Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Проблема схожая с соседними темами.

  • C:\ProgramData\Google\Chrome\updater.exe, который восстанавливается сам собой, Malwarebytes кладет его в карантин с пометкой Trojan.Crypt.Generic
  • ежеминутные запросы от C:\Windows\System32\dialer.exe на fcm1sx3iteasdfyn2ewsd.zip, которые Malwarebytes так же блокирует
  • в hosts все домены Windows Updates и антивирусов редиректятся на 0.0.0.0

Удаление не помогает, никакой софт для удаления (KVRT, drweb, Malwarebytes и т.п.) не помогает.

Помогите пожалуйста.

Прикрепляю FRST и UVS отчеты по инструкциям из соседних тем.

DESKTOP-CIJDVRS_2024-09-22_22-35-23_v4.99.1v x64.7z Addition.txt FRST.txt

Опубликовано (изменено)

Выполните скрипт очистки в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.


 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
;------------------------autoscript---------------------------

delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE
apply
deltmp
delref %SystemDrive%\USERS\SERGI\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\ARMOURYDEVICE\DLL\SHAREFROMARMOURYIII\MOUSE\ROG STRIX CARRY\P508POWERAGENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ154\CPUZ154_X64.SYS
delref %Sys32%\DRIVERS\HSSTAP.SYS
delref %SystemDrive%\USERS\SERGI\APPDATA\LOCAL\TEMP\HWINFO64A_180.SYS
delref %SystemDrive%\USERS\SERGI\APPDATA\ROAMING\VK TEAMS\BIN\VKTEAMS.EXE
;-------------------------------------------------------------
restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска для контроля

+

добавьте все логи по правилам.

Порядок оформления запроса о помощи».

 

 

Изменено пользователем safety
  • Like (+1) 1
Опубликовано

@safety

 

Сделал, спасибо большое, прикрепляю лог и образ от uVS.

 

Прошу прощения за неверное оформление - так же прикрепляю логи от AutoLogger (уже после очистки).

DESKTOP-CIJDVRS_2024-09-23_15-18-46_v4.99.1v x64.7z 2024-09-23_15-12-14_log.txt CollectionLog-2024.09.23-15.28.zip

Опубликовано (изменено)
1 час назад, hu553in сказал:

Сделал, спасибо большое, прикрепляю лог и образ от uVS.

Судя по логу, и новому образу, майнер успешно защищается от удаления.

 

Этот же скрипт выполните в uVS только из безопасного режима системы (с поддержкой сети)

после выполнения скрипта загружаемся в нормальный режим,

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте новый образ автозапуска для контроля.

 

Изменено пользователем safety
  • Like (+1) 1
Опубликовано (изменено)

Отлично,

Теперь система очищена от майнера и его вредоносных потоков.

Активности Dialer.exe, которая была в предыдущем образе

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DIALER.EXE [8384]

в текущем образе нет.

Множественных потоков, внедренных в системные процессы нет.

Службы HKLM\System\CurrentControlSet\Services\GoogleUpdateTaskMachineQC\ImagePath, защищенной от удаления, которая запускала файл C:\ProgramData\Google\Chrome\updater.exe,  нет.

C:\ProgramData\Google\Chrome\updater.exe - удален.

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

Изменено пользователем safety
  • Like (+1) 1
Опубликовано

по возможности обновите данное ПО:

 

NVIDIA GeForce Experience 3.27.0.112 v.3.27.0.112 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.128.0.2739.79 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.20 (64-разрядная) v.6.20.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9024 Внимание! Скачать обновления
Slack v.4.39.95 Внимание! Скачать обновления
Zoom v.5.17.0 (28375) Внимание! Скачать обновления

AmneziaVPN v.4.6.0.3 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.47134 Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent v.4.6.6 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 381 (64-bit) v.8.0.3810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u421-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.18 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Yandex v.24.7.3.1081 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.128.0.6613.139 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

  • Like (+1) 1
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Andrey656560
      Автор Andrey656560
      Здравствуйте, столкнулся с вредоносным ПО.  Сегодня я скачал Kaspersky Premium  и начал полную проверку, и обнаружилось что-то вредоносное в Объекте: Windriver.cmd. Вредносное ПО, который обнаружил это: not-a-virus:HEUR:RiskTool.BAT.Alien.gen Путь C:\ProgramData\Microsoft. Решил я закинуть  этот объект в VirusTotal, а там уже обнаружилось 5 вредоносных ПО: 1 PowerShell/Kryptik.HJ!tr 2Trojan:BAT/Alien.RPA!MTB 3 Not-a-virus:HEUR:RiskTool.BAT.Alien.gen. Удалить не получается(не понимаю
    • DrRybkin
      Автор DrRybkin
      Всем добрый день. Начал замечать, что у меня застывает картинка в браузере и проблема со странной активностью системы.
      Прогнал систему через Cureit, обнаружил вирус-файл caaservices.exe, определен как Trojan.Packed2.49814.
      Cureit переместил в карантин.
      Прогнал сбор логов через FRST64 со стандартными установками после проверки Сurieit. Прикрепляю.
      Помогите избавиться от вируса, пожалуйста.
      FRST.txt Addition.txt
    • Sos3993
      Автор Sos3993
      Зловредное по проявляет активность когда подключается интернет, используется как процессор так и видеокарта на все сто.Но иногда может что-то одно. После же выключения интернета, радиаторы железа сразу остывают, что собственно говорит о прекращении частичной работы по. Но ресурсы как видеопамять так и озу всё равно продолжают потреблятся.
      CollectionLog-2023.12.08-23.15.zip
    • siemensok
      Автор siemensok
      Приветствую. Поймал какие то вирусы. При включении ПК запускалось какое то приложение через командную строку. Проверил с помощью касперского, он что то нашел и вылечил. Воспользовался AV block remover, он нашел "левого" пользователя John и удалил его вроде как. После этого ошибка при включении ПК вроде как пропала, но боюсь что в дальнейшем может появится снова. Подскажите пожалуйста что можно ещё сделать?
      AV_block_remove_2024.04.28-12.24.log CollectionLog-2024.04.28-12.29.zip
    • evgeniyy
      Автор evgeniyy
      Здравствуйте, поймал где-то крайне неприятную штуку Trojan.Multi.GenAutorunTask.c
      Найти его смог через virus removal tool, после попыток лечить вирус, он все равно появляется. При поиске вируса в безопасном режиме, выскакивал уже Trojan.Multi.GenAutorunTask.a
      Отражается их влияние на работе интернета. Он постоянно обрывается или крайне сильно тормозит. Может некоторое время работать, а потом тупо перестать. 
       
      Так же при поиске через KVRT выскакивало HEUR:Trojan.Multi.StartPage.h на пару с вышеописанными.
       
      zip-архив с собранными логами прикладываю. Надеюсь на помощь.
       
      CollectionLog-2024.02.05-21.46.zip
×
×
  • Создать...