[РЕШЕНО] Не получается удалить вирус

4 августа

10 минут назад, safety сказал:

Теперь нужен новый образ автозапуска в uVS, т.е. нужно вновь все это выполнить.

KOMPUTER_2024-08-04_15-16-58_v4.99.0v x64.7z

Изменено 4 августа пользователем webassasin123

4 августа

по расширенному видимо, что родительский процесс для Explorer с добавленными потоками, и который нагружает CPU

является pid 3100

и он засветился для Conhost.exe

pid 3100 C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

запускается он из службы:

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

Есть подозрением, что в системе активный руткит. И нужен будет образ автозапуска из под Wnpe

4 августа

@safety киньте инструкцию что мне стоит дальше сделать

4 августа

Как создать образ автозапуска из под Winpe.

Нужен будет файл Winpe&UVS.iso для создания загрузочной флэшки.

скачать актуальный диск W10uVS415

Как создать образ автозапуска из под Winpe&uVS

--------

Можно вести отчет по шагам:

скачали файл ISO

записали загрузочную флэшку

загружаемся с флэшки (для этого надо будет временно выставить в BIOS загрузку не с жесткого диска, а с флэшки)

создали образ автозапуска.

скопировали образ автозапуска на форум.

Изменено 4 августа пользователем safety

4 августа

@safety А есть способ полегче? В данный момент у меня нету флешки

4 августа

Кстати, uVS смог считать хэш этого файла, возможно до его удаления чем то (потоки он внедрил в Explorer)

SHA1 -- 4005DAF3001250293F7808F9C9D0905A7908DAD7

https://www.virustotal.com/gui/file/88f036c5a7951b184f57f000d783e3478993ab9fb14eb4556a42aac349ad50a9

Kaspersky HEUR:Trojan.Win64.Reflo.pef

9 минут назад, webassasin123 сказал:

А есть способ полегче? В данный момент у меня нету флешки

Скорее всего он восстанавливается при перезагрузки системы с помощью руткита. Руткит понятно, нам не виден из активной системы.

Если есть возможность прикрутить системный диск к чистому ПК и с него сделать образ автозапуска неактивной системы, тогда это будет проще, без создания загрузочного Winpe&uVS.

Возможно, можно и так:

Цитата

o Запуск uVS с командной строки без загрузки с диска для работы с неактивной системой.
1. Если у вас Windows 8 и старше, то запустите start.exe и нажмите кнопку "Перезагрузить систему в меню дополнительных параметров загрузки".
2. Далее в меню "Поиск и устранение неисправностей->Дополнительные параметры->Командная строка"
3. Выберите админскую учетную запись и введите для нее пароль.
4. Запустите start.exe/start_x64.exe из каталога uVS.
(!) Обычно система расположена на диске C или D.
Например: uVS лежит в каталоге c:\uvs (в командной строке это будет d:\uvs)
Для запуска uVS необходимо последовательно набрать 3 команды, завершая каждую нажатием клавиши Enter.
1. d:
2. cd d:\uvs
3. start_x64.exe
5. Выберите каталог Windows (обычно d:\Windows и он автоматически выбран).

Изменено 4 августа пользователем safety

4 августа

@safety умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

4 августа

7 минут назад, webassasin123 сказал:

умное рассуждение вот только, удаляя даже вирус который я спалил под странным екзешником, если его удалить он восстанавливается, этот файл и как удалить и обезвредить это я понятие не имею

Это нетривиальное заражение. И соответственно нетривиальная задача, с которыми нам иногда приходится сталкиваться в жизни.

Но подумаем, как упростить задачу. В любом случае нужен будет загрузочный диск с антивирусом. Можете "пожить" некоторое время с этой проблемой, но нужно будет на чистом ПК создать загрузочный диск KRD, и просканировать ваш системный диск с его помощью, но это может решить проблему в том случае, если KRD задетектирует источник в системе, который создает и скрывает данный троян.

https://www.kaspersky.ru/downloads/free-rescue-disk

Изменено 4 августа пользователем safety

4 августа

@safety одним словом через uvs уже нету смысла ничго проверять, ну выбрал я каталог, оба даже, пишет что не обнаружил систему. Сейчас скачаю КРД

4 августа

9 минут назад, webassasin123 сказал:

ну выбрал я каталог, оба даже

Здесь надо подробнее расписать что вы сделали.

Так понимаю, что зашли в режим командной строки.

После запуска uVS вам надо выбрать только один каталог с windows. Если он лежит на диске C, значит находим каталог Windows на диске C и выбираем его. Если он лежит в текущей ситуации на диске D, значит выбираем каталог Windows с диска D.

и далее...

Можно так же из нормального режима системы выполнить такой скрипт.

;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
apply
restart

после перезагрузки добавить лог выполнения скрипта, чтобы проверить, сможет ли uVS удалить запись службы в реестре, или она защищена от удаления.

+

создать новый образ для проверки.

--------

Я предполагаю, что либо защищена, либо удалится, но после перезагрузки будет восстановлена.

Изменено 4 августа пользователем safety

4 августа

2024-08-04_16-46-21_log.txt@safety

KOMPUTER_2024-08-04_16-48-20_v4.99.0v x64.7z

4 августа

Возможно, что ключ был удален.

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

новый образ сейчас проверю.

4 августа

@safetyя жду ответа тогда

4 августа

в новом образе он опять воскрес как феникс, причем еще живой сейчас.

C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE

с той же службой,

HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

и

именем

C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe

Цитата

Полное имя                  C:\PROGRAMDATA\NALFDGWIGWYG\LHHSGWKTKATL.EXE
Имя файла                   LHHSGWKTKATL.EXE
Тек. статус                 ?ВИРУС? сервис в автозапуске

www.virustotal.com          2024-06-29 12:38 [2024-06-29]
K7AntiVirus                 Trojan ( 005af85d1 )
Symantec                    Trojan.Coinminer!g3
ESET-NOD32                  a variant of Win64/Kryptik.EDF
Avast                       Win64:Evo-gen [Trj]
Kaspersky                   HEUR:Trojan.Win64.Reflo.pef
BitDefender                 Gen:Variant.Tedy.527225
Emsisoft                    Gen:Variant.Tedy.527225 (B)
Microsoft                   Trojan:Win64/Coinminer.RB!MTB

Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     667A22EC50D000
Linker                      14.0
Размер                      5261312 байт
Создан                      04.08.2024 в 15:49:24
Изменен                     04.08.2024 в 16:46:27

TimeStamp                   25.06.2024 в 01:52:44
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить

Версия файла                3,0,3,0
Описание                    VLC media player
Производитель               VideoLAN

Доп. информация             на момент обновления списка
pid = 2104                  NT AUTHORITY\СИСТЕМА
Процесс создан              16:46:48 [2024.08.04]
Процесс завершен            16:46:53 [2024.08.04]
CmdLine
parentid = 776              C:\WINDOWS\SYSTEM32\SERVICES.EXE
SHA1                        4005DAF3001250293F7808F9C9D0905A7908DAD7
MD5                         2F058E9F9746516FAA8E0578D5E36822

Ссылки на объект
Ссылка                      HKLM\System\CurrentControlSet\Services\QHRAJGDI\ImagePath
ImagePath                   C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe
QHRAJGDI                    тип запуска: Авто (2)
Изменен                     04.08.2024 в 16:46:27

------------

пробуйте лечить систему с KRD, если не поможет, тогда приступим к самому сложному методу с uVS

Это ключи, которые создаются при его запуске.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\ImagePath

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\QHRAJGDI\Start

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\ImagePath

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinRing0_1_2_0\Start

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\ImagePath

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\QHRAJGDI\Start

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT\DontOfferThroughWUAU

Изменено 4 августа пользователем safety

4 августа

Если не против, я продолжу.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3363424655-1899317289-3417850717-1002\...\Run: [YandexBrowserAutoLaunch_F804F8B1579483BBAB01F3C583FF9B7E] => "C:\Users\Eustap der Schneider\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\System32\taskkill.exe
IFEO\upfc.exe: [Debugger] C:\Windows\System32\taskkill.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1E82EA54-6430-47FA-BCD4-D879D5FF3F2F} - System32\Tasks\Opera GX scheduled Autoupdate 1720749068 => C:\Users\Eustap der Schneider\AppData\Local\Programs\Opera GX\autoupdate\opera_autoupdate.exe  --scheduledtask --bypasslauncher $(Arg0) (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [Нет файла]
S2 QHRAJGDI; C:\ProgramData\nalfdgwigwyg\lhhsgwktkatl.exe [5261312 2024-08-04] (VideoLAN) [Файл не подписан] <==== ВНИМАНИЕ
S2 OutbyteDUHelper; "C:\Program Files (x86)\Outbyte\Driver Updater\ServiceHelper.Agent.exe" [X]
2024-08-03 22:21 - 2024-08-04 01:48 - 000000000 ____D C:\ProgramData\nalfdgwigwyg
FirewallRules: [Block Cortana ActionUriServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\ActionUriServer.exe => Нет файла
FirewallRules: [Block Cortana PlacesServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\PlacesServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersServer.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersServer.exe => Нет файла
FirewallRules: [Block Cortana RemindersShareTargetApp.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\RemindersShareTargetApp.exe => Нет файла
FirewallRules: [Block Cortana SearchUI.exe] => (Block) C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe => Нет файла
FirewallRules: [{B5930E5C-1983-4238-82CB-1A0CE49E4EF9}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{0FC224F2-50B7-4FD7-B68D-CCA30A2CC332}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_gminer\kryptex_gminer.exe => Нет файла
FirewallRules: [{9D476C1B-8726-41BB-B888-D484DEAEAEA4}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_lolMiner\kryptex_lolMiner.exe => Нет файла
FirewallRules: [{580267B8-3E6E-4C8C-9AFC-D96DC4A703D5}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_nbminer\kryptex_nbminer.exe => Нет файла
FirewallRules: [{71BF3199-54F5-4D0F-9891-415DF567A999}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_SRBMiner-MULTI\kryptex_SRBMiner-MULTI.exe => Нет файла
FirewallRules: [{2ED30E2C-623C-41FD-892A-5B496732A344}] => (Block) C:\Users\Eustap der Schneider\AppData\Roaming\Kryptex\miners\kryptex_t-rex\kryptex_t-rex.exe => Нет файла
FirewallRules: [{AF49A7E5-917C-4969-A506-73FF41BDCF6F}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{CE9403D7-9D4A-4151-8828-D9B683EA99D1}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{671ADFDB-AD52-4404-8B61-0B4349CB58B5}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{C3D7EF15-1EBA-401B-BB62-7ACBA0282639}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{EC232B62-F11E-44FF-9F99-F1A50CFD35CE}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{F775667B-70C0-489D-937B-20B0CB86656C}] => (Allow) C:\Games\Counter-Strike Global Offensive\hl.exe => Нет файла
FirewallRules: [{BB077975-0483-4035-8FFF-7D3008CAA08F}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{17C73DDA-5FF0-414B-BDBA-7A8B445CBDBF}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{48473E39-C0D2-49E8-A160-099ADC9FD7B2}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{397B4F12-7DEB-4937-AF35-D0822C64BF8E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\Run_CS2.exe => Нет файла
FirewallRules: [{EE9FB36F-5FD0-46E1-9C64-0437E51CB97E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{21405DDE-0173-47B3-BCF6-AB4F37ADFE2E}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\7launcher\tools\aria2\aria2c.exe => Нет файла
FirewallRules: [{81965CD8-68F0-47F5-A553-190A82F505CC}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
FirewallRules: [{B86A0E61-4162-4501-BA86-64962DA4DECE}] => (Allow) C:\Program Files\Counter-Strike Global Offensive\csgo.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

[РЕШЕНО] Не получается удалить вирус

Рекомендуемые сообщения

webassasin123 0

Ссылка на сообщение

Поделиться на другие сайты

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Posted Images

safety 130

Ссылка на сообщение

Поделиться на другие сайты

webassasin123 0

Ссылка на сообщение

Поделиться на другие сайты

safety 130

Ссылка на сообщение

Поделиться на другие сайты

webassasin123 0

Ссылка на сообщение

Поделиться на другие сайты

safety 130

Ссылка на сообщение

Поделиться на другие сайты

webassasin123 0

Ссылка на сообщение

Поделиться на другие сайты

safety 130

Ссылка на сообщение

Поделиться на другие сайты

webassasin123 0

Ссылка на сообщение

Поделиться на другие сайты

safety 130

Ссылка на сообщение

Поделиться на другие сайты

webassasin123 0

Ссылка на сообщение

Поделиться на другие сайты

safety 130

Ссылка на сообщение

Поделиться на другие сайты

webassasin123 0

Ссылка на сообщение

Поделиться на другие сайты

safety 130

Ссылка на сообщение

Поделиться на другие сайты

thyrex 1 418

Ссылка на сообщение

Поделиться на другие сайты

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum