Перейти к содержанию
Правила раздела

[РЕШЕНО] Помогите пожалуйста удалить вирус

Эльнар

Автор Эльнар
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Эльнар

Эльнар

Опубликовано
Опубликовано

Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.

CollectionLog-2024.12.02-15.07.zip

safety

safety

Опубликовано
Опубликовано

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Эльнар

Эльнар

Опубликовано
  • Автор
Опубликовано
1 час назад, safety сказал:

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Спасибо, что откликнулись на мою просьбу! Сделал по инструкции и прикрепил архив.

LYLY_2024-12-02_18-26-25_v4.99.4v x64.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Просьба, не цитировать мой ответ, просто пишите в окне редактора свой ответ.

 

Есть потоки в системном процессе:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [8620], tid=7428

---------

по очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы. 

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
zoo %SystemDrive%\USERS\ELNAR\COOKIES\INI.CMD
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\14.4.0.11537\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
hide %SystemDrive%\PROGRAM FILES\TORTOISESVN\BIN\TORTOISESVN.DLL
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\CURRENT\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
hide D:\SOURCE\UNREAL_ENGINE\R3-5.3.2-228D9E97\ENGINE\BINARIES\THIRDPARTY\PYTHON3\WIN64\PYTHON3.DLL
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\QBITTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
delall %SystemDrive%\USERS\ELNAR\COOKIES\INI.CMD
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIHCJICGDANJAECHKGEEGCKOFJJEDODEE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOJOBPPFPLOABCEGHNMLAHPOONBCBACN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.86\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.86\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\127.0.6533.99\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.70\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\WEB_STORE\WEB STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.42\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\[CLSID]
delref {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BLENDER FOUNDATION\BLENDER 4.0\BLENDER-LAUNCHER.EXE
delref F:\GAMES\S.T.A.L.K.E.R. - ЗОВ ПРИПЯТИ\STALKER-COP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADLM\R24\LTU.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE
;-------------------------------------------------------------
REGT 39
restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

+

Сделайте, пожалуйста, новый образ автозапуска для контроля

Изменено пользователем safety
Эльнар

Эльнар

Опубликовано
  • Автор
Опубликовано

Скрипт выполнил, после перезагрузки гула вентиляторов нет, процессор работает в штатном режиме. Msconfig теперь открывается. Раньше malwarebytes, в отличие от Kaspersky Removal Tool, вообще не запускался, а теперь без проблем запускается. Огромная вам благодарность!!! После переустановки windows мне бы пришлось много клиентского софта переустанавливать и заново настраивать. Но к сожалению этот вирус что то успел побить в системе. При попытке сделать скриншот экрана вылазит ошибка (на фото).

photo_2024-12-02_20-12-14.jpg

2024-12-02_19-47-24_log.txt LYLY_2024-12-02_19-56-06_v4.99.4v x64.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Возможно, получится исправить данную ошибку.

 

Пробуйте в uVS выполнить такой скрипт с автоперезагрузкой системы.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы. 

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delref INSTALL.EXE
apply

restart

после перезагрузки системы.

Добавьте новый файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, ушла ошибка, которую вы показали на скриншоте или нет.

+

Сделайте, пожалуйста, логи FRST

 

Изменено пользователем safety
Эльнар

Эльнар

Опубликовано
  • Автор
Опубликовано

Здраствуйте! Запустил скрипт, который вы скинули, и прикрепил лог. Прежде чем использовать вашу инструкцию я уже успел удалить программу ножницы, чтобы её установить заново. Но Microsoft store перестал работать, и центр обновления Windows. Поэтому не могу проверить ушла ли проблема скриншота.

image.png

image.png

FRST.txt

safety

safety

Опубликовано
Опубликовано

Скачайте и сохраните на диск отсюда

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

твики для исправления служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Файлы *.reg запускаем от имени Администратора и соглашаемся добавить изменение в реестр.

Затем перегружаем систему.

------------------------------------

 

После перезагрузки:

 

Выполнить скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\svchost.exe: [GlobalFlag] C:\Windows\System32\cmd.exe /c start install.exe
HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\Windows\System32\cmd.exe /c start install.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-06-12] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-14] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-10] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138232 2024-11-13] (Microsoft Windows -> Microsoft Corporation)
2024-11-30 16:03 - 2024-12-02 19:46 - 000000000 ____D C:\ProgramData\AUX..
2024-11-30 16:03 - 2024-11-30 16:03 - 000000000 ____D C:\ProgramData\NUL..
Reboot::
End::

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте, пожалуйста, новые логи FRST для контроля:

Нужны оба файла:

FRST.txt и Addition.txt

 

safety

safety

Опубликовано
Опубликовано
05.12.2024 в 03:04, Эльнар сказал:

Но Microsoft store перестал работать, и центр обновления Windows. Поэтому не могу проверить ушла ли проблема скриншота.

Эльнар,

рекомендации из последнего сообщения позволят вам исправить проблему с обновлением W.

  • 1 месяц спустя...
Эльнар

Эльнар

Опубликовано
  • Автор
Опубликовано

Добрый день и с Новым годом! Спасибо Вам за инструкцию! Я её выполнил и приложил логи из FRST. Пока не могу сказать точно ушла ли проблема с inatall.exe, потому что она рандомно появляется при работе в программах. Но после выполнения инструкции пока не появлялась. 

Fixlog.txt FRST.txt Addition.txt

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Явных вредоносных записей, которые были в предыдущем логе FRST как будто нет.

 


    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

safety

safety

Опубликовано
Опубликовано

По возможности, обновите данное ПО:

 

Malwarebytes version 4.6.17.334 v.4.6.17.334 Warning! Download Update
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.41.0.3 Warning! Download Update

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Warning! Download Update
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 24.08 (x64) v.24.08 Warning! Download Update
Uninstall old version and install new one.
WinRAR 6.24 (64-разрядная) v.6.24.0 Warning! Download Update
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9034 Warning! Download Update

qBittorrent v.4.6.6 Warning! Download Update

 

 

=======

qBittorrent 8.1.7 v.8.1.7 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall

gt-launcher 5.2.6 v.5.2.6 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall

Registry Repair 6.0.1.11 v.6.0.1.11 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall

safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Onkyes
      Словил вирус или Trojan BitCoinMiner
      Автор Onkyes
      Незнаю где и как но на моем компьютере резко упала производительность, через проверку Malwab нашел какие-то трояны-майнеры которые автоматически отправлялись в карантин и так до бессконечности. сам найти источник и удалить его не получилось спустя 5 часов поиска,нужна помощь в удалении потому что я в этом не бум-бум
      CollectionLog-2026.01.27-19.55.zip
    • Iskrinkagame
      [РЕШЕНО] Помогите с удалением Trojan BitCoinMiner.
      Автор Iskrinkagame
      Здравствуйте. Где-то умудрилась подхватить этот вирус. Заметила нагрузку системы в покое. Просканировала Malwarebytes. Нашёл, поместил в карантин. Из карантина удалила, но через пару секунд снова падают в карантин 2 файла с трояном. И так до бесконечности.
       
       

    • Nickz1337
      [РЕШЕНО] Неизвестный вирус
      Автор Nickz1337
      Доброе утро! Поймал очень хитрый вирус-майнер на свой ноутбук, который блокирует все антивирусное ПО(cureit! например, не дает нажать кнопку продолжить) и так же не дает ничего скачать(при поиске любого АВ выкидывает на некий гугловский шлюз, который не пускает на сайт). Безопасный пуск не работает, проблема сохраняется. Попробовал создать образ cureit USB, и тут так же столкнулся с проблемой - BIOS не определяет флешку как USB, зато определяет как HDD, и даже если попытаться отключить основной накопитель, чтобы запустится с нее, BIOS выдает ошибку Boot failed.
      При этом вирус как я понимаю дает пользоваться портами без проблем. 
      Прошу помощи, никаких логов у меня нет, промучился всю ночь перед работой, как можно обойти это?
       
      Добавлю, что нашел тему на форуме тут, очень похоже на мою ситуацию, хотя работает немного иначе.
       
      Сработает ли способ с этого решения, если запустить с флешки exe антивирусника?
       
    • Гюнтер1613
      [РЕШЕНО] HEUR:Trojan.Win64.Miner.gen. Помогите удалить этот вирус!
      Автор Гюнтер1613
      Добрый день!
      Как удалить этот вирус? HEUR:Trojan.Win64.Miner.gen
      Kaspersky его находит после проверки и просит Лечение с перезагрузкой. После перезагрузки компьютера, всё по новой.
      Также говорит об mem:backdoor.win32.insistent.gen
      Тоже лечение с перезагрузкой и ничего не меняется.
      Заранее большое спасибо!
    • Радмир
      Перестал работать интернет
      Автор Радмир
      при вводе запроса в браузере находит сайты скорость интернета показывает нормальная но почти никакие сайты не грузит скорее никакие не знаю что делать я даже не могу скачать антивирус на Пк потому что нет интернета
×
×
  • Создать...