Перейти к содержанию
Правила раздела

[РЕШЕНО] Помогите пожалуйста удалить вирус

Эльнар

От Эльнар
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Эльнар Новичок

Эльнар

Опубликовано
Опубликовано

Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.

CollectionLog-2024.12.02-15.07.zip

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на комментарий
Поделиться на другие сайты
Эльнар Новичок

Эльнар

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Спасибо, что откликнулись на мою просьбу! Сделал по инструкции и прикрепил архив.

LYLY_2024-12-02_18-26-25_v4.99.4v x64.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Просьба, не цитировать мой ответ, просто пишите в окне редактора свой ответ.

 

Есть потоки в системном процессе:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [8620], tid=7428

---------

по очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы. 

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
zoo %SystemDrive%\USERS\ELNAR\COOKIES\INI.CMD
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\14.4.0.11537\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
hide %SystemDrive%\PROGRAM FILES\TORTOISESVN\BIN\TORTOISESVN.DLL
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\CURRENT\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
hide D:\SOURCE\UNREAL_ENGINE\R3-5.3.2-228D9E97\ENGINE\BINARIES\THIRDPARTY\PYTHON3\WIN64\PYTHON3.DLL
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\QBITTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
delall %SystemDrive%\USERS\ELNAR\COOKIES\INI.CMD
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIHCJICGDANJAECHKGEEGCKOFJJEDODEE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOJOBPPFPLOABCEGHNMLAHPOONBCBACN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.86\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.86\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\127.0.6533.99\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.70\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\WEB_STORE\WEB STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.42\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\[CLSID]
delref {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BLENDER FOUNDATION\BLENDER 4.0\BLENDER-LAUNCHER.EXE
delref F:\GAMES\S.T.A.L.K.E.R. - ЗОВ ПРИПЯТИ\STALKER-COP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADLM\R24\LTU.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE
;-------------------------------------------------------------
REGT 39
restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

+

Сделайте, пожалуйста, новый образ автозапуска для контроля

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Эльнар Новичок

Эльнар

Опубликовано
  • Автор
Опубликовано

Скрипт выполнил, после перезагрузки гула вентиляторов нет, процессор работает в штатном режиме. Msconfig теперь открывается. Раньше malwarebytes, в отличие от Kaspersky Removal Tool, вообще не запускался, а теперь без проблем запускается. Огромная вам благодарность!!! После переустановки windows мне бы пришлось много клиентского софта переустанавливать и заново настраивать. Но к сожалению этот вирус что то успел побить в системе. При попытке сделать скриншот экрана вылазит ошибка (на фото).

photo_2024-12-02_20-12-14.jpg

2024-12-02_19-47-24_log.txt LYLY_2024-12-02_19-56-06_v4.99.4v x64.7z

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)

Возможно, получится исправить данную ошибку.

 

Пробуйте в uVS выполнить такой скрипт с автоперезагрузкой системы.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы. 

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delref INSTALL.EXE
apply

restart

после перезагрузки системы.

Добавьте новый файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, ушла ошибка, которую вы показали на скриншоте или нет.

+

Сделайте, пожалуйста, логи FRST

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Эльнар Новичок

Эльнар

Опубликовано
  • Автор
Опубликовано

Здраствуйте! Запустил скрипт, который вы скинули, и прикрепил лог. Прежде чем использовать вашу инструкцию я уже успел удалить программу ножницы, чтобы её установить заново. Но Microsoft store перестал работать, и центр обновления Windows. Поэтому не могу проверить ушла ли проблема скриншота.

image.png

image.png

FRST.txt

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Скачайте и сохраните на диск отсюда

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

твики для исправления служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Файлы *.reg запускаем от имени Администратора и соглашаемся добавить изменение в реестр.

Затем перегружаем систему.

------------------------------------

 

После перезагрузки:

 

Выполнить скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\svchost.exe: [GlobalFlag] C:\Windows\System32\cmd.exe /c start install.exe
HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\Windows\System32\cmd.exe /c start install.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-06-12] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-14] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-10] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138232 2024-11-13] (Microsoft Windows -> Microsoft Corporation)
2024-11-30 16:03 - 2024-12-02 19:46 - 000000000 ____D C:\ProgramData\AUX..
2024-11-30 16:03 - 2024-11-30 16:03 - 000000000 ____D C:\ProgramData\NUL..
Reboot::
End::

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте, пожалуйста, новые логи FRST для контроля:

Нужны оба файла:

FRST.txt и Addition.txt

 

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
05.12.2024 в 03:04, Эльнар сказал:

Но Microsoft store перестал работать, и центр обновления Windows. Поэтому не могу проверить ушла ли проблема скриншота.

Эльнар,

рекомендации из последнего сообщения позволят вам исправить проблему с обновлением W.

Ссылка на комментарий
Поделиться на другие сайты
  • 1 month later...
Эльнар Новичок

Эльнар

Опубликовано
  • Автор
Опубликовано

Добрый день и с Новым годом! Спасибо Вам за инструкцию! Я её выполнил и приложил логи из FRST. Пока не могу сказать точно ушла ли проблема с inatall.exe, потому что она рандомно появляется при работе в программах. Но после выполнения инструкции пока не появлялась. 

Fixlog.txt FRST.txt Addition.txt

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Явных вредоносных записей, которые были в предыдущем логе FRST как будто нет.

 


    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

По возможности, обновите данное ПО:

 

Malwarebytes version 4.6.17.334 v.4.6.17.334 Warning! Download Update
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.41.0.3 Warning! Download Update

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Warning! Download Update
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 24.08 (x64) v.24.08 Warning! Download Update
Uninstall old version and install new one.
WinRAR 6.24 (64-разрядная) v.6.24.0 Warning! Download Update
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9034 Warning! Download Update

qBittorrent v.4.6.6 Warning! Download Update

 

 

=======

qBittorrent 8.1.7 v.8.1.7 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall

gt-launcher 5.2.6 v.5.2.6 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall

Registry Repair 6.0.1.11 v.6.0.1.11 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Zakhar62668
      Помогите удалить вирус
      От Zakhar62668
      Виндоус дефендер находит постоянно трояны, но удалить не может, также пытался установить разные антивирусы, но все они не запускаются, вылетают ошибки, а также в исключениях есть файлы, которые не удаляются. Сейчас, посмотрев форум, запустил компьютер в безопасном режиме и через флешку установил фарбар рекавери скан тулс(чтоб запустить его пришлось удалить ограничения в редакторе реестра)
    • Lichtqwe
      Помогите пожалуйста удалить майнер
      От Lichtqwe
      Активировал windows через кмс, подхватил майнера с добавлением пользователя john, не получается скачать антивирус, autologger и av block remover не запускаются даже после того как переименовал, пишет отказано в доступе
    • plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR
      От plotikkaroch
      Помогите удалить вирус NET:MALWARE.UR.
      Объект: dialer.exe.
      Угроза: NET:MALWARE.URL
      Путь:\Net\3816\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
               \Net\2508\TCP\5/188/137/200-8888\Device\HarddiskVolume3\Windows\System32\dialer.exe
      Не знаю, что для этого нужно делать и прикреплять. Поэтому прикрепил, что увидел в других похожих темах на этот счет.
      Виндовс не очень хочется переустанавливать из-за этого.
      Curelt его не обезвреживает, при повторном сканировании также появляются в списке. 
      Логи cureit, SysInfo, FRST, Addition: https://dropmefiles.com/AiGRB
    • Шаманов_Артём
      Зашифровались файлы. Помогите, пожалуйста.
      От Шаманов_Артём
      Доброго дня. Поймали данный шедевр на компы, подскажите пожалуйста, какие действия предпринимать, куда бежать, куда писать?
       
      Сообщение от модератора thyrex Перенесено из данной темы
    • idk
      помогите удалить sppextfileobj.exe появился после того обхода дискорда
      От idk
      майнер очень сильно нагружает видеокарту, у sppextfileobj.exe есть 2 части одна видимая другая скрытая , если удалить его видимую часть то она через минуты 3 восстановится, у майнера есть админка и он запретил сбрасывать настройки антивирусы просто не запускаются, из за майнера в основном зависает пк на секунд 15-20. Что делать?
       
      Сообщение от модератора thyrex Перемещено в Уничтожение вирусов
×
×
  • Создать...