Виндовс долго загружается ,не получается зайти в редактор реестра, он сразу крашится, в касперском пишет про такой троян trojan win32 sepeh gen

[жаждущий ответа]

CollectionLog-2025.03.19-16.56.zip

Виндовс долго загружается ,не получается зайти в редактор реестра, он сразу крашится, в касперском пишет про такой троян trojan win32 sepeh gen

Изменено 19 марта пользователем жаждущий ответа

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[жаждущий ответа]

CollectionLog-2025.03.19-16.56.zipприкрепил логи

[thyrex]

Здравствуйте.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O7 - Policy: HKCU\..\Windows\Explorer: [DisableSearchBoxSuggestions] = 1
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O7 - Policy: HKU\S-1-5-19\..\Windows\Explorer: [DisableSearchBoxSuggestions] = 1
O7 - Policy: HKU\S-1-5-20\..\Windows\Explorer: [DisableSearchBoxSuggestions] = 1
O9-32 - Button: HKLM\..\AutorunsDisabled: (no name) - (no file)
O23 - Service S2: NetworkConfiguration - C:\Windows\System32\cmd.exe /c start start.exe (sign: 'Microsoft')
O23 - Service S2: PerformanceMonitor - C:\Windows\System32\cmd.exe /c start install.exe (sign: 'Microsoft')
O23 - Service S2: Update - C:\ProgramData\AUX..\Input.exe C:\ProgramData\AUX..\Icon.dll (sign: 'AutoIt Consulting Ltd')
O23 - Service S2: WireGuardManager - (no file)
O25 - WMI Event:  (no consumer) - MCS - Event="__InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'", 
O25 - WMI Event: SCM - SCM - Event="__InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'",  C:\Windows\System32\oobe\Setup.exe
O26 - Debugger (SilentProcessExit): HKLM\..\svchost.exe: [GlobalFlag] = 512 -> C:\Windows\System32\cmd.exe /c start setup.exe (sign: 'Microsoft')

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\AUX..\Input.exe','');
 SetServiceStart('Update', 4);
 DeleteService('Update');
 DeleteFile('C:\ProgramData\AUX..\Input.exe','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[жаждущий ответа]

Здравствуйте,карантин отправил 2025.03.19_quarantine_7da097d12e194e18c7d09a89c2fdee64.7z,прикрепляю новые логиCollectionLog-2025.03.19-19.56.zip

Изменено 19 марта пользователем жаждущий ответа

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[жаждущий ответа]

всё сделал1221st.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Startup: C:\Users\Suetolog\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AppHost_Tjs3.lnk [2024-12-23]
ShortcutTarget: AppHost_Tjs3.lnk -> C:\Users\Suetolog\AppData\Roaming\serviceMonitor_debug\JRWeb.exe (Нет файла)
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2024-12-23] (Microsoft Windows -> Microsoft Corporation)
2025-03-06 10:41 - 2025-03-19 19:39 - 000000000 ____D C:\ProgramData\AUX..
2025-03-06 10:41 - 2025-03-06 10:41 - 000000000 ____D C:\ProgramData\NUL..
2025-03-06 10:41 - 2025-03-06 10:41 - 000000000 ____D C:\ProgramData\CON..
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5998]
AlternateDataStreams: C:\Users\Suetolog\AppData\Local\Microsoft:ISBD [66]
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/win-10/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

Т.к. Вы не дождались окончания сканирования Farbar, придется еще раз повторить сбор его логов.
 

[жаждущий ответа]

по той ссылке, которую вы отправили отсутствует файл для службы WaaSMedicSvc, и также ,подскажите, куда нужно вставлять код в Farbar Recovery Scan Tool,   прикрепляю файлы после сканирования Farbar    FRST.txtAddition.txt

Изменено 19 марта пользователем жаждущий ответа

[thyrex]

15 минут назад, жаждущий ответа сказал:

куда нужно вставлять код в Farbar Recovery Scan Tool

программа возьмет его из буфера обмена, нужно внимательно читать инструкцию.

 

30 минут назад, thyrex сказал:

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

не сделали это. 

[жаждущий ответа]

сделалFixlog.txt

сделал ещё раз,новый фиксFixlog.txt

[thyrex]

Что с исходными проблемами?

[жаждущий ответа]

Спасибо,проблемы решены

 

[thyrex]

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[жаждущий ответа]

Здравствуйте,проблема вернулась,все те же симптомы CollectionLog-2025.03.23-18.54.zip