Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Здравствуйте. 20.09.2024 был скачал microsoft office, но вместо установки, я получил вирус. Уже использовал и Malwarebytes, и kaspersky virus removal tool, и rkill, но проблема все еще присутствует. Замечаю я это по наличию то появляющегося, то исчезающего процесса в диспетчере задач под названием "autoit v3 script". Также не могу сделать скриншот диспетчера задач и редактора реестра. Редактор реестра закрывается практически сразу после открытия.
Помимо логов прикрепляю файлы полученные с помощью Farbar Recovery Scan Tool 

CollectionLog-2024.09.21-14.47.zip Addition.txt FRST.txt

Опубликовано

+ добавьте образ автозапуска системы в uVS.

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Опубликовано

Выполните скрипт очистки в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.


 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\PORTUGUESE-PRESERVE\BIN.EXE
delall %SystemDrive%\PROGRAMDATA\CLASSIC.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\NUN.BAT
delall %SystemDrive%\PROGRAMDATA\AUX..\SHELLEXT.DLL
delall %SystemDrive%\PROGRAMDATA\AUX..\DEVICEID.DLL
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[NUT]
delref HTTPS://HAILUOAI.COM/
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\ADGUARDVPN\ADGUARDVPNSVC.EXE
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref E:\SISETUP.EXE
delref E:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\PLANETVPN\PLANETVPN.EXE
delref %SystemDrive%\STABLE DIFFUSION\STABLE-DIFFUSION-WEBUI\WEBUI-USER.BAT
delref %SystemDrive%\PROGRAM FILES (X86)\FREEVPN\FREEVPN.EXE
delref %SystemDrive%\USERS\DENIS\DESKTOP\TOR BROWSER\BROWSER\FIREFOX.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Опубликовано (изменено)

Не вижу в главном меню "Скрипт - выполнить скрипт из буфера обмена"

 

Изменено пользователем safety
Опубликовано (изменено)

Запускаем start,exe от имени Администратора (если не запущен)

Далее выбираем - текущий пользователь,

Изменено пользователем safety
Опубликовано

Эти службы надо восстановить.

Служба оркестратора обновлений  -- UsoSvc
Центр обновления Windows -- wuauserv
Windows Update Medic Service -- WaaSMedicSvc
Delivery Optimization -- dosvc
Фоновая интеллектуальная служба передачи (BITS) -- bits

Опубликовано

Сделайте пока новые логи FRST для контроля очистки после uVS

Опубликовано
46 минут назад, SDDdo сказал:

Подскажите как это сделать, пожалуйста

пробуйте пока из вложенного архива применить твики *.reg для исправления служб. файлы reg запускаем по одному, от имени Администратора, соглашаемся на внесение изменений в реестр.

Reg.rar

Опубликовано (изменено)

Хорошо, в ЛС сейчас отправлю архив.Проверьте ЛС

Изменено пользователем safety
Опубликовано

Выполнил

frst только сейчас закончил собирать логи.  Я скинул видимо промежуточный вариант, судя по времени создания.

Addition.txt FRST.txt

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
    • detanatar
      Автор detanatar
      Добрый день
      обнаруживаю, что видеокарта регулярно громко молотит вентиляторами, температура поднимается до 65 градусов.
      перегружал комп все отключал, все равно температура доползает до 65 градусов и когда начинаю мониторить процессы  опускается до 40, а затем опять взлетает 55-65 гадусов.
      Думаю я поймал майнера
      Помогите с лечение компьютера
      CollectionLog-2026.06.20-20.47.zip
×
×
  • Создать...