[РЕШЕНО] Mem:TRojan.win32.SEPEH.gen и HEUR:trojan.multi.genBadur.genw

[Nikita P.]

Здравствуйте, установил Касперский, чтобы проверить компьютер на вирусы и нашлось несколько троянов, которые не удаляются. При этом компьютер без нагрузки может начинать использовать 100% ресурсов видеокарты( при открытии диспетчера задач потребление падает сразу до 0). Помогите пожалуйста удалить эти вирусы. при этом ещё есть вирус, который можно открыть в папке и удалить, но при перезагрузке компьютера он появляется снова с некоторой переодичностью( я удалял его два раза) на скриншоте исправляется.

CollectionLog-2024.12.19-23.27.zip

Изменено 19 декабря, 2024 пользователем Nikita P.

[thyrex]

Здравствуйте.

 

Цитата

Client Helper 6.1.6

gt-launcher 5.3.1

uTorrent 8.2.9

Кнопки сервисов Яндекса на панели задач

удалите через Панель управления - Программы и компоненты.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\Microsoft\wext.vbs','');
 TerminateProcessByName('c:\users\прудик сво\appdata\roaming\utorrent\pro\utorrentpro.exe');
 DeleteFile('c:\users\прудик сво\appdata\roaming\utorrent\pro\utorrentpro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x32');
 DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64');
 DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64');
 DeleteSchedulerTask('EdgeUpdateTaskUser');
 DeleteSchedulerTask('EdgeUpdate');
 DeleteSchedulerTask('ICTorrentUpdaterV2_t1725300998456');
 DeleteSchedulerTask('ICTorrentUpdaterV1_t1725300996407');
 DeleteSchedulerTask('RunGame');
 DeleteSchedulerTask('uTorrentProUpdaterV5_t1730575625703');
 DeleteSchedulerTask('uTorrentProUpdaterV6_t1730575628363');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Nikita P.]

дополню. Компьютер стоял без нагрузки последний час с открытым диалогом, после чего появилс экран смерти( ранее такого не было)

 

[thyrex]

Скрипт лечения написан сообщением выше. Приступайте.

[Nikita P.]

19 минут назад, thyrex сказал:

Отправьте quarantine.7z из папки с распакованной утилитой AVZ

папка пустая

CollectionLog-2024.12.20-00.50.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Nikita P.]

Downloads.zip

Изменено 20 декабря, 2024 пользователем Nikita P.

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
File: C:\ProgramData\NameserverUpdate.exe
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2628869056-279745090-312181030-1001\...\Run: [YandexBrowserAutoLaunch_2ACEF05A6BD8E1550E626C7FE5E7CCBD] => "C:\Users\прудик сво\AppData\Local\Yandex\YandexBrowser\Application\browser.exe" --shutdown-if-not-closed-by-system-restart (Нет файла)
Task: {4e0167de-bcb3-4f0b-b5b4-c10252822e1e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
C:\Users\прудик сво\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\abllidogonacmlfecmnmmmdfdcplgpac
C:\Users\прудик сво\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\kbfdobfbaembjngeejdpapfmjomfidbb
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-19] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
R2 AUEPLauncher; C:\Program Files\AMD\CIM\..\Performance Profile Client\AUEPDU.exe [0 0] (AMD) <==== ВНИМАНИЕ [нулевой байт? (Ошибка=123)]
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-09-19] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2024-12-16] (Microsoft Windows -> Microsoft Corporation)
S2 DrWebCldSvc; "C:\Program Files\DrWeb\dwcloudhost.exe" [X]
S2 UpdateTaskNameServer; C:\ProgramData\NameserverUpdate.exe [801687596 2024-12-18] (DAZTeam) [Файл не подписан] <==== ВНИМАНИЕ
R4 WinRing0_1_2_0; C:\Windows\TEMP\sgnkqesxnyxf.sys [14544 2024-12-19] (Noriyuki MIYAZAKI -> OpenLibSys.org) <==== ВНИМАНИЕ
C:\Windows\TEMP\sgnkqesxnyxf.sys
2024-10-19 17:50 - 2024-12-20 00:27 - 000007163 _____ C:\Users\прудик сво\ex-list2.json
2024-10-19 17:50 - 2024-10-19 17:56 - 000000000 ____D C:\Users\прудик сво\AppData\Roaming\ClientHelper
2024-10-19 17:50 - 2024-10-19 17:50 - 000000000 ____D C:\Users\прудик сво\AppData\Roaming\com.gtoppocket.launcher
2024-08-16 23:05 - 2024-12-12 11:35 - 000000304 _____ () C:\Users\прудик сво\uTorrentPro.dat
HKU\S-1-5-21-2628869056-279745090-312181030-1001\...\StartupApproved\Run: => "uTorrentPro"
FirewallRules: [TCP Query User{8AA02C1B-DAEC-440C-B673-E04941158C19}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{5C16B6F3-6242-4C42-A90E-78F17B442B84}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{974BA55A-80A4-4C21-BD12-70609B1D103F}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [UDP Query User{A17AE3A9-F3FD-432B-8FF7-79A805CBA147}C:\games\need for speed heat\needforspeedheat.exe] => (Allow) C:\games\need for speed heat\needforspeedheat.exe => Нет файла
FirewallRules: [TCP Query User{0827A7EC-AA04-49B0-A353-8006949EFE61}C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe] => (Block) C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [UDP Query User{39BE8472-36B0-4234-B752-E1C91EA16A28}C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe] => (Block) C:\users\прудик сво\downloads\factorio\bin\x64\factorio.exe => Нет файла
FirewallRules: [{C7911AE9-3CDF-4776-A996-4B20545FBF16}] => (Allow) C:\Program Files\AdGuardVpn\AdGuardVpnSvc.exe => Нет файла
FirewallRules: [{AA851B8D-26ED-4FC8-965C-2826B330A9FD}] => (Allow) C:\Program Files\AdGuardVpn\AdGuardVpn.exe => Нет файла
FirewallRules: [{D0565571-9566-41B3-AE4C-5F061965216B}] => (Allow) C:\Program Files\DrWeb\dwservice.exe => Нет файла
FirewallRules: [{03D0BBBE-4FF8-4C84-8611-226824E85010}] => (Allow) C:\Program Files\DrWeb\spideragent.exe => Нет файла
FirewallRules: [{C0450F11-176F-4FB2-B9A6-26B27727A8BE}] => (Allow) C:\Program Files\DrWeb\dwnetfilter.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Nikita P.]

4 минуты назад, thyrex сказал:

3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

Fixlog.txt

[thyrex]

Проблема решена?

[Nikita P.]

К  сожалению нет. Вирусы на месте и видеокарта продолжает грузиться на 100% на рабочем столе.

закрыл диспетчер задач

 

сейчас  heur троян пропал, остался только второй

 

[thyrex]

Удалите старые логи FRST.txt и Addition.txt, сделайте новые.

[Nikita P.]

Downloads.zip

[thyrex]

Выполните написанное ниже в безопасном режиме загрузки

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
S2 UpdateTaskNameServer; C:\ProgramData\NameserverUpdate.exe [801687596 2024-12-20] (DAZTeam) [Файл не подписан] <==== ВНИМАНИЕ
C:\ProgramData\NameserverUpdate.exe
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[Nikita P.]

21.12.2024 в 00:29, thyrex сказал:

Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении

 

Fixlog.txt