Довычистить вирус

[Qeqefq563]

Подхватил вирус, сразу после этого отрубил питание, загрузился с флешки с KRD, провёл чистку, потом также с Dr.Web LiveDisk, потом загрузил уже систему в безопасном и повторил сканирование из под системы... Но судя по всему вирус всё-ещё где-то остался. Во первых - загрузка системы сильно дольше чем было до этого, во вторых - после загрузки появляется консоль и закрывается. Ищу советов и рекомендаций как довычистить остатки. Вирус много мусора насоздавал в appdata, ProgramData, programfiles, sysWOW64... Пришлось руками дочищать, но это определённо не всё. Возможно будет удобнее отсортировать все файлы по дате изменения и так отследить мусор созданный вирусом? Что будет удобно для этого использовать? Так же согласно инструкции использовал AutoLogger, архив прикрепил. 

Wimdows 7 x64

CollectionLog-2024.10.04-17.39.zip

[safety]

Логи сканирования можете показать? в архиве без пароля.

+

Добавьте дополнительные логи

 

1. логи FRST

2. образ автозапуска системы в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Qeqefq563]

Отправляю логи FRST и образ автозапуска системы в uVS

Addition.txt FRST.txt MAKKWELL-PC_2024-10-07_05-30-22_v4.99.1v x64.7z Shortcut.txt

[safety]

По очистке системы в uVS

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide D:\PROCESS_HACKER_V3.0_RUS-RSLOAD.NET-\X64\KPROCESSHACKER.SYS
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\WINDOWS TASKS SERVICE\WINSERV.EXE
delall %SystemRoot%\SYSWOW64\UNSECAPP.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref SERVICE\WINSERV.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
zoo %SystemDrive%\USERS\MAKKWELL\DOWNLOADS\11495_SUMRGOVERNOROFPOKER2.EXE
addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 64 Trojan-Ransom.Win32.Cryakl.fx 7

zoo %SystemDrive%\USERS\MAKKWELL\DOWNLOADS\2152_SPONGEBOB.SQUAREPANTSTHEMOVIE.EXE
zoo %SystemDrive%\USERS\MAKKWELL\DOWNLOADS\15632_SUMRINTRUSION2.EXE
chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\6QANG0C81KB\MASTERDATAU.BAT
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINER.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\UPDATE CORE\NVPROFILEUPDATER64.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVBACKEND\NVTMREP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\GROOVEEX.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\GROOVEEX.DLL
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\URLREDIR.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\URLREDIR.DLL
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\IEAWSDC.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\IEAWSDC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\INLAUNCH.DLL
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\OWSCLT.DLL
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\AUTHZAX.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\AUTHZAX.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\STSCOPY.DLL
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\OUTLOOK.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\MLCFG32.CPL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\NPAUTHZ.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\NPSPWRAP.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONFILTER.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MAPISHELL.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONBTTNIE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONBTTNIELINKEDNOTES.DLL
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MSOHEVI.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\VISSHE.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\MLSHEXT.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\OLKFSTUB.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\MSOSHEXT.DLL
delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS ULTRA\DTSHL64.DLL
delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS ULTRA\DTSHL32.DLL
delref %SystemDrive%\PROGRAM FILES\WINRAR\RAREXT.DLL
delref %SystemDrive%\PROGRAM FILES\WINRAR\RAREXT32.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\MSOXMLMF.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\EXCEL.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\POWERPNT.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\WINWORD.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\VPREVIEW.EXE
delref %SystemDrive%\PROGRAM FILES\T800 PRODUCTIONS\FOLDER OPTIONS X\FOLDEROPTIONS.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\SSV.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\JP2SSV.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\NAMEEXT.DLL
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\DTPLUGIN\NPDEPLOYJAVA1.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\PLUGIN2\NPJP2.DLL
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\NPAUTHZ.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\109.0.5414.120\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVUI.DLL
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\FUEL\FUEL.SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\FUEL\AMD64\AODDRIVER2.SYS
delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS ULTRA\DISCSOFTBUSSERVICEULTRA.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\109.0.5414.120\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICESOFTWAREPROTECTIONPLATFORM\OSPPSVC.EXE
delref %Sys32%\PSXSS.EXE
delref H:\SETUP.EXE
delref G:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE
delref %SystemDrive%\PROGRAM FILES\UVNC BVBA\ULTRAVNC\UVNC_LAUNCH.EXE
delref %SystemDrive%\PROGRAM FILES\UVNC BVBA\ULTRAVNC\REPEATER.EXE
delref %SystemDrive%\PROGRAM FILES\UVNC BVBA\ULTRAVNC\WINVNC.EXE
delref %SystemDrive%\PROGRAM FILES\UVNC BVBA\ULTRAVNC\VNCVIEWER.EXE
delref %SystemDrive%\PROGRAM FILES\WINRAR\WINRAR.EXE
delref %SystemDrive%\PROGRAM FILES\PAINT.NET\PAINTDOTNET.EXE
delref %SystemDrive%\PROGRAM FILES\REALTEK\AUDIO\HDA\RAVCPL64.EXE
delref %SystemDrive%\PROGRAM FILES\AUDACITY\AUDACITY.EXE
delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS ULTRA\DTLAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\OBS-STUDIO\BIN\64BIT\OBS64.EXE
delref %SystemDrive%\PROGRAM FILES\PARAGON SOFTWARE\PARAGON HARD DISK MANAGER 15 PREMIUM\PROGRAM\LAUNCHER.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

[Qeqefq563]

2024-10-07_13-45-22_log.txt

[safety]

Сертификат сами блокировали?

Цитата

HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)

логи FRST делали в безопасном режиме. В нормальном режиме FRST не запустился?

Режим загрузки: Safe Mode (minimal)

образ автозапуска тоже был сделал из Safe mode

Boot: Fail-safe

Проверьте работу системы в нормальном режиме.

 

 

Изменено 7 октября, 2024 пользователем safety

[Qeqefq563]

3 часа назад, safety сказал:

Сертификат сами блокировали?

Нет, полагаю. Не знаю даже что это.

Текущие моменты -
1. ПОСЛЕ экрана загрузки (где складывается логотип виндовс) но ДО экрана "добро пожаловать" несколько секунд висит чёрный экран и виден курсор со значком загрузки. Раньше подобного не было.
2. Также уже после загрузки системы на мгновение открывается и закрывается какая-то программа. 
3. Все папки в проводнике открываются в новом окне (даже в безопасном режиме). Соответствующая настройка проводника в панели задач отключена. Включил и выключил её, всё равно все папки в новом окне открываются.

Прикладываю новые логи FRST и uVS из нормального режима. 

Addition.txt FRST.txt MAKKWELL-PC_2024-10-07_17-56-25_v4.99.1v x64.7z

[safety]

Выполните очистку в uVS.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall G:\AUTORUN.INF
delref KINO-FILMOV.NET
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WININET\WINSER
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WININET\WINSERS
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWSBACKUP\WINLOGONCHECK
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWSBACKUP\SYSTEMSUPPORT
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\MASTERDATAU\RECOVERYHOSTS
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWSBACKUP\ONLOGONCHECK
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWSBACKUP\CLEANCASH
delall %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWSBACKUP\GLOBALDATA
zoo D:\PROCESS_HACKER_V3.0_RUS-RSLOAD.NET-\X64\KPROCESSHACKER.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A4303AF29BD803B86C3573E559D492B80849FCA8F49FA25FFE872954AB02C2D77A42FC7062273 64 Tool.ProcessHacker.1 [DrWeb] 7

chklst
delvir

apply

deltmp
delref %Sys32%\BLANK.HTM
delref %Sys32%\TASKS\NVPROFILEUPDATERONLOGON_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
delref %Sys32%\TASKS\NVBATTERYBOOSTCHECKONLOGON_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
delref %Sys32%\TASKS\NVTMREP_CRASHREPORT1_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
delref %Sys32%\TASKS\NVIDIA GEFORCE EXPERIENCE SELFUPDATE_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
delref %Sys32%\TASKS\MICROSOFT\WINDOWS DEFENDER\MP SCHEDULED SCAN
delref %Sys32%\TASKS\NVTMREP_CRASHREPORT2_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
delref %Sys32%\TASKS\NVPROFILEUPDATERDAILY_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
delref %Sys32%\TASKS\NVTMREP_CRASHREPORT3_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
delref %Sys32%\TASKS\NVTMREP_CRASHREPORT4_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
delref %Sys32%\TASKS\MICROSOFT\WINDOWS DEFENDER\MPIDLETASK
delref %Sys32%\TASKS\NVDRIVERUPDATECHECKDAILY_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

[Qeqefq563]

2024-10-08_12-46-11_log.txt

[safety]

Что сейчас с проблемой?

[Qeqefq563]

 

22 часа назад, Qeqefq563 сказал:

ПОСЛЕ экрана загрузки (где складывается логотип виндовс) но ДО экрана "добро пожаловать" несколько секунд висит чёрный экран и виден курсор со значком загрузки. Раньше подобного не было.

Это всё ещё остаётся, не уверен насколько это нормально.
 

22 часа назад, Qeqefq563 сказал:

Все папки в проводнике открываются в новом окне (даже в безопасном режиме). Соответствующая настройка проводника в панели задач отключена. Включил и выключил её, всё равно все папки в новом окне открываются.

Вот эта проблема сейчас напрягает.

Вроде никаких иных подозрительных активностей не наблюдаю...

Ещё момент, так получилось что была полностью удалена папка Program Files с диска C:. Как лучше восстановить её дефолтное содержимое? Проверить целостность ресурсов системы загрузившись с установочного диска?

[safety]

9 часов назад, Qeqefq563 сказал:

Вот эта проблема сейчас напрягает.

Проверьте это решение для вашей W7x64

9 часов назад, Qeqefq563 сказал:

Ещё момент, так получилось что была полностью удалена папка Program Files с диска C:. Как лучше восстановить её дефолтное содержимое? Проверить целостность ресурсов системы загрузившись с установочного диска?

Проверьте через выполнение в cmd от имени Администратора команды

sfc /scannow

 

По очистке в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)
HKLM\ DisallowedCertificates: EE45853E5C81DB8FDBB7F92C18B20972C744911C (U)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
CHR StartupUrls: Default -> "hxxp://rusearch.co"
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
Reboot::
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Изменено 9 октября, 2024 пользователем safety

[Qeqefq563]

Проводник удалось починить. После проверки ресурсов в консоли следующее сообщение:
Защита ресурсов Windows обнаружила поврежденные файлы, но не может восстановить некоторые из них.
Прикладываю логи sfc /scannow и FRST

Fixlog.txt CBS.log.zip

[safety]

Какие проблемы сейчас наблюдаются в работе системы?