[РЕШЕНО] Словил вирус/майнер

[SDDdo]

Здравствуйте. 20.09.2024 был скачал microsoft office, но вместо установки, я получил вирус. Уже использовал и Malwarebytes, и kaspersky virus removal tool, и rkill, но проблема все еще присутствует. Замечаю я это по наличию то появляющегося, то исчезающего процесса в диспетчере задач под названием "autoit v3 script". Также не могу сделать скриншот диспетчера задач и редактора реестра. Редактор реестра закрывается практически сразу после открытия.
Помимо логов прикрепляю файлы полученные с помощью Farbar Recovery Scan Tool 

CollectionLog-2024.09.21-14.47.zip Addition.txt FRST.txt

[safety]

+ добавьте образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[SDDdo]

SMIDEN3_2024-09-21_19-32-30_v4.99.1v x64.7z

[safety]

Выполните скрипт очистки в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\PORTUGUESE-PRESERVE\BIN.EXE
delall %SystemDrive%\PROGRAMDATA\CLASSIC.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\NUN.BAT
delall %SystemDrive%\PROGRAMDATA\AUX..\SHELLEXT.DLL
delall %SystemDrive%\PROGRAMDATA\AUX..\DEVICEID.DLL
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[NUT]
delref HTTPS://HAILUOAI.COM/
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\ADGUARDVPN\ADGUARDVPNSVC.EXE
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref E:\SISETUP.EXE
delref E:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PLANETVPN\PLANETVPN.EXE
delref %SystemDrive%\STABLE DIFFUSION\STABLE-DIFFUSION-WEBUI\WEBUI-USER.BAT
delref %SystemDrive%\PROGRAM FILES (X86)\FREEVPN\FREEVPN.EXE
delref %SystemDrive%\USERS\DENIS\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

[SDDdo]

Не вижу в главном меню "Скрипт - выполнить скрипт из буфера обмена"

 

Изменено 22 сентября, 2024 пользователем safety

[safety]

Запускаем start,exe от имени Администратора (если не запущен)

Далее выбираем - текущий пользователь,

Изменено 22 сентября, 2024 пользователем safety

[SDDdo]

Не вижу в главном меню "Скрипт - выполнить скрипт из буфера обмена"

2024-09-22_12-18-40_log.txt

[safety]

Эти службы надо восстановить.

Служба оркестратора обновлений  -- UsoSvc
Центр обновления Windows -- wuauserv
Windows Update Medic Service -- WaaSMedicSvc
Delivery Optimization -- dosvc
Фоновая интеллектуальная служба передачи (BITS) -- bits

[SDDdo]

Подскажите как это сделать, пожалуйста

[safety]

Сделайте пока новые логи FRST для контроля очистки после uVS

[SDDdo]

Подскажите как это сделать, пожалуйста

FRST.txt Addition.txt

[safety]

46 минут назад, SDDdo сказал:

Подскажите как это сделать, пожалуйста

пробуйте пока из вложенного архива применить твики *.reg для исправления служб. файлы reg запускаем по одному, от имени Администратора, соглашаемся на внесение изменений в реестр.

Reg.rar

[SDDdo]

Не могу скачать

[safety]

Хорошо, в ЛС сейчас отправлю архив.Проверьте ЛС

Изменено 22 сентября, 2024 пользователем safety

[SDDdo]

Выполнил

frst только сейчас закончил собирать логи.  Я скинул видимо промежуточный вариант, судя по времени создания.

Addition.txt FRST.txt