UDS.Trojan Multigeneric и UDS Trojan Shelm, помогите!

[parnishka 0]

Вот такая проблема, при сканировании касперский обнаружил какие-то Luiminati в Media get 2 и в папке яндекса троян UDS Shelm, логи скоро сделаю

 

А и да, компьютер виснет намертво после удаления, приложения открывает через 20 минут а при выключении через кнопку (Пуск не работает, меню не открывается) он пишет что выключается а не выключается 

[parnishka 0]

Skan100924.txtДобрый вечер, проблема началась 2 недели назад(23.08.24) когда не получилось активировать виндоус через KMSauto
Была ошибка, One drive и офис активировал.
Но компьютер начал зависать, даже в нетребовательных играх он вылетал с BSoD Memory management, и вот при сканировании нашёл вирусы выше и ещё какие-то luminati в Media get 2.
Сканировав ССД через кмд писало OK.
Логи сделать не дает, логи каспера сейчас прикреплю

[Sandor 1 284]

Здравствуйте!

 

5 минут назад, parnishka сказал:

Логи сделать не дает

Как именно не даёт? Есть ошибка?

Пробуйте собрать логи в безопасном режиме.

[parnishka 0]

1 минуту назад, Sandor сказал:

Здравствуйте!

 

Как именно не даёт? Есть ошибка?

Пробуйте собрать логи в безопасном режиме.

При попытке BSoD, в безопасном режиме так-же

[Sandor 1 284]

Сфотографируйте хотя бы этот BSOD и прикрепите.

Пробуйте собрать такие логи:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[parnishka 0]

Только что, Sandor сказал:

Сфотографируйте хотя бы этот BSOD и прикрепите.

 

С телефона сделать, ладно я попробую сейчас там зарегистрироваться.

[Sandor 1 284]

Полностью цитировать предыдущее сообщение не нужно. Пишите в нижнем поле быстрого ответа.

 

Про какую регистрацию идёт речь? Нигде регистрироваться не нужно, просто скачайте необходимое.

[Sandor 1 284]

@parnishka, сейчас мы обсуждаем тот же компьютер?

[parnishka 0]

Регистрация тут(На пк зарегистрирован а на телефоне нет, и мне удобней сделать фото на телефоне и отправить с него)

11.09.2024 в 16:28, Sandor сказал:

тот же компьютер?

Да, но касперский удалял найденные вирусы. а они всё опять и опять, я переоформил с новой информацией

Нашёл майнер в UDS Multigeneric

[thyrex 1 408]

Логи Farbar пробовали сделать?

[parnishka 0]

Пробовал, получилось собрать только AVZ

avz_log.txt

 

Получилось собрать и FRST логи, ура!

Addition.txt FRST.txt

[thyrex 1 408]

4 часа назад, parnishka сказал:

Получилось собрать и FRST логи

Окончания создания лога Addition.txt  не дождались.

 

4 часа назад, parnishka сказал:

получилось собрать только AVZ

если бы внимательно читали информацию по ссылке на правила,то увидели бы, что нам нужно совершенно другое.

 

 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
File: C:\Users\Natasha\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_pcseaepic_1_3] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_mihoyo_1_0] => [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2709315164-1586842222-318378786-1002\...\Run: [movavi_videoconverter_agent] => C:/Users/Natasha/AppData/Roaming\Movavi Video Converter 23\ConverterAgent.exe (Нет файла)
HKU\S-1-5-21-2709315164-1586842222-318378786-1002\...\Run: [EpicGamesLauncher] => "D:\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe" -silent -launchcontext=boot (Нет файла)
HKU\S-1-5-21-2709315164-1586842222-318378786-1002\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
HKU\S-1-5-21-2709315164-1586842222-318378786-1002\...\Run: [electron.app.Sirus Launcher] => C:\Users\Natasha\AppData\Local\Programs\sirus-open-launcher\Sirus Launcher.exe (Нет файла)
HKU\S-1-5-21-2709315164-1586842222-318378786-1002\...\Run: [VoicemodV3] => "D:\Voicemod V3\Voicemod.exe" (Нет файла)
HKU\S-1-5-21-2709315164-1586842222-318378786-1002\...\Run: [WallpaperEngine] => "D:\Wallpaper Engine\wallpaper64.exe" -silent (Нет файла)
HKU\S-1-5-21-2709315164-1586842222-318378786-1002\...\Winlogon: [Shell] %comspec% <==== ВНИМАНИЕ
HKU\S-1-5-21-2709315164-1586842222-318378786-1002\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Natasha\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Natasha\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== ВНИМАНИЕ
Startup: C:\Users\Natasha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Counter-Strike Global Offensive.lnk [2023-01-17]
ShortcutTarget: Counter-Strike Global Offensive.lnk -> D:\Counter-Strike Global Offensive\Counter-Strike Global Offensive.exe (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {7717DDF5-13D9-47E2-8F28-A01000E134FC} - System32\Tasks\dLAhojKtzftEgJ => C:\Windows\system32\rundll32.exe [89600 2024-07-17] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\GwwBbAdgofqU2\UUeIFuJmeJxBc.dll",#1 <==== ВНИМАНИЕ
Task: {56DB3CF0-4175-4950-A939-25C705AD62C2} - System32\Tasks\Opera GX scheduled Autoupdate 1703002324 => C:\Users\Natasha\AppData\Local\Programs\Opera GX\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {0AEAA8E5-64BE-429E-994F-20A6AC6FCDD3} - System32\Tasks\VmoGKQACPOesMKRFdxm2 => C:\Windows\system32\rundll32.exe [89600 2024-07-17] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\pzebRNbrUZyqC\ypfZCjZ.dll",#1 <==== ВНИМАНИЕ
Task: {8648DB13-2668-4309-8C83-71B25AAEE558} - System32\Tasks\wfMDsFExIyoawCI2 => C:\Windows\system32\rundll32.exe [89600 2024-07-17] (Microsoft Windows -> Microsoft Corporation) -> "C:\Program Files (x86)\xLAhsvAuU\UIumJB.dll",#1 <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
Edge StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m","hxxp://go.microsoft.com/fwlink/?LinkId=2134209&0x419"
Edge DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
Edge DefaultSearchKeyword: Default -> cdn
C:\Users\Natasha\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
C:\Users\Natasha\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ichhfdldoddmimpajkijflgkifkgeffg
C:\Users\Natasha\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\Natasha\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
S3 EpicOnlineServices; "C:\Program Files (x86)\Epic Games\Epic Online Services\service\EpicOnlineServicesHost.exe" [X]
S3 HnGService; "D:\MyGames\Heroes & Generals GC\hngservice.exe" [X]
S3 MozillaMaintenance; "C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe" [X]
S2 QMEmulatorService; "D:\Program Files\TxGameAssistant\AppMarket\QMEmulatorService.exe" [X]
2024-09-14 13:22 - 2023-04-29 10:25 - 000000000 ____D C:\Program Files (x86)\pzebRNbrUZyqC
2024-09-14 13:22 - 2023-04-29 10:25 - 000000000 ____D C:\Program Files (x86)\GwwBbAdgofqU2
2024-09-14 13:22 - 2023-04-29 10:23 - 000000000 ____D C:\Program Files (x86)\xLAhsvAuU
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

После скрипта удалите старые файлы FRST.txt, Addition.txt и сделайте новые, включив перед сканированием опцию 90 Days Files

[parnishka 0]

Вот

Addition.txt FRST.txt Fixlog.txt

[thyrex 1 408]

Не знаю, что и как Вы запускаете, но все, что скриптом удалено, в новых логах снова присутствует. А Addition.txt вообще забит нулевыми байтами почти полностью.

 

Загрузитесь в безопасном режиме, выполните предыдущий скрипт, соберите в этом же режиме новые FRST.txt, Addition.txt