Перейти к содержанию
Правила раздела

[РЕШЕНО] Не получается удалить вирус

webassasin123

Автор webassasin123
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано (изменено)
10 минут назад, safety сказал:

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.

 

KOMPUTER_2024-08-04_15-16-58_v4.99.0v x64.7z

 

Изменено пользователем webassasin123
  • Ответов 35
  • Создана
  • Последний ответ

Топ авторов темы

  • safety

    17

  • webassasin123

    16

  • thyrex

    2

  • andrew75

    1

Популярные дни

Топ авторов темы

Популярные дни

Изображения в теме

safety

safety

Опубликовано
Опубликовано

по расширенному видимо, что родительский процесс для Explorer с добавленными потоками, и который нагружает CPU

является pid 3100

и он засветился для Conhost.exe

pid 3100 C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

запускается он из службы:

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

 

Есть подозрением, что в системе активный руткит. И  нужен будет образ автозапуска из под Wnpe

safety

safety

Опубликовано
Опубликовано (изменено)

Как создать образ автозапуска из под Winpe.

 

Нужен будет файл Winpe&UVS.iso для создания загрузочной флэшки.

скачать актуальный диск W10uVS415

 

Как создать образ автозапуска из под Winpe&uVS

--------

Можно вести отчет по шагам:

скачали файл ISO

записали загрузочную флэшку

загружаемся с флэшки (для этого надо будет временно выставить в BIOS загрузку не с жесткого диска, а с флэшки)

создали образ автозапуска.

скопировали образ автозапуска на форум.

 

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Кстати, uVS смог считать хэш этого файла, возможно до его удаления чем то (потоки он внедрил в Explorer)

SHA1 -- 4005DAF3001250293F7808F9C9D0905A7908DAD7

 

https://www.virustotal.com/gui/file/88f036c5a7951b184f57f000d783e3478993ab9fb14eb4556a42aac349ad50a9

Kaspersky HEUR:Trojan.Win64.Reflo.pef

9 минут назад, webassasin123 сказал:

 А есть способ полегче? В данный момент у меня нету флешки

Скорее всего он восстанавливается при перезагрузки системы с помощью руткита. Руткит понятно, нам не виден из активной системы.

Если есть возможность прикрутить системный диск к чистому ПК и с него сделать образ автозапуска неактивной системы, тогда это будет проще, без создания загрузочного Winpe&uVS.

 

Возможно, можно и так:

Цитата

o Запуск uVS с командной строки без загрузки с диска для работы с неактивной системой.
1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
3. Выберите админскую учетную запись и введите для нее пароль.
4. Запустите start.exe/start_x64.exe из каталога uVS.
(!) Обычно система расположена на диске C или D.
Например: uVS лежит в каталоге c:\uvs (в командной строке это будет d:\uvs)
Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
1. d:
2. cd d:\uvs
3. start_x64.exe
5. Выберите каталог Windows (обычно d:\Windows и он автоматически выбран).

 

Изменено пользователем safety
webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано

@safety умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

safety

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, webassasin123 сказал:

умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

Это нетривиальное заражение. И соответственно нетривиальная задача, с которыми нам иногда приходится сталкиваться в жизни.

Но подумаем, как упростить задачу. В любом случае нужен будет загрузочный диск с антивирусом. Можете "пожить" некоторое время с этой проблемой, но нужно будет на чистом ПК создать загрузочный диск KRD, и просканировать ваш системный диск с его помощью, но это может решить проблему в том случае, если KRD задетектирует источник в системе, который создает и скрывает данный троян.

https://www.kaspersky.ru/downloads/free-rescue-disk

Изменено пользователем safety
webassasin123

webassasin123

Опубликовано
  • Автор
Опубликовано

@safety одним словом через uvs уже нету смысла ничго проверять, ну выбрал я каталог, оба даже, пишет что не обнаружил систему. Сейчас скачаю КРД

safety

safety

Опубликовано
Опубликовано (изменено)
9 минут назад, webassasin123 сказал:

ну выбрал я каталог, оба даже

Здесь надо подробнее расписать что вы сделали.

Так понимаю, что зашли в режим командной строки.

После запуска uVS вам надо выбрать только один каталог с windows. Если он лежит на диске C, значит находим каталог Windows на диске C и выбираем его. Если он лежит в текущей ситуации на диске D, значит выбираем каталог Windows с диска D.

и далее...

 

 

 

Можно так же из нормального режима системы выполнить такой скрипт.

  

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
apply
restart

после перезагрузки добавить лог выполнения скрипта, чтобы проверить, сможет ли uVS удалить запись службы в реестре, или она защищена от удаления.

+

создать новый образ для проверки.

--------

Я предполагаю, что либо защищена, либо удалится, но после перезагрузки будет восстановлена.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Возможно, что ключ был удален.

 

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

новый образ  сейчас проверю.

safety

safety

Опубликовано
Опубликовано (изменено)

в новом образе он опять воскрес как феникс, причем еще живой сейчас.

C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

с той же службой,

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

и

именем

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

 

Цитата

Полное имя                  C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
Имя файла                   LHHSGWKTKATL.EXE
Тек. статус                 ?ВИРУС? сервис в автозапуске
                            
www.virustotal.com          2024-06-29 12:38 [2024-06-29]
K7AntiVirus                 Trojan ( 005af85d1 )
Symantec                    Trojan.Coinminer!g3
ESET-NOD32                  a variant of Win64/Kryptik.EDF
Avast                       Win64:Evo-gen [Trj]
Kaspersky                   HEUR:Trojan.Win64.Reflo.pef
BitDefender                 Gen:Variant.Tedy.527225
Emsisoft                    Gen:Variant.Tedy.527225 (B)
Microsoft                   Trojan:Win64/Coinminer.RB!MTB
                            
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     667A22EC50D000
Linker                      14.0
Размер                      5261312 байт
Создан                      04.08.2024 в 15:49:24
Изменен                     04.08.2024 в 16:46:27
                            
TimeStamp                   25.06.2024 в 01:52:44
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                            
Версия файла                3,0,3,0
Описание                    VLC media player
Производитель               VideoLAN
                            
Доп. информация             на момент обновления списка
pid = 2104                  NT AUTHORITY\СИСТЕМА
Процесс создан              16:46:48 [2024.08.04]
Процесс завершен            16:46:53 [2024.08.04]
CmdLine                     
parentid = 776              C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        4005DAF3001250293F7808F9C9D0905A7908DAD7
MD5                         2F058E9F9746516FAA8E0578D5E36822
                            
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath
ImagePath                   C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe
QHRAJGDI                    тип запуска: Авто (2)
Изменен                     04.08.2024 в 16:46:27


                            

 

------------

пробуйте лечить систему с KRD, если не поможет, тогда приступим к самому сложному методу с uVS

Это ключи, которые создаются при его запуске.

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\Start
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\Start
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\ImagePath
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\Start
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT\DontOfferThroughWUAU

 

Изменено пользователем safety
thyrex

thyrex

Опубликовано
Опубликовано

Если не против, я продолжу.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3363424655-1899317289-3417850717-1002\...\Run: [YandexBrowserAutoLaunch_F804F8B1579483BBAB01F3C583FF9B7E] => "C:\Users\Eustap der Schneider\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\taskkill.exe
IFEO\upfc.exe: [Debugger] C:\Windows\System32\taskkill.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1E82EA54-6430-47FA-BCD4-D879D5FF3F2F} - System32\Tasks\Opera GX scheduled Autoupdate 1720749068 => C:\Users\Eustap der Schneider\AppData\Local\Programs\Opera GX\autoupdate\opera_autoupdate.exe  --scheduledtask --bypasslauncher $(Arg0) (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
S2 QHRAJGDI; C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe [5261312 2024-08-04] (VideoLAN) [Файл не подписан] <==== ВНИМАНИЕ
S2 OutbyteDUHelper; "C:\Program Files (x86)\Outbyte\Driver Updater\ServiceHelper.Agent.exe" [X]
2024-08-03 22:21 - 2024-08-04 01:48 - 000000000 ____D C:\ProgramData\nalfdgwigwyg
FirewallRules: [Block Cortana ActionUriServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriServer.exe => Нет файла
FirewallRules: [Block Cortana PlacesServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersShareTargetApp.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersShareTargetApp.exe => Нет файла
FirewallRules: [Block Cortana SearchUI.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe => Нет файла
FirewallRules: [{B5930E5C-1983-4238-82CB-1A0CE49E4EF9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{0FC224F2-50B7-4FD7-B68D-CCA30A2CC332}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_gminer\kryptex_gminer.exe => Нет файла
FirewallRules: [{9D476C1B-8726-41BB-B888-D484DEAEAEA4}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_lolMiner\kryptex_lolMiner.exe => Нет файла
FirewallRules: [{580267B8-3E6E-4C8C-9AFC-D96DC4A703D5}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_nbminer\kryptex_nbminer.exe => Нет файла
FirewallRules: [{71BF3199-54F5-4D0F-9891-415DF567A999}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_SRBMiner-MULTI\kryptex_SRBMiner-MULTI.exe => Нет файла
FirewallRules: [{2ED30E2C-623C-41FD-892A-5B496732A344}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_t-rex\kryptex_t-rex.exe => Нет файла
FirewallRules: [{AF49A7E5-917C-4969-A506-73FF41BDCF6F}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{CE9403D7-9D4A-4151-8828-D9B683EA99D1}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{671ADFDB-AD52-4404-8B61-0B4349CB58B5}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{C3D7EF15-1EBA-401B-BB62-7ACBA0282639}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{EC232B62-F11E-44FF-9F99-F1A50CFD35CE}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{F775667B-70C0-489D-937B-20B0CB86656C}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{BB077975-0483-4035-8FFF-7D3008CAA08F}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{17C73DDA-5FF0-414B-BDBA-7A8B445CBDBF}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{48473E39-C0D2-49E8-A160-099ADC9FD7B2}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{397B4F12-7DEB-4937-AF35-D0822C64BF8E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{EE9FB36F-5FD0-46E1-9C64-0437E51CB97E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{21405DDE-0173-47B3-BCF6-AB4F37ADFE2E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{81965CD8-68F0-47F5-A553-190A82F505CC}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{B86A0E61-4162-4501-BA86-64962DA4DECE}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • noname543
      [РЕШЕНО] TROJAN.WIN32.GENERIC Вирус не получается удалить
      Автор noname543
      Всем привет! Вчера на просторах githab искал готовый обфускатор и случайно скачал вирус. После запуска скачанного .sln для visual studio полностью пропал доступ ко всем файлам системы и управления пк, панель пуск не работала, Windows defender выключился. Kaspersky Total Security определил активное заражение только спустя минут 5, после этого он попытался вылечить пк перезапуском. После перезапуска всё заработало, вот только система ведёт себя странно. При перезагрузке системы пк ещё минут 5 продолжает работать, а также вылазят ошибки которые сразу же закрываются. Далее я нашёл проблему и файлы с вирусом, при выборочной проверки Kaspersky не видит вирусов, но через некоторое время определяет их и пытается удалить перезапуском, но это не помогает. Так было уже раз 8 он удаляет .vbs файлы + .bat файлы, но вскоре они опять появляются. Прикрепляю скриншоты со всем тем что смог сам найти. Только вот как от этого всего избавиться я не понимаю. Также внутри b.bat файла был скрипт.







    • iaoioa
      вирус найден, но удалить его не получается
      Автор iaoioa
      Всем день добрый. Не понимаю, что делать: обнаружено несколько лишних файлов после сканирования, но как их удалить неясно. Если я захожу по пути, который указал антивирус, то там этих файлов у меня нет, даже если показать скрытые элементы. Буду рад любой помощи
    • fodymoran
      [РЕШЕНО] не получается удалить/обезвредить MEM:Trojan.Win32.SEPEH.gen
      Автор fodymoran
      Добрый вечер! Помогите, пожалуйста, удалить/обезвредить данный троян.
      При проверке через Kaspersky Virus Removal Tool он не отображается, но при проверке через Kaspersky Free он есть.
      При попытке устранения через фри версию также вылетают ошибки перед перезагрузкой пк: browser.exe - Bad image (Состояние ошибки 0x0000022)
      CollectionLog-2024.09.10-22.37.zip
    • SergioLDR
      [РЕШЕНО] Не получается удалить троян Wemaeye A
      Автор SergioLDR
      Здравствуйте, очень много попыток совершил, но троян Wemaeye А не удаляется, и похоже он создает какие-то файл, которые не идны, если пройти по пути, указываемому защитником виндоус. Осуществил проверку Farbar recovery scan, помогите пожалуйста
    • sneg_LA
      [РЕШЕНО] Проверила мой комп на вирусы и обнаружила вот такой вирус с названием NET.MALWARE.URL. удалить не получается.
      Автор sneg_LA
      Добрый день. Скачивала торрент файл и поймала какую - то ерунду которая значительно снизила работоспособность ноутбука. Появилась эта проблема  дня 2 назад. Буду признательна, если вы сможете помочь избавиться от этого.
      Логи прекрипила
      Desktop.zip
      HiJackThis.log
×
×
  • Создать...