[РЕШЕНО] Помогите пожалуйста удалить вирус

[Эльнар]

Здравствуйте! Помогите пожалуйста удалить вирус, скорее всего майнер. Он постоянно нагружает процессор, даже на рабочем столе. Как только открываю диспетчер задач, обороты вентиляторов процессора падают до нормального. Как только выхожу из диспетчера задач сразу обороты вентиляторов растут. При открытии диспетчера задач я не успеваю увидеть какой процесс нагружает компьютер. Эта проблема началась когда я установил программу видеомонтажа Magix Vegas Pro не с официального сайта. Так же из проблем не получается зайти в конфигурацию системы (msconfig), окошко сразу закрывается. При запуске антивируса Malwarebytes, он тоже сразу закрывается. Когда зашёл в систему через безопасную загрузку msconfig также не открывается, но удалось запустить malwarebytes и drweb, они нашли вирусы, но проблема не ушла. Запустил Kaspersky Removal Tool, он долго сканировал и нашёл вирусы. Один из них располагался в папке куда был установлен Magix Vegas Pro. После удаления вирусов ситуация к сожалению не изменилась. Приложил отчёт сборщика логов.

CollectionLog-2024.12.02-15.07.zip

[safety]

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Эльнар]

1 час назад, safety сказал:

Добавьте, пожалуйста, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Спасибо, что откликнулись на мою просьбу! Сделал по инструкции и прикрепил архив.

LYLY_2024-12-02_18-26-25_v4.99.4v x64.7z

[safety]

Просьба, не цитировать мой ответ, просто пишите в окне редактора свой ответ.

 

Есть потоки в системном процессе:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [8620], tid=7428

---------

по очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
zoo %SystemDrive%\USERS\ELNAR\COOKIES\INI.CMD
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\14.4.0.11537\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
hide %SystemDrive%\PROGRAM FILES\TORTOISESVN\BIN\TORTOISESVN.DLL
hide %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADSKLICENSING\CURRENT\ADSKLICENSINGSERVICE\ADSKLICENSINGSERVICE.EXE
hide D:\SOURCE\UNREAL_ENGINE\R3-5.3.2-228D9E97\ENGINE\BINARIES\THIRDPARTY\PYTHON3\WIN64\PYTHON3.DLL
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\QBITTORRENTPRO\QBITTORRENTPRO.EXE
delall %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
delall %SystemDrive%\USERS\ELNAR\COOKIES\INI.CMD
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIHCJICGDANJAECHKGEEGCKOFJJEDODEE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EDGE.MICROSOFT.COM/EXTENSIONWEBSTOREBASE/V1/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOJOBPPFPLOABCEGHNMLAHPOONBCBACN%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.86\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\121.0.6167.86\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\127.0.6533.99\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.70\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\WEB_STORE\WEB STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\121.0.2277.83\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.42\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\[CLSID]
delref {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BLENDER FOUNDATION\BLENDER 4.0\BLENDER-LAUNCHER.EXE
delref F:\GAMES\S.T.A.L.K.E.R. - ЗОВ ПРИПЯТИ\STALKER-COP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\ADLM\R24\LTU.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\DATABASECOMPARE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\OFFICE16\DCF\SPREADSHEETCOMPARE.EXE
;-------------------------------------------------------------
REGT 39
restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

+

Сделайте, пожалуйста, новый образ автозапуска для контроля

Изменено 2 декабря, 2024 пользователем safety

[Эльнар]

Скрипт выполнил, после перезагрузки гула вентиляторов нет, процессор работает в штатном режиме. Msconfig теперь открывается. Раньше malwarebytes, в отличие от Kaspersky Removal Tool, вообще не запускался, а теперь без проблем запускается. Огромная вам благодарность!!! После переустановки windows мне бы пришлось много клиентского софта переустанавливать и заново настраивать. Но к сожалению этот вирус что то успел побить в системе. При попытке сделать скриншот экрана вылазит ошибка (на фото).

2024-12-02_19-47-24_log.txt LYLY_2024-12-02_19-56-06_v4.99.4v x64.7z

[safety]

Возможно, получится исправить данную ошибку.

 

Пробуйте в uVS выполнить такой скрипт с автоперезагрузкой системы.

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;---------command-block---------
delref INSTALL.EXE
apply

restart

после перезагрузки системы.

Добавьте новый файл дата_времяlog.txt из папки откуда запускали uVS

Напишите, ушла ошибка, которую вы показали на скриншоте или нет.

+

Сделайте, пожалуйста, логи FRST

 

Изменено 4 декабря, 2024 пользователем safety

[Эльнар]

Здраствуйте! Запустил скрипт, который вы скинули, и прикрепил лог. Прежде чем использовать вашу инструкцию я уже успел удалить программу ножницы, чтобы её установить заново. Но Microsoft store перестал работать, и центр обновления Windows. Поэтому не могу проверить ушла ли проблема скриншота.

FRST.txt

[safety]

Скачайте и сохраните на диск отсюда

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

твики для исправления служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Файлы *.reg запускаем от имени Администратора и соглашаемся добавить изменение в реестр.

Затем перегружаем систему.

------------------------------------

 

После перезагрузки:

 

Выполнить скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
IFEO\svchost.exe: [GlobalFlag] C:\Windows\System32\cmd.exe /c start install.exe
HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\Windows\System32\cmd.exe /c start install.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-06-12] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-14] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-10] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138232 2024-11-13] (Microsoft Windows -> Microsoft Corporation)
2024-11-30 16:03 - 2024-12-02 19:46 - 000000000 ____D C:\ProgramData\AUX..
2024-11-30 16:03 - 2024-11-30 16:03 - 000000000 ____D C:\ProgramData\NUL..
Reboot::
End::

 

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

+

Сделайте, пожалуйста, новые логи FRST для контроля:

Нужны оба файла:

FRST.txt и Addition.txt

 

[safety]

05.12.2024 в 03:04, Эльнар сказал:

Но Microsoft store перестал работать, и центр обновления Windows. Поэтому не могу проверить ушла ли проблема скриншота.

Эльнар,

рекомендации из последнего сообщения позволят вам исправить проблему с обновлением W.

[Эльнар]

Добрый день и с Новым годом! Спасибо Вам за инструкцию! Я её выполнил и приложил логи из FRST. Пока не могу сказать точно ушла ли проблема с inatall.exe, потому что она рандомно появляется при работе в программах. Но после выполнения инструкции пока не появлялась. 

Fixlog.txt FRST.txt Addition.txt

[safety]

Явных вредоносных записей, которые были в предыдущем логе FRST как будто нет.

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Эльнар]

Просканировал.

SecurityCheck.txt

[safety]

По возможности, обновите данное ПО:

 

Malwarebytes version 4.6.17.334 v.4.6.17.334 Warning! Download Update
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.41.0.3 Warning! Download Update

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Warning! Download Update
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Warning! Download Update
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 24.08 (x64) v.24.08 Warning! Download Update
Uninstall old version and install new one.
WinRAR 6.24 (64-разрядная) v.6.24.0 Warning! Download Update
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9034 Warning! Download Update

qBittorrent v.4.6.6 Warning! Download Update

 

 

=======

qBittorrent 8.1.7 v.8.1.7 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall

gt-launcher 5.2.6 v.5.2.6 Warning! Suspected Adware! If this program is not familiar to you it is recommended to uninstall

Registry Repair 6.0.1.11 v.6.0.1.11 Warning! Suspected demo version of anti-spyware, driver updater or optimizer. If this program is not familiar to you it is recommended to uninstall

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".