Помогите пожалуйста удалить вирус

[Эльнар]

Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.

CollectionLog-2024.12.02-15.07.zip

[safety]

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Эльнар]

1 час назад, safety сказал:

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Спасибо, что откликнулись на мою просьбу! Сделал по инструкции и прикрепил архив.

LYLY_2024-12-02_18-26-25_v4.99.4v x64.7z

[safety]

Просьба, не цитировать мой ответ, просто пишите в окне редактора свой ответ.

 

Есть потоки в системном процессе:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [8620], tid=7428

---------

по очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
zoo %SystemDrive%\USERS\ELNAR\COOKIES\INI.CMD
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\14.4.0.11537\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
hide %SystemDrive%\PROGRAM FILES\TORTOISESVN\BIN\TORTOISESVN.DLL
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\CURRENT\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
hide D:\SOURCE\UNREAL_ENGINE\R3-5.3.2-228D9E97\ENGINE\BINARIES\THIRDPARTY\PYTHON3\WIN64\PYTHON3.DLL
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\QBITTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
delall %SystemDrive%\USERS\ELNAR\COOKIES\INI.CMD
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIHCJICGDANJAECHKGEEGCKOFJJEDODEE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOJOBPPFPLOABCEGHNMLAHPOONBCBACN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.86\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.86\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\127.0.6533.99\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.70\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\WEB_STORE\WEB STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.42\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\[CLSID]
delref {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BLENDER FOUNDATION\BLENDER 4.0\BLENDER-LAUNCHER.EXE
delref F:\GAMES\S.T.A.L.K.E.R. - ЗОВ ПРИПЯТИ\STALKER-COP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADLM\R24\LTU.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE
;-------------------------------------------------------------
REGT 39
restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

+

Сделайте, пожалуйста, новый образ автозапуска для контроля

Изменено Понедельник в 15:24 пользователем safety

[Эльнар]

Скрипт выполнил, после перезагрузки гула вентиляторов нет, процессор работает в штатном режиме. Msconfig теперь открывается. Раньше malwarebytes, в отличие от Kaspersky Removal Tool, вообще не запускался, а теперь без проблем запускается. Огромная вам благодарность!!! После переустановки windows мне бы пришлось много клиентского софта переустанавливать и заново настраивать. Но к сожалению этот вирус что то успел побить в системе. При попытке сделать скриншот экрана вылазит ошибка (на фото).

2024-12-02_19-47-24_log.txt LYLY_2024-12-02_19-56-06_v4.99.4v x64.7z

[safety]

Возможно, получится исправить данную ошибку.

 

Пробуйте в uVS выполнить такой скрипт с автоперезагрузкой системы.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delref INSTALL.EXE
apply

restart

после перезагрузки системы.

Добавьте новый файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, ушла ошибка, которую вы показали на скриншоте или нет.

+

Сделайте, пожалуйста, логи FRST

 

Изменено 5 часов назад пользователем safety