Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

Поймал судя по всему майнер. Откуда - идей нет. Как понял - нагружает систему на максимум,  температура проца улетает в 90 - 100 градусов, сразу после запуска ОС. Пара игр не запускалась, через 10-15 минут запускались, без каких-либо действий для починки. При открытии диспетчера задач - вирус прячется и уходит в инактив. Поставил DrWeb - он обнаруживает его, выдает следующее:
 

Цитата

Объект: powershell.exe
Угроза: DPC:PowerShell.AVKill.10
Действие: Не обезврежено
Путь: \PROC\CMDLINE\12584\powershell.exe

Ручками найти не удалось.

Прогнал ПК через Kaspersky Virus Removal Tool, Dr.Web CureIt!, ESET Online Scanner, HitmanPro 3.8 и AdwCleaner. Проверку выполнял в безопасном режиме с флажком на Сеть. Результата не дало.

CollectionLog-2024.12.02-13.47.zip

Опубликовано (изменено)
Цитата

Поставил DrWeb - он обнаруживает его, выдает следующее:

Если есть возможность, добавьте отчеты по обнаружению угроз из установленного ДрВеб.

+

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено пользователем safety
Опубликовано

Доброго времени суток! Объединил всё в один архив, таблица csv - отчёт ДрВеб, надеюсь это то что вы просили

DrWebLogAnduVSLog.rar

Опубликовано

Этот файл проверьте на Virustotal.com

C:\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE

и дайте ссылку здесь на результат проверки.

Опубликовано

У файла размер (760Мб) выше допустимого (650Мб)

Опубликовано

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

 

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\ROMAN\DESKTOP\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
zoo %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
apply

deltmp
delref D:\SOFT\ANVIR TASK MANAGER\ANVIR.EXE
delref D:\SOFT\ITOP VPN\PUB\ITOPSUMMERP24.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT 9.0\ACROBAT\..\ACROBAT ELEMENTS\CONTEXTMENU64.DLL
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\AACT_TOOLS\AACT.EXE
delref %SystemRoot%\AACT_TOOLS\AACT_FILES
delref %Sys32%\SPPEXTCOMOBJPATCHER.EXE
delref %Sys32%\SPPEXTCOMOBJHOOK.DLL
delref %SystemRoot%\AACT_TOOLS\AACT_FILES\KMSSS.EXE
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\4B009A13.SYS
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\KVRT2020_DATA\TEMP\E9A10B225D984DC88D29D581BE96FF99\KLUPD_4B009A13A_ARKMON.SYS
delref D:\SOFT\GOODBYEDPI-0.2.3RC1\X86_64\WINDIVERT64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\123.0.2420.81\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.67\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref E:\AUTORUN.EXE
delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\TEMP\.OPERA\FEF48EFB9D94\INSTALLER.EXE
delref %SystemRoot%\TEMP\B68CFC1D-F288-4E73-8D31-3010F296398A\DISMHOST.EXE
delref D:\OMNETPP-6.0.2\MINGWENV.CMD
delref D:\SOFT\QT\5.13.1\MINGW73_64\BIN\QTENV2.BAT
delref D:\STEAM\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE
;-------------------------------------------------------------

restart
czoo

 

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание в ЛС.

Напишите по состоянию системы после выполнения скрипта очистки

+

Сделайте, пожалуйста, логи FRST

Опубликовано

Необходимо ли было при запуске скрипта отключать ДрВеб?
Не выключил его сразу, только в процессе выполнения. После перезагрузки вирус всё еще со мной. Логи прикрепил. Архив ZOO сейчас отправлю.

2024-12-02_18-05-00_log.txt FRST.txt Addition.txt

Опубликовано (изменено)

Судя по логу выполнения скрипта, и по логам FRST файл был удален:

 

delall %SystemDrive%\USERS\ROMAN\APPDATA\ROAMING\SYS64\WLANSINF\SVCSYS64.EXE
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

Цитата

Архив ZOO сейчас отправлю.

да, жду архив.

+

Этот файл видимо тоже большой и не получится его проверить на VT

C:\PROGRAM FILES\WINDOWSPOWERSHELL\MODULES\SECUREBOOT\SECUREBOOT.EXE

699354276 байт

 

Сделайте следующее,

необходимо запустить uVS через start.exe - текущий пользователь.

Затем зайти в главное меню, дополнительно, твики, выполнить твик 39 (включить отслеживание процессов и задач)

после этого перегрузить систему,

после перезагрузки создать новый образ автозапуска и прикрепить его к вашему сообщению

 

Изменено пользователем safety
Опубликовано

1)К сожалению не могу отправить личное сообщение, сайт пишет что у меня их ноль на сегодня. Могу приложить ссылку на архив сюда или отправить альтернативным методом

2)Да, файл тоже слишком большой

3)Инструкции к uVS сейчас выполню

 

Опубликовано
Только что, VladNotTheVampire сказал:

1)К сожалению не могу отправить личное сообщение, сайт пишет что у меня их ноль на сегодня. Могу приложить ссылку на архив сюда или отправить альтернативным методом

да, в таком случае, загрузите архив с файлом на облачный диск и дайте ссылку на скачивание здесь.

Опубликовано (изменено)

по файлу SVCSYS64.EXE есть детект:

Цитата

1)Ссылка на архив ZOO - https://disk.yandex.ru/d/LnYwvbkFWZ93Ig

 

G:\Temp\SVCSYS64.EXE._C4E22F7C5613E489F600102C1505F3B45BBDB02A - модифицированный Win64/Packed.Themida.AQ подозрительное приложение

 

По очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\CAVS\INTEL(R) AUDIO SERVICE\CONTROLMODULE.DLL
zoo %SystemDrive%\PROGRAM FILES\WINDOWSPOWERSHELL\MODULES\SECUREBOOT\SECUREBOOT.EXE
;---------command-block---------
delall %SystemDrive%\PROGRAM FILES\WINDOWSPOWERSHELL\MODULES\SECUREBOOT\SECUREBOOT.EXE
apply

regt 40
restart
czoo

после перезагрузки системы.

Добавьте новый файл дата_времяlog.txt из папки откуда запускали uVS

Новый архив ZOO_дата_время.7z загрузите на облачный диск и дайте ссылку на скачивание здесь.

Напишите по состоянию системы после выполнения скрипта очистки

+

добавьте новый образ автозапуска для контроля.

Изменено пользователем safety
Опубликовано (изменено)
13 минут назад, VladNotTheVampire сказал:

2)Ссылка на архив ZOO - https://disk.yandex.ru/d/bj9UcoGLBrV5ow

Есть детект:
G:\Temp\SECUREBOOT.EXE._53A06624A357390A6DA188E47EB1E2014F92E8E1 - модифицированный Win64/Packed.Themida.AQ подозрительное приложение

 

Лучше стало по состоянию системы:

нет потоков внедренных в cmd.exe (так было)

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\CMD.EXE [9024], tid=9436

и нет изменения кода процесса  (так было)

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\CMD.EXE [9024]

------------

по очистке в FRST сделайте, пожалуйста, следующее:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу без перезагрузки системы

Start::
AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [4306]
AlternateDataStreams: C:\ProgramData\Microsoft.SqlServer.Compact.400.64.bc:6D97201572 [4306]
AlternateDataStreams: C:\ProgramData\vmware-view.profile:33A0B2DBCA [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\HidHide Configuration Client.lnk:B7B9C8BD2D [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Mathcad 15.lnk:B56057AFE6 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\paint.net.lnk:C629424870 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk:C2E9D79AC5 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VMware Horizon Client.lnk:CE08A1D094 [4306]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [4306]
End::

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

+

 

завершающие шаги:

 

   

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ClausePixel
      Автор ClausePixel
      Подскажите проверил компьютер через Dr.web.Cureit, нашел странную угрозу, но не могу ее удалить net:malware.url
      лог прикладываю
       
      cureit.zip
    • chayagolik
      Автор chayagolik
      Здравствуйте, при сканировании Dr Web Cureit обнаружилась угроза CHROMIUM:PAGE.MALWARE.URL.


       
      CollectionLog-2024.06.18-10.08.zip
    • TillVeber
      Автор TillVeber
      Доброго времени суток!
      Обнаружил необычное поведение ПК, в панели мониторинга Afterburner появлялись большие нагрузки на железо. Также при попытке скачать антивирусные программы мгновенно закрывается браузер. Проверка Cureit показала 4 угрозы, где можно было их подцепить уже не ясно. После выполнения обезвреживания появляется ошибка о том, что некоторые файлы не были созданы и отображается самораспаковывающийся архив Packs.exe в папке C:/ProgramData/Setup. После перезагрузки компьютера угрозы неизменно возникают снова. Переустановка  операционной системы (Windows 10) очень нежелательна, поэтому ищу иной способ лечения.
      Буду благодарен за помощь в решении данной проблемы)


      CollectionLog-2023.12.13-17.07.zip
    • Саня_Химик
      Автор Саня_Химик
      Здравствуйте. Вопрос у меня про файл с расширением JPG - как он (файл с таким расширением) может нести вирусную угрозу? и почему антивирус в отчёте выдаёт о проверке двух объектов?
      Описание проблемы. Недавно скачал с интернета несколько фотографий с военной техникой второй мировой войны. При попытке скачать фото, браузер (яндекс-браузер) заблокировал попытку скачивания и выдал предупреждение о том, что скачиваемый файл может нести потенциальную опасность. Так как скачивались простые фото в jpg формате, то они (примерно 4 фото) всё же были принудительно загружены на ПК. Помятуя о предупреждении, файлы были проверены Kaspersky Free на вирусы. Продукт в отчёте указывает, что проверив одно фото - проверил 2 объекта. Но какие два - я увидеть не могу. Файлы с фото открывать боюсь, как и перезагружать ПК. Решил разобраться в этой необъяснимости для меня. Сам я в компьютерах - опытный пользователь, но понять как можно занести угрозу скачиванием фото и как эту угрозу предотвратить соответственно - понять не могу. Приложил два скриншота. Надеюсь пост разместил в соответствующей ветке форума, если нет, то извините.


    • Nokvark
      Автор Nokvark
      Добрый день, обнаружил вирус MALWARE.URL через doctor web.
      Не могу удалить, пробовал делать также, как описано в схожих с моей темами. CollectionLog-2025.05.05-09.21.zip
      Прошу помочь. 


×
×
  • Создать...