Перейти к содержанию

Виндовс долго загружается ,не получается зайти в редактор реестра, он сразу крашится, в касперском пишет про такой троян trojan win32 sepeh gen


жаждущий ответа

Рекомендуемые сообщения

жаждущий ответа

CollectionLog-2025.03.19-16.56.zip

Виндовс долго загружается ,не получается зайти в редактор реестра, он сразу крашится, в касперском пишет про такой троян trojan win32 sepeh gen

Изменено пользователем жаждущий ответа
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKCU\..\Windows\Explorer: [DisableSearchBoxSuggestions] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKU\S-1-5-19\..\Windows\Explorer: [DisableSearchBoxSuggestions] = 1
O7 - Policy: HKU\S-1-5-20\..\Windows\Explorer: [DisableSearchBoxSuggestions] = 1
O9-32 - Button: HKLM\..\AutorunsDisabled: (no name) - (no file)
O23 - Service S2: NetworkConfiguration - C:\Windows\System32\cmd.exe /c start start.exe (sign: 'Microsoft')
O23 - Service S2: PerformanceMonitor - C:\Windows\System32\cmd.exe /c start install.exe (sign: 'Microsoft')
O23 - Service S2: Update - C:\ProgramData\AUX..\Input.exe C:\ProgramData\AUX..\Icon.dll (sign: 'AutoIt Consulting Ltd')
O23 - Service S2: WireGuardManager - (no file)
O25 - WMI Event:  (no consumer) - MCS - Event="__InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 
O25 - WMI Event: SCM - SCM - Event="__InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  C:\Windows\System32\oobe\Setup.exe
O26 - Debugger (SilentProcessExit): HKLM\..\svchost.exe: [GlobalFlag] = 512 -> C:\Windows\System32\cmd.exe /c start setup.exe (sign: 'Microsoft')

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\AUX..\Input.exe','');
 SetServiceStart('Update', 4);
 DeleteService('Update');
 DeleteFile('C:\ProgramData\AUX..\Input.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Ссылка на комментарий
Поделиться на другие сайты

жаждущий ответа

Здравствуйте,карантин отправил 2025.03.19_quarantine_7da097d12e194e18c7d09a89c2fdee64.7z,прикрепляю новые логиCollectionLog-2025.03.19-19.56.zip

Изменено пользователем жаждущий ответа
Ссылка на комментарий
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Suetolog\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppHost_Tjs3.lnk [2024-12-23]
ShortcutTarget: AppHost_Tjs3.lnk -> C:\Users\Suetolog\AppData\Roaming\serviceMonitor_debug\JRWeb.exe (Нет файла)
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
2025-03-06 10:41 - 2025-03-19 19:39 - 000000000 ____D C:\ProgramData\AUX..
2025-03-06 10:41 - 2025-03-06 10:41 - 000000000 ____D C:\ProgramData\NUL..
2025-03-06 10:41 - 2025-03-06 10:41 - 000000000 ____D C:\ProgramData\CON..
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5998]
AlternateDataStreams: C:\Users\Suetolog\AppData\Local\Microsoft:ISBD [66]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/win-10/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Т.к. Вы не дождались окончания сканирования Farbar, придется еще раз повторить сбор его логов.
 

Ссылка на комментарий
Поделиться на другие сайты

жаждущий ответа

по той ссылке, которую вы отправили отсутствует файл для службы WaaSMedicSvc, и также ,подскажите, куда нужно вставлять код в Farbar Recovery Scan Tool,   прикрепляю файлы после сканирования Farbar    FRST.txtAddition.txt

Изменено пользователем жаждущий ответа
Ссылка на комментарий
Поделиться на другие сайты

15 минут назад, жаждущий ответа сказал:

куда нужно вставлять код в Farbar Recovery Scan Tool

программа возьмет его из буфера обмена, нужно внимательно читать инструкцию.

 

30 минут назад, thyrex сказал:

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

не сделали это. 

Ссылка на комментарий
Поделиться на другие сайты

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
×
×
  • Создать...