F7808F9C9D0905A7908DAD7
MD5                         2F058E9F9746516FAA8E0578D5E36822
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath
ImagePath                   C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe
QHRAJGDI                    тип запуска: Авто (2)
Изменен                     04.08.2024 в 16:46:27


                            

 

------------

пробуйте лечить систему с KRD, если не поможет, тогда приступим к самому сложному методу с uVS

Это ключи, которые создаются при его запуске.

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\Start
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\Start
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\Start
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT\DontOfferThroughWUAU

 

Изменено пользователем safety
thyrex

thyrex

Опубликовано
Опубликовано

Если не против, я продолжу.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3363424655-1899317289-3417850717-1002\...\Run: [YandexBrowserAutoLaunch_F804F8B1579483BBAB01F3C583FF9B7E] => "C:\Users\Eustap der Schneider\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\taskkill.exe
IFEO\upfc.exe: [Debugger] C:\Windows\System32\taskkill.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1E82EA54-6430-47FA-BCD4-D879D5FF3F2F} - System32\Tasks\Opera GX scheduled Autoupdate 1720749068 => C:\Users\Eustap der Schneider\AppData\Local\Programs\Opera GX\autoupdate\opera_autoupdate.exe  --scheduledtask --bypasslauncher $(Arg0) (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
S2 QHRAJGDI; C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe [5261312 2024-08-04] (VideoLAN) [Файл не подписан] <==== ВНИМАНИЕ
S2 OutbyteDUHelper; "C:\Program Files (x86)\Outbyte\Driver Updater\ServiceHelper.Agent.exe" [X]
2024-08-03 22:21 - 2024-08-04 01:48 - 000000000 ____D C:\ProgramData\nalfdgwigwyg
FirewallRules: [Block Cortana ActionUriServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriServer.exe => Нет файла
FirewallRules: [Block Cortana PlacesServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersShareTargetApp.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersShareTargetApp.exe => Нет файла
FirewallRules: [Block Cortana SearchUI.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe => Нет файла
FirewallRules: [{B5930E5C-1983-4238-82CB-1A0CE49E4EF9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{0FC224F2-50B7-4FD7-B68D-CCA30A2CC332}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_gminer\kryptex_gminer.exe => Нет файла
FirewallRules: [{9D476C1B-8726-41BB-B888-D484DEAEAEA4}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_lolMiner\kryptex_lolMiner.exe => Нет файла
FirewallRules: [{580267B8-3E6E-4C8C-9AFC-D96DC4A703D5}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_nbminer\kryptex_nbminer.exe => Нет файла
FirewallRules: [{71BF3199-54F5-4D0F-9891-415DF567A999}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_SRBMiner-MULTI\kryptex_SRBMiner-MULTI.exe => Нет файла
FirewallRules: [{2ED30E2C-623C-41FD-892A-5B496732A344}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_t-rex\kryptex_t-rex.exe => Нет файла
FirewallRules: [{AF49A7E5-917C-4969-A506-73FF41BDCF6F}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{CE9403D7-9D4A-4151-8828-D9B683EA99D1}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{671ADFDB-AD52-4404-8B61-0B4349CB58B5}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{C3D7EF15-1EBA-401B-BB62-7ACBA0282639}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{EC232B62-F11E-44FF-9F99-F1A50CFD35CE}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{F775667B-70C0-489D-937B-20B0CB86656C}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{BB077975-0483-4035-8FFF-7D3008CAA08F}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{17C73DDA-5FF0-414B-BDBA-7A8B445CBDBF}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{48473E39-C0D2-49E8-A160-099ADC9FD7B2}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{397B4F12-7DEB-4937-AF35-D0822C64BF8E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{EE9FB36F-5FD0-46E1-9C64-0437E51CB97E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{21405DDE-0173-47B3-BCF6-AB4F37ADFE2E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{81965CD8-68F0-47F5-A553-190A82F505CC}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{B86A0E61-4162-4501-BA86-64962DA4DECE}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 21_bibon
      Dr.Web cureIt не смог удалить NET:MINERS:URL
      Автор 21_bibon
      Здравствуйте! помогите пожалуйста. Dr web не смог удалить NET:MINERS:URL по пути \net\1748\TCP\91.184.248.138-3333\Device\HarddiskVolume3\Windows\System32\dialer.exe
      CollectionLog-2025.12.09-00.37.zip 
    • 1ceman
      Два explorer.exe в ДЗ
      Автор 1ceman
      Доброго времени суток. Смотрю тут обсуждается тема "ДВУХ ПРОВОДНИКОВ". Я тоже имею такую же проблему. Схватил буквально недавно, где, - так и не понял. (подозрение на какое то обновление Windows)
      Как заметил: если запустить "Диспетчер учетных данных" и закрыть, потом уже не запустишь. Так же почти со всеми остальными параметрами системы. Панель управления тоже не открывается. И так до момента пока не закроешь проводник с меньшим размером в ДЗ. Второй экземпляр проводника в 5 раз меньше "оригинала" и с хвостом C:\Windows\explorer.exe /factory,{5BD95610-9434-43C2-886C-57852CC8A120} -Embedding
      Отсканировал FRST-ом, ничего подозрительного не нашел, кроме пары отключенных политик (брандмауэр и update windows). Пофиксил, пропала надпись бесящая, что вами управляет какая то компании или что-то в этом роде. Теперь могу включать-отключать брандмауэр (до этого не мог).
      Помогите поймать этого червя, сомневаюсь что microsoft прислал такое KB, иначе проблема имела бы массовый характер.
      PS Я продвинутый пользователь, просто так пропустить не мог так внимательно слежу за системой и не "запускаю все подряд" .
      Спасибо.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • usu
      Два проводника.
      Автор usu
      В Диспетчере задач и Приложений-мониторинге, два проводника "explorer.exe" и "Explorer.EXE" оба ведут к одном место расположению.
      "Explorer.EXE" Нагружает все свободные ресурсы компьютера пока не открыть Диспетчер задач или Приложение-мониторинг(с его неизменненым названием). Анти вирусы и детекторы не видят, но при закрытий вредносного "Explorer.EXE" через приложение мониторинг, он не открывается более 3 дней, а затем снова появляется. Так-же в "Process Hacker 2 "Explorer.EXE" имеет Username "NT AUTHORITY SYSTEM", а "explorer.exe" DEKSTOP.



    • heathern
      Помогите удалить вирус!!
      Автор heathern
      К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп)  но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(
      (Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество


    • Khisa
      Regedit запускается и сразу закрывается как и msi afterburner
      Автор Khisa
      Недавно украли аккаунт телеграмм, не смог восстановить и пришлось сбросить аккаунт, создал новый и сегодня заметил что выкинуло из аккаунта, смотрю непонятный сеанс на аккаунте. По приходу домой пытаюсь через компьютер зайти в телегу, замечаю что из компа не выкинуло и активный сеанс превратился якобы с моего компьютера, недавно и вконтакте взломали
      Помогите в чем проблем, думаю проблема в вирусам именно на компьютере(
      Regedit запускается и сразу закрывается как и msi afterburner
       
       
×
×
  • Создать...