Довычистить вирус

20 часов назад

Подхватил вирус, сразу после этого отрубил питание, загрузился с флешки с KRD, провёл чистку, потом также с Dr.Web LiveDisk, потом загрузил уже систему в безопасном и повторил сканирование из под системы... Но судя по всему вирус всё-ещё где-то остался. Во первых - загрузка системы сильно дольше чем было до этого, во вторых - после загрузки появляется консоль и закрывается. Ищу советов и рекомендаций как довычистить остатки. Вирус много мусора насоздавал в appdata, ProgramData, programfiles, sysWOW64... Пришлось руками дочищать, но это определённо не всё. Возможно будет удобнее отсортировать все файлы по дате изменения и так отследить мусор созданный вирусом? Что будет удобно для этого использовать? Так же согласно инструкции использовал AutoLogger, архив прикрепил.

Wimdows 7 x64

CollectionLog-2024.10.04-17.39.zip

17 часов назад

Логи сканирования можете показать? в архиве без пароля.

+

Добавьте дополнительные логи

1. логи FRST

2. образ автозапуска системы в uVS

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

16 часов назад

Отправляю логи FRST и образ автозапуска системы в uVS

Addition.txt FRST.txt MAKKWELL-PC_2024-10-07_05-30-22_v4.99.1v x64.7z Shortcut.txt

14 часов назад

По очистке системы в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.2v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide D:\PROCESS_HACKER_V3.0_RUS-RSLOAD.NET-\X64\KPROCESSHACKER.SYS
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\WINDOWS TASKS SERVICE\WINSERV.EXE
delall %SystemRoot%\SYSWOW64\UNSECAPP.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref SERVICE\WINSERV.EXE
delall %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
zoo %SystemDrive%\USERS\MAKKWELL\DOWNLOADS\11495_SUMRGOVERNOROFPOKER2.EXE
addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D66DAA531 64 Trojan-Ransom.Win32.Cryakl.fx 7

zoo %SystemDrive%\USERS\MAKKWELL\DOWNLOADS\2152_SPONGEBOB.SQUAREPANTSTHEMOVIE.EXE
zoo %SystemDrive%\USERS\MAKKWELL\DOWNLOADS\15632_SUMRINTRUSION2.EXE
chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\6QANG0C81KB\MASTERDATAU.BAT
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINER.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\UPDATE CORE\NVPROFILEUPDATER64.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVBACKEND\NVTMREP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\GROOVEEX.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\GROOVEEX.DLL
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\URLREDIR.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\URLREDIR.DLL
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\IEAWSDC.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\IEAWSDC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\INLAUNCH.DLL
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\OWSCLT.DLL
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\AUTHZAX.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\AUTHZAX.DLL
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\STSCOPY.DLL
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\OUTLOOK.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\MLCFG32.CPL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\NPAUTHZ.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\NPSPWRAP.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONFILTER.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MAPISHELL.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONBTTNIE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONBTTNIELINKEDNOTES.DLL
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\MSOHEVI.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\VISSHE.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\MLSHEXT.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\OLKFSTUB.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\MSOSHEXT.DLL
delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS ULTRA\DTSHL64.DLL
delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS ULTRA\DTSHL32.DLL
delref %SystemDrive%\PROGRAM FILES\WINRAR\RAREXT.DLL
delref %SystemDrive%\PROGRAM FILES\WINRAR\RAREXT32.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE14\MSOXMLMF.DLL
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\EXCEL.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\POWERPNT.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\WINWORD.EXE
delref %SystemDrive%\PROGRA~2\MICROS~3\OFFICE14\VPREVIEW.EXE
delref %SystemDrive%\PROGRAM FILES\T800 PRODUCTIONS\FOLDER OPTIONS X\FOLDEROPTIONS.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\SSV.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\JP2SSV.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\NAMEEXT.DLL
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\DTPLUGIN\NPDEPLOYJAVA1.DLL
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-1.8\BIN\PLUGIN2\NPJP2.DLL
delref %SystemDrive%\PROGRA~1\MICROS~2\OFFICE14\NPAUTHZ.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\109.0.5414.120\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVUI.DLL
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\FUEL\FUEL.SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\FUEL\AMD64\AODDRIVER2.SYS
delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS ULTRA\DISCSOFTBUSSERVICEULTRA.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\109.0.5414.120\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICESOFTWAREPROTECTIONPLATFORM\OSPPSVC.EXE
delref %Sys32%\PSXSS.EXE
delref H:\SETUP.EXE
delref G:\AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVIDIA GEFORCE EXPERIENCE\NVIDIA GEFORCE EXPERIENCE.EXE
delref %SystemDrive%\PROGRAM FILES\UVNC BVBA\ULTRAVNC\UVNC_LAUNCH.EXE
delref %SystemDrive%\PROGRAM FILES\UVNC BVBA\ULTRAVNC\REPEATER.EXE
delref %SystemDrive%\PROGRAM FILES\UVNC BVBA\ULTRAVNC\WINVNC.EXE
delref %SystemDrive%\PROGRAM FILES\UVNC BVBA\ULTRAVNC\VNCVIEWER.EXE
delref %SystemDrive%\PROGRAM FILES\WINRAR\WINRAR.EXE
delref %SystemDrive%\PROGRAM FILES\PAINT.NET\PAINTDOTNET.EXE
delref %SystemDrive%\PROGRAM FILES\REALTEK\AUDIO\HDA\RAVCPL64.EXE
delref %SystemDrive%\PROGRAM FILES\AUDACITY\AUDACITY.EXE
delref %SystemDrive%\PROGRAM FILES\DAEMON TOOLS ULTRA\DTLAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\OBS-STUDIO\BIN\64BIT\OBS64.EXE
delref %SystemDrive%\PROGRAM FILES\PARAGON SOFTWARE\PARAGON HARD DISK MANAGER 15 PREMIUM\PROGRAM\LAUNCHER.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

8 часов назад

2024-10-07_13-45-22_log.txt

7 часов назад

Сертификат сами блокировали?

Цитата

HKLM\ DisallowedCertificates: 47D92D49E6F7F296260DA1AF355F941EB25360C4 (U)

логи FRST делали в безопасном режиме. В нормальном режиме FRST не запустился?

Режим загрузки: Safe Mode (minimal)

образ автозапуска тоже был сделал из Safe mode

Boot: Fail-safe

Проверьте работу системы в нормальном режиме.

Изменено 7 часов назад пользователем safety

3 часа назад

3 часа назад, safety сказал:

Сертификат сами блокировали?

Нет, полагаю. Не знаю даже что это.

Текущие моменты -
1. ПОСЛЕ экрана загрузки (где складывается логотип виндовс) но ДО экрана "добро пожаловать" несколько секунд висит чёрный экран и виден курсор со значком загрузки. Раньше подобного не было.
2. Также уже после загрузки системы на мгновение открывается и закрывается какая-то программа.
3. Все папки в проводнике открываются в новом окне (даже в безопасном режиме). Соответствующая настройка проводника в панели задач отключена. Включил и выключил её, всё равно все папки в новом окне открываются.

Прикладываю новые логи FRST и uVS из нормального режима.

Addition.txt FRST.txt MAKKWELL-PC_2024-10-07_17-56-25_v4.99.1v x64.7z

Довычистить вирус

Рекомендуемые сообщения

Qeqefq563 0

Ссылка на сообщение

Поделиться на другие сайты

safety 123

Ссылка на сообщение

Поделиться на другие сайты

Qeqefq563 0

Ссылка на сообщение

Поделиться на другие сайты

safety 123

Ссылка на сообщение

Поделиться на другие сайты

Qeqefq563 0

Ссылка на сообщение

Поделиться на другие сайты

safety 123

Ссылка на сообщение

Поделиться на другие сайты

Qeqefq563 0

Ссылка на сообщение

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum