[РЕШЕНО] два файла dwm.exe

[SAVXNNXH]

При включении ПК запускается два файла dwm.exe, один из которых нагружает ПК на 70%, но при запуске Диспетчера задач файл снижает нагрузку до 0%. Путь двух dwm введет к оригинальному файлу. Антивирусы не видят этот файл

CollectionLog-2025.01.15-20.17.zip

[safety]

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[SAVXNNXH]

DESKTOP-L554TPS_2025-01-16_00-41-19_v4.99.5v x64.7z

[safety]

Выполните очистку системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.5v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deldirex %SystemDrive%\USERS\LISA-\APPDATA\ROAMING\UTORRENT\PRO
delall %SystemDrive%\USERS\LISA-\APPDATA\ROAMING\.MINECRAFT\TLAUNCHER.EXE
deldirex %SystemDrive%\PROGRAM FILES\QBITTORRENT\PRO
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAM FILES\CLIENT HELPER\CLIENT HELPER.EXE
addsgn BA6F9BB2BD614C720B9C2D754C2168FBDA75303AC173435CA5968D37BC9EF2A0035F48524E2C374D633BB63D993BD0D17DDFA04996AFC464AE12BC2F8F8B6F6B 38 AdWare.Win32.ExtInstaller.ep 7

zoo %SystemDrive%\USERS\LISA-\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE
addsgn A7A4FE7F1DE9A042CC91524E64C8124DAE8F58BEF4FAD87884C3C5BCB8EB714C239E86ABAEC5160CD7C8075B764B8AAF35560D3AD63680EB688B5B2FC7066AF8 8 di_exe 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\12.1.0\..\PUB\PUBPLATFORM.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\USERS\LISA-\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\PUB\B5SALEML.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\PUB\DBRPOP.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\USERS\LISA-\APPDATA
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00}\[CLSID]
delref {FE8E6AD6-DABE-45E1-88C2-48DC4578924C}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\DHGSSGIG.SYS
delref %SystemDrive%\USERS\LISA-\DOCUMENTS\GOODBYEDPI-0.2.3RC3-2\X86_64\GOODBYEDPI.EXE
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVMDI.INF_AMD64_AF39E9E3E46451D8\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVMDI.INF_AMD64_AF39E9E3E46451D8\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\124.0.6367.61\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\124.0.6367.61\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\129.0.6668.90\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.70\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.205\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.205\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.205\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.205\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.127\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.127\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\131.0.6778.86\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\LISA-\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.2.858\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\LISA-\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.2.858\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\LISA-\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.2.858\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\LISA-\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.12.2.858\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.68\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.68\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.68\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.68\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.68\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.68\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.68\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.68\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.68\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\128.0.2739.42\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\LISA-\APPDATA\LOCAL\TEMP\21FC5F0D-96D8-4D09-BFE4-BFB81E801C43\DISMHOST.EXE
;-------------------------------------------------------------

restart
czoo

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте логи FRST, для контроля очистки.

 

[SAVXNNXH]

2025-01-16_09-13-35_log.txt

FRST.txt

[safety]

Добавьте еще Addition.txt, он создается вместе с FRST.txt

[SAVXNNXH]

Addition.txt

Изменено 16 января, 2025 пользователем SAVXNNXH

[safety]

Эти программы можно деинстлировать через установку/удаление:

 

7Launcher - Cities Skylines 2 (HKLM\...\7Launcher - Cities Skylines 2_is1) (Version: 1.5.4 - SE7EN Solutions)
7Launcher - CS:GO v1.5.4 (HKLM\...\7Launcher - CS:GO_is1) (Version: 1.5.4 - SE7EN Solutions)

Client Helper 6.1.6 (HKLM\...\a4f6aed4-d157-5902-92eb-b261259b5270) (Version: 6.1.6 - ) <==== ВНИМАНИЕ

qBittorrent 8.2.9 (HKLM\...\e566ee95-9554-5b98-9d27-a155a750ded3) (Version: 8.2.9 - )

TLauncher (HKLM-x32\...\TLauncher) (Version: 2.923 - TLauncher Inc.)

uTorrent 8.2.9 (HKLM\...\a4e2c622-7a4a-53a5-85d0-09215f3f1ad4) (Version: 8.2.9 - )

 

[SAVXNNXH]

что-то из них вирусное? Просто файл dwm уже пропал из диспетчера задач 

 

[safety]

Скорее всего, это нежелательное ПО, но на ваше усмотрение.

Основная проблема создавалась этим файлом, и он удален скриптом

%SystemDrive%\USERS\LISA-\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[SAVXNNXH]

 

 

 

SecurityCheck.txt

Изменено 16 января, 2025 пользователем SAVXNNXH

[safety]

Обновите по возможности данное ПО:

 

Discord v.1.0.9151 Внимание! Скачать обновления

qBittorrent v.5.0.0 Внимание! Скачать обновления

Yandex v.24.12.2.858 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.131.0.6778.265 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

----------------

 

uTorrent 8.2.9 v.8.2.9 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner.
qBittorrent 8.2.9 v.8.2.9 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware и Malwarebytes AdwCleaner.
Driver Booster 12 v.12.1.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware.

 

 

[SAVXNNXH]

Спасибо огромное!! Думаю данное вредоносное ПО появилось из-за программы Driver Booster 12

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".