Перейти к содержанию
Правила раздела

[РЕШЕНО] Скрытый восстанавливающийся вирус на Windows 10

Ilyambuss

Автор Ilyambuss
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Ilyambuss Постоялец

Ilyambuss

Опубликовано
Опубликовано

где-то на просторах интернета подцепил вирус UDS:DangerousObject.Multi.Generic, он лежит на диске С: exe'шным файлом (updater.exe), который после удаления восстанавливается после перезагрузки системы. каждые несколько дней мне прилетает 3 уведа от касперского (скриншоты прикрепил) о том, что этот вирусный файл удалён (скорее всего потому что появляется какая-то подозрительная активность), но потом он, опять же, восстанавливается, и так по кругу. и полная проверка через выполнить –> mrt, и полная проверка через касперского говорит, что комп чист (Kaspersky Removal Tool тоже использовал, там то же самое), да и сам этот файл вроде ничего плохого с моим пк не делает, но он меня всё же напрягает. мне посоветовали проверить пк kaspersky rescue disk, но при попытке запуска этой утилиты с флешки через boot menu, у меня просто появляется чёрный экран с точкой и нижним подчёркиванием, хотя всё делал по инструкциям. думал, может система что-то подгружает, но даже спустя 15-20 минут результат тот же: компьютер ни на что не реагирует, и приходится перезагружать его кнопкой включения. подскажите, что можно сделать? модель компьютера (ноутбука): SKU: MSI Modern 15 B12M-210RU-BB51235U8GXXDX11S

image.thumb.png.89a22606cd9f3c9830a3864b6778be57.pngimage.thumb.png.28fac072be15a7fb45e99f7bedbf1322.pngimage.thumb.png.4825b56cd73920ff471b1a6546602c18.png

CollectionLog-2024.09.21-15.59.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

+ добавьте образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Protect\Boot\Runtime.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Edge\System\update.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Edge\System\update.exe','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Protect\Boot\Runtime.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Sysmain\WsSwapAssessmentUpdateTask');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefresherTask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты
Ilyambuss Постоялец

Ilyambuss

Опубликовано
  • Автор
Опубликовано (изменено)
4 часа назад, thyrex сказал:

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

после запуска первого скрипта касперский удалил avz.exe (якобы нашёл троян), компьютер не перезагрузился
висит вот это сообщение

 

думаю, нужно было приостановить защиту?

теперь придется переустанавливать этот avz?

image.png

Изменено пользователем Ilyambuss
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В правилах ясно написано, что на время лечения антивирусное решение нужно отключать. Да и наверняка с настройками антивируса накрутили.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
Ilyambuss Постоялец

Ilyambuss

Опубликовано
  • Автор
Опубликовано

@thyrex @safety Файл quarantine.7z отправил через форму. Все остальные нужные файлы также прикрепляю: 

DESKTOP-GDMFUB6_2024-09-22_11-11-21_v4.99.1v x64.7z FRST and Addition.zip CollectionLog-2024.09.22-11.23.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe проверьте на virustotal.com и пришлите ссылку на результат анализа


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 battlenet_helpersvc; C:\ProgramData\Battle.net_components\battlenet_helpersvc\AgentHelper.exe [X]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [716]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [716]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [716]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [716]
AlternateDataStreams: C:\ProgramData\bgdcbjgp.cyj:6EA95FB0B0 [3434]
AlternateDataStreams: C:\ProgramData\guaoxfgv.mxw:16AED835FD [3434]
AlternateDataStreams: C:\ProgramData\rtpeskt:1F3D48CBE8 [3434]
AlternateDataStreams: C:\ProgramData\saxdtxmy.hsi:289FB123A5 [3434]
AlternateDataStreams: C:\ProgramData\sblcloly.sqw:B8756EACC0 [3434]
AlternateDataStreams: C:\ProgramData\wjupqann.dtu:B1EFA54615 [3434]
AlternateDataStreams: C:\ProgramData\ygwpujab.vxl:91300E2DFB [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader+.lnk:16D6E7B1BF [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk:CE654E1443 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9188]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [716]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [716]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ссылка на комментарий
Поделиться на другие сайты
Ilyambuss Постоялец

Ilyambuss

Опубликовано
  • Автор
Опубликовано
9 минут назад, thyrex сказал:

C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe проверьте на virustotal.com и пришлите ссылку на результат анализа


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
File: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 battlenet_helpersvc; C:\ProgramData\Battle.net_components\battlenet_helpersvc\AgentHelper.exe [X]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [716]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [716]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [716]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [716]
AlternateDataStreams: C:\ProgramData\bgdcbjgp.cyj:6EA95FB0B0 [3434]
AlternateDataStreams: C:\ProgramData\guaoxfgv.mxw:16AED835FD [3434]
AlternateDataStreams: C:\ProgramData\rtpeskt:1F3D48CBE8 [3434]
AlternateDataStreams: C:\ProgramData\saxdtxmy.hsi:289FB123A5 [3434]
AlternateDataStreams: C:\ProgramData\sblcloly.sqw:B8756EACC0 [3434]
AlternateDataStreams: C:\ProgramData\wjupqann.dtu:B1EFA54615 [3434]
AlternateDataStreams: C:\ProgramData\ygwpujab.vxl:91300E2DFB [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader+.lnk:16D6E7B1BF [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk:CE654E1443 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9188]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [716]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [716]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

https://www.virustotal.com/gui/file/820fdbf416dfb4189887322be44ea3c4599de0312470cb74a23b986a9a5e9aaf

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
Task: {EF008307-E6A9-493A-87CF-BE07380509FB} - System32\Tasks\Microsoft\Windows\MUI\RPRemove => C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe [4411015 2024-07-30] (Ikarus, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
Folder: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты
Ilyambuss Постоялец

Ilyambuss

Опубликовано
  • Автор
Опубликовано
6 минут назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
Task: {EF008307-E6A9-493A-87CF-BE07380509FB} - System32\Tasks\Microsoft\Windows\MUI\RPRemove => C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe [4411015 2024-07-30] (Ikarus, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
Folder: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Fixlog.txt

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Не нужно полностью цитировать выдаваемые Вам рекомендации. Достаточно написать ответ в предназначенном для этого окне.

 

Проблема решена?

 

Ссылка на комментарий
Поделиться на другие сайты
Ilyambuss Постоялец

Ilyambuss

Опубликовано
  • Автор
Опубликовано
8 минут назад, thyrex сказал:

Проблема решена?

в касперском вот такое уведомление висит, появилось после всех проделанных процедур (во время лечения все антивирусы я отключал)

image.png

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vanurt
      мега-вирус который сам себя восстанавливает
      Автор vanurt
      вирус сам себя восстанавливает,сразу же после удаления. находится по пути C:\ProgramData\kdaqmmepuqgl   помогите,как удалить его? переустановка или снос до заводских не вариант,файлов важных много...
      еще он восстанавливает себя через conhost и powershell,выяснил когда сидел в диспетчере задач и удалял его много раз.. 
    • Mistory_Young
      появился скрытый майнер
      Автор Mistory_Young
      Обнаружил что грузится процессор на 70% при запуске. Через процесс Хакер вижу два проводника. Один нормальный а второй как раз и грузит проц. Через доктор веб находит вирус этот, но не может вылечить, через процесс хакер его замораживать только могу. Читал на форуме про это и через прогу видит внедренный процесс
      \Net\9564\TCP\5.188.137.200-80\Device\HarddiskVolume5\Windows\explorer.exe
      CollectionLog-2025.01.18-04.00.zip
    • sputnikk
      Windows 10
      Автор sputnikk
      Страница загрузки Windows 10 Technical Preview
      http://windows.microsoft.com/ru-ru/windows/preview-coming-soon
    • ВасилийВ
      [РЕШЕНО] Вирус
      Автор ВасилийВ
      Касперский не видит вирусов,встроенный антивирус нашел больше 10 троянов но не смог с ними справитьсяCollectionLog-2025.03.25-22.30.zip
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
×
×
  • Создать...