[РЕШЕНО] Здравствуйте, нашёл у себя вирус AutoIt v3 Script

[Lomtik123]

Периодически появляется процесс в Диспетчере задач, но сразу закрывается. Не знаю, где поймал, возможно торрент, возможно скрипт для работы дискорда

CollectionLog-2025.01.09-00.09.zip

[safety]

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Lomtik123]

DESKTOP-LKF1AAT_2025-01-09_11-36-04_v4.99.5v x64.7z

[safety]

Выполните скрипт очистки:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\1.3.195.43\MICROSOFTEDGEUPDATECORE.EXE
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[CONSUMER]
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[EVENT]
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\USERS\ИВАН\DOCUMENTS\ZAPRET-DISCORD-YOUTUBE-1.1.1
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\ИВАН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.0.2379\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\127.0.2651.98\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.67\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

 

+

добавьте новый образ автозапуска для контроля.

Изменено 9 января пользователем safety

[Lomtik123]

2025-01-09_15-18-19_log.txt

DESKTOP-LKF1AAT_2025-01-09_15-33-01_v4.99.5v x64.7z

[safety]

по очистке системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\ИВАН\COOKIES\INI.CMD
delall %SystemDrive%\USERS\ИВАН\COOKIES\INIT.CMD
delall %SystemDrive%\PROGRAMDATA\AUX..\INPUT.EXE
delall %SystemDrive%\PROGRAMDATA\CON..\INPUT.EXE
apply
restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

 

+

добавьте новый образ автозапуска для контроля.

[Lomtik123]

2025-01-09_15-18-19_log.txtDESKTOP-LKF1AAT_2025-01-09_17-34-32_v4.99.5v x64.7z

[safety]

лог выполнения второго скрипта должен быть другим. по времени.

[safety]

Судя по контрольному образу автозапуска очистка системы от майнера прошла успешно.

Потоков, внедренных в Explorer.exe не наблюдается.

С uVS можно пока попрощаться. единственно надо отключить отслеживание процессов.

Выполните в uVS такой скрипт без перезагрузки системы:

 

;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 40
Quit

 

Далее,

 

Сделайте, пожалуйста, еще контрольные логи в FRST

[Lomtik123]

Addition.txtFRST.txt

Всё ещё падает производительность в играх. Например, в Доте после 1-2 игр резко падает фпс со 160 до 80-60 и периодически в моменте и до 40 может, как будто запускается какой-то процесс. Если же играть с открытым Диспетчером, то приемлемые 130 кадров. Есть ещё какие-то варианты?

 

Изменено 9 января пользователем Lomtik123

[safety]

Продолжаем очистку системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
IFEO\svchost.exe: [GlobalFlag] C:\Windows\System32\cmd.exe /c start install.exe
HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\Windows\System32\cmd.exe /c start install.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Далее,

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/win-10/

следу.ющие твики для исправления поврежденных служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-08-12] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1533952 2024-08-21] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-09-10] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-09-10] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3431936 2024-08-21] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

[Lomtik123]

Fixlog2.txtFixlog1.txt Твика WaaSMedicSvc нет в списке по ссылке, остальные применил. Панель задач внизу экрана стала долго загружаться после перезапуска.

[safety]

попробуйте этот твик применить,

https://download.bleepingcomputer.com/win-services/windows-10-22H2/WaaSMedicSvc.reg

хотя он из каталога для W10-22H2

или надо искать чистую систему W10-21H2 чтобы скачать с нее твики из реестра.

или установите обновление 22H22, центр обновления сейчас должно заработать

[Lomtik123]

Установил. Центр обновления не работает

 

[safety]

Платформа: Майкрософт Windows 10 IoT Корпоративная LTSC Версия 21H2 19044.5131 (X64) Язык: Русский (Россия)

Обновление как у вас настроено: из корпоративной сети или из интернет?

 

22H2 установили?

сделайте еще раз  образ автозапуска и логи FRST, посмотрим какие произошли изменения в системе после прменения очисток и твиков.

Изменено 10 января пользователем safety