Перейти к содержанию
Правила раздела

[РЕШЕНО] Скрытый восстанавливающийся вирус на Windows 10

Ilyambuss

Автор Ilyambuss
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Ilyambuss

Ilyambuss

Опубликовано
Опубликовано

где-то на просторах интернета подцепил вирус UDS:DangerousObject.Multi.Generic, он лежит на диске С: exe'шным файлом (updater.exe), который после удаления восстанавливается после перезагрузки системы. каждые несколько дней мне прилетает 3 уведа от касперского (скриншоты прикрепил) о том, что этот вирусный файл удалён (скорее всего потому что появляется какая-то подозрительная активность), но потом он, опять же, восстанавливается, и так по кругу. и полная проверка через выполнить –> mrt, и полная проверка через касперского говорит, что комп чист (Kaspersky Removal Tool тоже использовал, там то же самое), да и сам этот файл вроде ничего плохого с моим пк не делает, но он меня всё же напрягает. мне посоветовали проверить пк kaspersky rescue disk, но при попытке запуска этой утилиты с флешки через boot menu, у меня просто появляется чёрный экран с точкой и нижним подчёркиванием, хотя всё делал по инструкциям. думал, может система что-то подгружает, но даже спустя 15-20 минут результат тот же: компьютер ни на что не реагирует, и приходится перезагружать его кнопкой включения. подскажите, что можно сделать? модель компьютера (ноутбука): SKU: MSI Modern 15 B12M-210RU-BB51235U8GXXDX11S

image.thumb.png.89a22606cd9f3c9830a3864b6778be57.pngimage.thumb.png.28fac072be15a7fb45e99f7bedbf1322.pngimage.thumb.png.4825b56cd73920ff471b1a6546602c18.png

CollectionLog-2024.09.21-15.59.zip

safety

safety

Опубликовано
Опубликовано

+ добавьте образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Protect\Boot\Runtime.exe','');
 QuarantineFile('C:\Users\User\AppData\Local\Microsoft\Edge\System\update.exe','');
 DeleteFile('C:\Users\User\AppData\Local\Microsoft\Edge\System\update.exe','64');
 DeleteFile('C:\Users\User\AppData\Roaming\Microsoft\Protect\Boot\Runtime.exe','64');
 DeleteSchedulerTask('Microsoft\Windows\Sysmain\WsSwapAssessmentUpdateTask');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefresherTask');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ilyambuss

Ilyambuss

Опубликовано
  • Автор
Опубликовано (изменено)
4 часа назад, thyrex сказал:

Здравствуйте.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

после запуска первого скрипта касперский удалил avz.exe (якобы нашёл троян), компьютер не перезагрузился
висит вот это сообщение

 

думаю, нужно было приостановить защиту?

теперь придется переустанавливать этот avz?

image.png

Изменено пользователем Ilyambuss
thyrex

thyrex

Опубликовано
Опубликовано

В правилах ясно написано, что на время лечения антивирусное решение нужно отключать. Да и наверняка с настройками антивируса накрутили.

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

thyrex

thyrex

Опубликовано
Опубликовано

C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe проверьте на virustotal.com и пришлите ссылку на результат анализа


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
File: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 battlenet_helpersvc; C:\ProgramData\Battle.net_components\battlenet_helpersvc\AgentHelper.exe [X]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [716]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [716]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [716]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [716]
AlternateDataStreams: C:\ProgramData\bgdcbjgp.cyj:6EA95FB0B0 [3434]
AlternateDataStreams: C:\ProgramData\guaoxfgv.mxw:16AED835FD [3434]
AlternateDataStreams: C:\ProgramData\rtpeskt:1F3D48CBE8 [3434]
AlternateDataStreams: C:\ProgramData\saxdtxmy.hsi:289FB123A5 [3434]
AlternateDataStreams: C:\ProgramData\sblcloly.sqw:B8756EACC0 [3434]
AlternateDataStreams: C:\ProgramData\wjupqann.dtu:B1EFA54615 [3434]
AlternateDataStreams: C:\ProgramData\ygwpujab.vxl:91300E2DFB [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader+.lnk:16D6E7B1BF [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk:CE654E1443 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9188]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [716]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [716]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Ilyambuss

Ilyambuss

Опубликовано
  • Автор
Опубликовано
9 минут назад, thyrex сказал:

C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe проверьте на virustotal.com и пришлите ссылку на результат анализа


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
File: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S3 battlenet_helpersvc; C:\ProgramData\Battle.net_components\battlenet_helpersvc\AgentHelper.exe [X]
AlternateDataStreams: C:\ProgramData:NT [40]
AlternateDataStreams: C:\ProgramData:NT2 [716]
AlternateDataStreams: C:\Users\All Users:NT [40]
AlternateDataStreams: C:\Users\All Users:NT2 [716]
AlternateDataStreams: C:\Users\Все пользователи:NT [40]
AlternateDataStreams: C:\Users\Все пользователи:NT2 [716]
AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
AlternateDataStreams: C:\ProgramData\Application Data:NT2 [716]
AlternateDataStreams: C:\ProgramData\bgdcbjgp.cyj:6EA95FB0B0 [3434]
AlternateDataStreams: C:\ProgramData\guaoxfgv.mxw:16AED835FD [3434]
AlternateDataStreams: C:\ProgramData\rtpeskt:1F3D48CBE8 [3434]
AlternateDataStreams: C:\ProgramData\saxdtxmy.hsi:289FB123A5 [3434]
AlternateDataStreams: C:\ProgramData\sblcloly.sqw:B8756EACC0 [3434]
AlternateDataStreams: C:\ProgramData\wjupqann.dtu:B1EFA54615 [3434]
AlternateDataStreams: C:\ProgramData\ygwpujab.vxl:91300E2DFB [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\4K Video Downloader+.lnk:16D6E7B1BF [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel Driver & Support Assistant.lnk:CE654E1443 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Total Security.lnk:A33CF8211A [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3434]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3434]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [9188]
AlternateDataStreams: C:\Users\User\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\Application Data:NT [40]
AlternateDataStreams: C:\Users\User\Application Data:NT2 [716]
AlternateDataStreams: C:\Users\User\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT [40]
AlternateDataStreams: C:\Users\User\AppData\Roaming:NT2 [716]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 


 

https://www.virustotal.com/gui/file/820fdbf416dfb4189887322be44ea3c4599de0312470cb74a23b986a9a5e9aaf

 

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
Task: {EF008307-E6A9-493A-87CF-BE07380509FB} - System32\Tasks\Microsoft\Windows\MUI\RPRemove => C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe [4411015 2024-07-30] (Ikarus, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
Folder: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Ilyambuss

Ilyambuss

Опубликовано
  • Автор
Опубликовано
6 минут назад, thyrex сказал:

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 


Start::
CreateRestorePoint:
Task: {EF008307-E6A9-493A-87CF-BE07380509FB} - System32\Tasks\Microsoft\Windows\MUI\RPRemove => C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe [4411015 2024-07-30] (Ikarus, Inc.) [Файл не подписан] <==== ВНИМАНИЕ
C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC\runtime.exe
Folder: C:\Users\User\AppData\Roaming\Microsoft\Crypto\CRC
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

 

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Не нужно полностью цитировать выдаваемые Вам рекомендации. Достаточно написать ответ в предназначенном для этого окне.

 

Проблема решена?

 

Ilyambuss

Ilyambuss

Опубликовано
  • Автор
Опубликовано
8 минут назад, thyrex сказал:

Проблема решена?

в касперском вот такое уведомление висит, появилось после всех проделанных процедур (во время лечения все антивирусы я отключал)

image.png

Ilyambuss

Ilyambuss

Опубликовано
  • Автор
Опубликовано

а я могу удалить все утилиты, которые скачивал для лечения, или они всё ещё нужны? 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Pupsik228
      [РЕШЕНО] Восстанавливающийся Вирус
      Автор Pupsik228
      Здравствуйте.
      Недавно столкнулся с проблемой. После перезагрузки компьютера касперский жалуется на файл, файл находится в папке ProgramData там он не отображается(но если ввести в поиск название вируса то он виден) я пробовал удалить его антивирусом. и удалить саму папку с вирусом. и в обоих случаях это помогает, но после перезагрузки компьютера вирус восстанавливается, и антивирус снова жалуется на него.
      это будет видно на скриншотах. Надеюсь на вашу помощь)
      P.S. Я смотрел и вроде вирус не нагружает видеокарту и компьютер работает быстро, но все равно волнуюсь.


      CollectionLog-2024.03.25-15.50.zip
    • Gilf
      Поврежденные файлы в Windows не восстанавливаются
      Автор Gilf
      Здравствуйте! Компьютер стал тормозить. У меня два вопроса. 1) Я почитал похожие темы на форуме и сделал сканирование Windows. Подскажите пожалуйста, что за ошибки показывает сканирование, критично или нет? 2) На рабочем столе появилась "Новая папка". Удалить ее не получается.


    • SMyDer
      [РЕШЕНО] Скрытая папка в C:\Windows\Fonts\Mysql
      Автор SMyDer
      Здравствуйте. При запуске инженерного ПО вылетала ошибка (см. картинку).
      Короче говоря, все свелось к тому, что был запущен .bat файл из корневой папки ПО, который выдал в консоли сообщение:
      ****ASSERTION****: Unknown error occured iterating C:\Windows\Fonts\Mysql
      Прошерстил темы на форумах по данному вопросу, но везде понял, что подход индивидуальный. Помогите, пожалуйста. Вот мой лог.

      CollectionLog-2025.05.30-04.47.zip
    • DKOFFICIAL
      Скрытый вирус и не удаляемый
      Автор DKOFFICIAL
      Здравствуйте, помогите пожалуйста, переустанавливал windows несколько раз, пробовал жесткий диск менять, не помогает ничего, поймал какой то вирус, когда поймал не было никаких антивирусов скачанных, и пошло поехала, начали запускаться программы и потом вовсе рабочий стол пропал и черный экран был, перезагрузил ноутбук стало все нормально резко, и с тех пор греется ноутбук, цп нагружается щас на все 100 бывает после того как проверяет антивирус на вирусы и то ничего не находит и то редко поднимается до 100, в большинстве случаев до 60-70 грузиться, а в обычном режиме ноута, грузиться память на 50%, и гудит вентилятор и греется ноутбук, хотя до этого всего не было такого от слова совсем, антивирусы не находят, пробовал через dr web и kaspersky, в основном с kaspersky, так как куплена подписка, бывает даже иногда мышка сама по себе ходит, 1 раз когда перезагрузил ноутбук, создался учетная запись и пароль стоял на ноутбуке, пришлось менять винду,не знаю уже что делать. Браузер когда запускаю, в диспетчере задач показывает что браузер открыт аж целых 20-30раз одновременно.Стало более менее когда поставил винду урезанную пиратскую, где больше приложений от windows урезана и удаленный доступ отключен, ноутбук не старый, i5-12450h процессор, 16гб оперативки.
    • vanurt
      мега-вирус который сам себя восстанавливает
      Автор vanurt
      вирус сам себя восстанавливает,сразу же после удаления. находится по пути C:\ProgramData\kdaqmmepuqgl   помогите,как удалить его? переустановка или снос до заводских не вариант,файлов важных много...
      еще он восстанавливает себя через conhost и powershell,выяснил когда сидел в диспетчере задач и удалял его много раз.. 
×
×
  • Создать...