[РЕШЕНО] Скрытый восстанавливающийся вирус на Windows 10

[Ilyambuss]

где-то на просторах интернета подцепил вирус UDS:DangerousObject.Multi.Generic, он лежит на диске С: exe'шным файлом (updater.exe), который после удаления восстанавливается после перезагрузки системы. каждые несколько дней мне прилетает 3 уведа от касперского (скриншоты прикрепил) о том, что этот вирусный файл удалён (скорее всего потому что появляется какая-то подозрительная активность), но потом он, опять же, восстанавливается, и так по кругу. и полная проверка через выполнить –> mrt, и полная проверка через касперского говорит, что комп чист (Kaspersky Removal Tool тоже использовал, там то же самое), да и сам этот файл вроде ничего плохого с моим пк не делает, но он меня всё же напрягает. мне посоветовали проверить пк kaspersky rescue disk, но при попытке запуска этой утилиты с флешки через boot menu, у меня просто появляется чёрный экран с точкой и нижним подчёркиванием, хотя всё делал по инструкциям. думал, может система что-то подгружает, но даже спустя 15-20 минут результат тот же: компьютер ни на что не реагирует, и приходится перезагружать его кнопкой включения. подскажите, что можно сделать? модель компьютера (ноутбука): SKU: MSI Modern 15 B12M-210RU-BB51235U8GXXDX11S

CollectionLog-2024.09.21-15.59.zip

[safety]

+ добавьте образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[thyrex]

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Protect\Boot\Runtime.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Edge\System\update.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Edge\System\update.exe','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Protect\Boot\Runtime.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Sysmain\WsSwapAssessmentUpdateTask');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefresherTask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Ilyambuss]

4 часа назад, thyrex сказал:

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

после запуска первого скрипта касперский удалил avz.exe (якобы нашёл троян), компьютер не перезагрузился
висит вот это сообщение

 

думаю, нужно было приостановить защиту?

теперь придется переустанавливать этот avz?

Изменено 21 сентября пользователем Ilyambuss

[thyrex]

В правилах ясно написано, что на время лечения антивирусное решение нужно отключать. Да и наверняка с настройками антивируса накрутили.

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Ilyambuss]

@thyrex @safety Файл quarantine.7z отправил через форму. Все остальные нужные файлы также прикрепляю: 

DESKTOP-GDMFUB6_2024-09-22_11-11-21_v4.99.1v x64.7z FRST and Addition.zip CollectionLog-2024.09.22-11.23.zip

[thyrex]

C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe проверьте на virustotal.com и пришлите ссылку на результат анализа

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
File: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 battlenet_helpersvc; C:\ProgramData\Battle.net_components\battlenet_helpersvc\AgentHelper.exe [X]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [716]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [716]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [716]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [716]
AlternateDataStreams: C:\ProgramData\bgdcbjgp.cyj:6EA95FB0B0 [3434]
AlternateDataStreams: C:\ProgramData\guaoxfgv.mxw:16AED835FD [3434]
AlternateDataStreams: C:\ProgramData\rtpeskt:1F3D48CBE8 [3434]
AlternateDataStreams: C:\ProgramData\saxdtxmy.hsi:289FB123A5 [3434]
AlternateDataStreams: C:\ProgramData\sblcloly.sqw:B8756EACC0 [3434]
AlternateDataStreams: C:\ProgramData\wjupqann.dtu:B1EFA54615 [3434]
AlternateDataStreams: C:\ProgramData\ygwpujab.vxl:91300E2DFB [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader+.lnk:16D6E7B1BF [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk:CE654E1443 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9188]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [716]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [716]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Ilyambuss]

9 минут назад, thyrex сказал:

C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe проверьте на virustotal.com и пришлите ссылку на результат анализа

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
File: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 battlenet_helpersvc; C:\ProgramData\Battle.net_components\battlenet_helpersvc\AgentHelper.exe [X]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [716]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [716]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [716]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [716]
AlternateDataStreams: C:\ProgramData\bgdcbjgp.cyj:6EA95FB0B0 [3434]
AlternateDataStreams: C:\ProgramData\guaoxfgv.mxw:16AED835FD [3434]
AlternateDataStreams: C:\ProgramData\rtpeskt:1F3D48CBE8 [3434]
AlternateDataStreams: C:\ProgramData\saxdtxmy.hsi:289FB123A5 [3434]
AlternateDataStreams: C:\ProgramData\sblcloly.sqw:B8756EACC0 [3434]
AlternateDataStreams: C:\ProgramData\wjupqann.dtu:B1EFA54615 [3434]
AlternateDataStreams: C:\ProgramData\ygwpujab.vxl:91300E2DFB [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader+.lnk:16D6E7B1BF [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk:CE654E1443 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9188]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [716]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [716]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

https://www.virustotal.com/gui/file/820fdbf416dfb4189887322be44ea3c4599de0312470cb74a23b986a9a5e9aaf

 

Fixlog.txt

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {EF008307-E6A9-493A-87CF-BE07380509FB} - System32\Tasks\Microsoft\Windows\MUI\RPRemove => C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe [4411015 2024-07-30] (Ikarus, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
Folder: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

[Ilyambuss]

6 минут назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
Task: {EF008307-E6A9-493A-87CF-BE07380509FB} - System32\Tasks\Microsoft\Windows\MUI\RPRemove => C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe [4411015 2024-07-30] (Ikarus, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
Folder: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Fixlog.txt

[thyrex]

Не нужно полностью цитировать выдаваемые Вам рекомендации. Достаточно написать ответ в предназначенном для этого окне.

 

Проблема решена?

 

[Ilyambuss]

8 минут назад, thyrex сказал:

Проблема решена?

в касперском вот такое уведомление висит, появилось после всех проделанных процедур (во время лечения все антивирусы я отключал)

[thyrex]

Это драйвер AVZ. Поэтому игнорируйте.

[Ilyambuss]

а я могу удалить все утилиты, которые скачивал для лечения, или они всё ещё нужны?