Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал вредоносное ПО

hu553in

Автор hu553in
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

hu553in

hu553in

Опубликовано
Опубликовано

Проблема схожая с соседними темами.

  • C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic
  • ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует
  • в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0

Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.

Помогите пожалуйста.

Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.

DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt

safety

safety

Опубликовано
Опубликовано (изменено)

Выполните скрипт очистки в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.


  

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply
deltmp
delref %SystemDrive%\USERS\SERGI\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ154\CPUZ154_X64.SYS
delref %Sys32%\DRIVERS\HSSTAP.SYS
delref %SystemDrive%\USERS\SERGI\APPDATA\LOCAL\TEMP\HWINFO64A_180.SYS
delref %SystemDrive%\USERS\SERGI\APPDATA\ROAMING\VK TEAMS\BIN\VKTEAMS.EXE
;-------------------------------------------------------------
restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска для контроля

+

добавьте все логи по правилам.

Порядок оформления запроса о помощи».

 

 

Изменено пользователем safety
  • Like (+1) 1
hu553in

hu553in

Опубликовано
  • Автор
Опубликовано

@safety

 

Сделал, спасибо большое, прикрепляю лог и образ от uVS.

 

Прошу прощения за неверное оформление - так же прикрепляю логи от AutoLogger (уже после очистки).

DESKTOP-CIJDVRS_2024-09-23_15-18-46_v4.99.1v x64.7z 2024-09-23_15-12-14_log.txt CollectionLog-2024.09.23-15.28.zip

safety

safety

Опубликовано
Опубликовано (изменено)
1 час назад, hu553in сказал:

Сделал, спасибо большое, прикрепляю лог и образ от uVS.

Судя по логу, и новому образу, майнер успешно защищается от удаления.

 

Этот же скрипт выполните в uVS только из безопасного режима системы (с поддержкой сети)

после выполнения скрипта загружаемся в нормальный режим,

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска для контроля.

 

Изменено пользователем safety
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Отлично,

Теперь система очищена от майнера и его вредоносных потоков.

Активности Dialer.exe, которая была в предыдущем образе

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DIALER.EXE [8384]

в текущем образе нет.

Множественных потоков, внедренных в системные процессы нет.

Службы HKLM\System\CurrentControlSet\Services\GoogleUpdateTaskMachineQC\ImagePath, защищенной от удаления, которая запускала файл C:\ProgramData\Google\Chrome\updater.exe,  нет.

C:\ProgramData\Google\Chrome\updater.exe - удален.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

Изменено пользователем safety
  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

по возможности обновите данное ПО:

 

NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.128.0.2739.79 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.20 (64-разрядная) v.6.20.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9024 Внимание! Скачать обновления
Slack v.4.39.95 Внимание! Скачать обновления
Zoom v.5.17.0 (28375) Внимание! Скачать обновления

AmneziaVPN v.4.6.0.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.47134 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent v.4.6.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 381 (64-bit) v.8.0.3810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.18 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.7.3.1081 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.128.0.6613.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Николай212322122
      Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
    • AndreyGrom89
      Вирус\майнер CAAServise
      Автор AndreyGrom89
      Доброго времени суток. Недавно обнаружил повышенную нагрузку на ГП. В диспетчере задач было обнаружено два процесса microsoft network realtime inspection service, один из которых и грузил карту. Поиском в инете нашел инфу о возможном майнере. Выполнил рекомендации из поста, не на данном форуме, рекомендации помогли, но увы не надолго, после некоторого времени проблема появилась вновь. Сегодня наткнулся на этот форум с похожей темой. Проверял комп Defender`ом, он проблему не находил. Обнаружил данный "файл" в исключениях, удалил оттуда. По рекомендации с соседней темы скачал FRST, сделал проверку, результаты прикрепил. Какие дальнейшие действия можно применить??
      Addition.txt FRST.txt
    • Fasolka
      Не получается удалить Trojan.Siggen31.49942
      Автор Fasolka
      Обьект: app.dll             Путь: C:\Users\lucif\AppData\Local\Temp\310HkrIkW1H0uUQZkVZi2Qlb5qF\resources\app.asar.unpacked\dist\electron\assets\app.dll
    • Владхелп
      [РЕШЕНО] Подозрение на вирус, подвисания
      Автор Владхелп
      Здравствуйте,
      Недавно переносил файлы с флешки друга, после этого начал подвисать и греться ноутбук, защитник ничего не видит
      CollectionLog-2025.12.22-22.00.zip
    • shougo04
      [РЕШЕНО] Client Helper вирус, помогите
      Автор shougo04
      Всем привет. Первый раз пишу сюда, отчаялся сильно. Уже качал Malwarebytes который на компе выявил 1 троян, несколько значений реестра от программы DriverIdentifier и что-то ещё, что я забыл. После того как я всё это удалил, вручную почистил реестр от подозрительных, старых, лишних значений, всё равно тыкаю Диспетчер задач - нагрузка ЦП (не видюхи) 40%+ и при открытии диспетчера падает соответственно до 1-3%. Так же использовал программу M1nerSearch, которая так же удалила 4 файла и 1 значение реестра по-моему, лог сохранился, если что прикреплю. 
       
      Я зашёл в Speccy и там обнаружил вкладку "планировщик задач" где увидел очень подозрительные процессы.  В планировщике задач обнаружил Client Helper(который MinerSearch как вирус определял), и Edgeupdate которые как я выяснил могут являться знаками наличия вируса. Вирусы получал крайне редко, и то очень давно, поэтому несильно шарю в них, извините.
      Я сейчас скачаю программу Revo uninstaller и попробую с помощью неё ещё что-нибудь сделать. Так же отмечу что вытаскивал кабель инета, устанавливал CCleaner, чистил комп, чистил реестр с помощью неё, потом обратно инет подключал. Так же исправлял ошибки реестра программой Wise Registry Cleaner.
       
      На всякий случай прикрепил 2 лога от MinerSearch, 1-й в котором указаны кол-во запусков 1 это тот лог, который при первом запуске мне и показал 5 проблем. 
      2 лог это лог уже второй проверки после всех вышеописанных манипуляций с ПК, он не обнаружил проблем, но как видите они остались, так что хз.
       
       
      Скрин подозрительной активности в Планировщике.
       
       
      MinerSearch_12_17_2025_7-15-07_PM.log MinerSearch_12_17_2025_8-23-48_PM.log
×
×
  • Создать...