Перейти к содержанию

[РЕШЕНО] Скрытый восстанавливающийся вирус на Windows 10


Рекомендуемые сообщения

где-то на просторах интернета подцепил вирус UDS:DangerousObject.Multi.Generic, он лежит на диске С: exe'шным файлом (updater.exe), который после удаления восстанавливается после перезагрузки системы. каждые несколько дней мне прилетает 3 уведа от касперского (скриншоты прикрепил) о том, что этот вирусный файл удалён (скорее всего потому что появляется какая-то подозрительная активность), но потом он, опять же, восстанавливается, и так по кругу. и полная проверка через выполнить –> mrt, и полная проверка через касперского говорит, что комп чист (Kaspersky Removal Tool тоже использовал, там то же самое), да и сам этот файл вроде ничего плохого с моим пк не делает, но он меня всё же напрягает. мне посоветовали проверить пк kaspersky rescue disk, но при попытке запуска этой утилиты с флешки через boot menu, у меня просто появляется чёрный экран с точкой и нижним подчёркиванием, хотя всё делал по инструкциям. думал, может система что-то подгружает, но даже спустя 15-20 минут результат тот же: компьютер ни на что не реагирует, и приходится перезагружать его кнопкой включения. подскажите, что можно сделать? модель компьютера (ноутбука): SKU: MSI Modern 15 B12M-210RU-BB51235U8GXXDX11S

image.thumb.png.89a22606cd9f3c9830a3864b6778be57.pngimage.thumb.png.28fac072be15a7fb45e99f7bedbf1322.pngimage.thumb.png.4825b56cd73920ff471b1a6546602c18.png

CollectionLog-2024.09.21-15.59.zip

Ссылка на сообщение
Поделиться на другие сайты

+ добавьте образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Protect\Boot\Runtime.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Edge\System\update.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Edge\System\update.exe','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Protect\Boot\Runtime.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Sysmain\WsSwapAssessmentUpdateTask');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefresherTask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, thyrex сказал:

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

после запуска первого скрипта касперский удалил avz.exe (якобы нашёл троян), компьютер не перезагрузился
висит вот это сообщение

 

думаю, нужно было приостановить защиту?

теперь придется переустанавливать этот avz?

image.png

Изменено пользователем Ilyambuss
Ссылка на сообщение
Поделиться на другие сайты

В правилах ясно написано, что на время лечения антивирусное решение нужно отключать. Да и наверняка с настройками антивируса накрутили.

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на сообщение
Поделиться на другие сайты

@thyrex @safety Файл quarantine.7z отправил через форму. Все остальные нужные файлы также прикрепляю: 

DESKTOP-GDMFUB6_2024-09-22_11-11-21_v4.99.1v x64.7z FRST and Addition.zip CollectionLog-2024.09.22-11.23.zip

Ссылка на сообщение
Поделиться на другие сайты

C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe проверьте на virustotal.com и пришлите ссылку на результат анализа


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
File: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 battlenet_helpersvc; C:\ProgramData\Battle.net_components\battlenet_helpersvc\AgentHelper.exe [X]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [716]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [716]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [716]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [716]
AlternateDataStreams: C:\ProgramData\bgdcbjgp.cyj:6EA95FB0B0 [3434]
AlternateDataStreams: C:\ProgramData\guaoxfgv.mxw:16AED835FD [3434]
AlternateDataStreams: C:\ProgramData\rtpeskt:1F3D48CBE8 [3434]
AlternateDataStreams: C:\ProgramData\saxdtxmy.hsi:289FB123A5 [3434]
AlternateDataStreams: C:\ProgramData\sblcloly.sqw:B8756EACC0 [3434]
AlternateDataStreams: C:\ProgramData\wjupqann.dtu:B1EFA54615 [3434]
AlternateDataStreams: C:\ProgramData\ygwpujab.vxl:91300E2DFB [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader+.lnk:16D6E7B1BF [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk:CE654E1443 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9188]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [716]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [716]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на сообщение
Поделиться на другие сайты
9 минут назад, thyrex сказал:

C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe проверьте на virustotal.com и пришлите ссылку на результат анализа


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)


Start::
CreateRestorePoint:
File: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 battlenet_helpersvc; C:\ProgramData\Battle.net_components\battlenet_helpersvc\AgentHelper.exe [X]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [716]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [716]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [716]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [716]
AlternateDataStreams: C:\ProgramData\bgdcbjgp.cyj:6EA95FB0B0 [3434]
AlternateDataStreams: C:\ProgramData\guaoxfgv.mxw:16AED835FD [3434]
AlternateDataStreams: C:\ProgramData\rtpeskt:1F3D48CBE8 [3434]
AlternateDataStreams: C:\ProgramData\saxdtxmy.hsi:289FB123A5 [3434]
AlternateDataStreams: C:\ProgramData\sblcloly.sqw:B8756EACC0 [3434]
AlternateDataStreams: C:\ProgramData\wjupqann.dtu:B1EFA54615 [3434]
AlternateDataStreams: C:\ProgramData\ygwpujab.vxl:91300E2DFB [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader+.lnk:16D6E7B1BF [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk:CE654E1443 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9188]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [716]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [716]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

https://www.virustotal.com/gui/file/820fdbf416dfb4189887322be44ea3c4599de0312470cb74a23b986a9a5e9aaf

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
Task: {EF008307-E6A9-493A-87CF-BE07380509FB} - System32\Tasks\Microsoft\Windows\MUI\RPRemove => C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe [4411015 2024-07-30] (Ikarus, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
Folder: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Ссылка на сообщение
Поделиться на другие сайты
6 минут назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)


Start::
CreateRestorePoint:
Task: {EF008307-E6A9-493A-87CF-BE07380509FB} - System32\Tasks\Microsoft\Windows\MUI\RPRemove => C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe [4411015 2024-07-30] (Ikarus, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
Folder: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Fixlog.txt

Ссылка на сообщение
Поделиться на другие сайты

Не нужно полностью цитировать выдаваемые Вам рекомендации. Достаточно написать ответ в предназначенном для этого окне.

 

Проблема решена?

 

Ссылка на сообщение
Поделиться на другие сайты
8 минут назад, thyrex сказал:

Проблема решена?

в касперском вот такое уведомление висит, появилось после всех проделанных процедур (во время лечения все антивирусы я отключал)

image.png

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • David Faker
      От David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
    • Qeqefq563
      От Qeqefq563
      Подхватил вирус, сразу после этого отрубил питание, загрузился с флешки с KRD, провёл чистку, потом также с Dr.Web LiveDisk, потом загрузил уже систему в безопасном и повторил сканирование из под системы... Но судя по всему вирус всё-ещё где-то остался. Во первых - загрузка системы сильно дольше чем было до этого, во вторых - после загрузки появляется консоль и закрывается. Ищу советов и рекомендаций как довычистить остатки. Вирус много мусора насоздавал в appdata, ProgramData, programfiles, sysWOW64... Пришлось руками дочищать, но это определённо не всё. Возможно будет удобнее отсортировать все файлы по дате изменения и так отследить мусор созданный вирусом? Что будет удобно для этого использовать? Так же согласно инструкции использовал AutoLogger, архив прикрепил. 

      Wimdows 7 x64
      CollectionLog-2024.10.04-17.39.zip
    • JUICE YOGURT
      От JUICE YOGURT
      Возможно ли взаимодействие компьютера с одним из этих вирусов? Я буду исходить из своей ситуации, чтобы она была описана более понятна для всех.

      Обнаружил подозрительное вмешательство в своё личное интернет-пространство, злоумышленник решил оставить несколько сообщений от себя в DISCORD (от моего профиля), следов активности с других IP-адресов обнаружено не было, взлома не было, двухфакторная защита активирована. Я начал проверять с помощью антивирусов, увидел, что имелось заражение HOSTS, а после повторной проверки был обнаружен MSTASK Trojan Starter 7691 остальные были менее подозрительными, что могло бы вызвать подозрения на такое вмешательство.
    • kostyan2008
      От kostyan2008
      В журнале служб windows часто выскакивает ошибка "Сбой при запуске службы "Служба Google Update (gupdate)" из-за ошибки 
      Служба не ответила на запрос своевременно."
      Сбой при запуске службы "WinRing0_1_2_0" из-за ошибки 
      Системе не удается найти указанный путь.
      В автозагрузке присутствуют непонятные сервисы, включая непонятный google update
      CollectionLog-2024.09.18-20.26.zip
    • Zhuraulik
      От Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip
×
×
  • Создать...