[РЕШЕНО] Вирус, предположительно маскировка под dwm.exe

[Сергей100]

Здравствуйте. Полагаю, что вирус маскируется под dwm.exe. В диспетчере задач данных процессов два. Грузит ЦП и ПК не переходит в режим сна, только гаснет экран. При отключении одного из этих процессов ПК уходит в сон, но после скрипт вируса видимо перезагружается. Прошу помочь удалить данный вирус.

CollectionLog-2025.03.26-03.50.zip

[safety]

Создайте в uVS дополнительно образ автозапуска.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

[Сергей100]

ADMIN1_2025-03-26_05-29-42_v4.99.10v x64.7z

 

добавлю, что сейчас второй процесс dwm.exe при создании образа в uVS, в диспетчере задач отключен, вручную (если это имеет значение), но после перезагрузки он запускается

 

этот образ с твиком

ADMIN1_2025-03-26_05-59-40_v4.99.10v x64.7z

Изменено 26 марта пользователем Сергей100

[safety]

Цитата

 

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DWM.EXE [1300]

(!) Процесс нагружает CPU: C:\WINDOWS\SYSTEM32\DWM.EXE

 

 

По очистке системы:

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\SP56R\APPDATA\LOCAL\DRIVERPATCH9T1OHXW8\DI.EXE
addsgn A7A4FE7F1DE9A042CC91524E64C8124DAE8F982DDEFAD87884C3C5BCB8EB714C239E86ABAEC5160CD7C8075B764B8AAF35560D3AD63680EB688B5B2FC7066AF8 8 di_exe 7

chklst
delvir

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\FRAMEVIEWSDK\FRAMEVIEW.CSV
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\USERS\SP56R\ONEDRIVE\ИЗОБРАЖЕНИЯ\ZAPRET-DISCORD-YOUTUBE-1.6.4\BIN\WINDIVERT64.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.60\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.60\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.60\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.36\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\133.0.3065.51\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\133.0.3065.51\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\133.0.3065.51\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\133.0.3065.51\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\133.0.3065.51\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\133.0.3065.51\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\133.0.3065.51\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\133.0.3065.51\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\133.0.3065.51\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\SP56R\DOWNLOADS\UVS_LATEST\JSEMAL
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте логи FRST для контроля очистки.

Изменено 26 марта пользователем safety

[Сергей100]

2025-03-26_12-41-44_log.txt logs.7z

[safety]

судя по логу uVS зловред должен быть удален.

 

Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

 

В логах FRST его нет.

---------

Если других вопросов или проблем в работе системы не осталось:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

[Сергей100]

Да, видимо удален. Небольшой вопрос, является ли работа системы нормальный если приостановлены данные процессы в диспетчере задач (скриншот в архиве). 

SecurityCheck.txt Снимок экрана 2025-03-26 134810.7z

[safety]

Если ПК не домашний, а рабочий, возможно, что действуют определенные политики.

но вот службы вижу что некоторые остановлены, которые обычно активны :

Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена

Центр обновления Windows (wuauserv) - Служба остановлена

и

Windef отключен, хотя он единственный у вас установлен.

Windows Defender (отключен)

 

По обновлению ПО:

 

Microsoft Office Standard 2019 - ru-ru v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Microsoft Office Standard 2019 - ru-ru.proof v.16.0.10827.20138 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Приложение NVIDIA 11.0.2.341 v.11.0.2.341 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34433 v.14.42.34433.0 Внимание! Скачать обновления

Audacity 3.7.1 v.3.7.1 Внимание! Скачать обновления

 

Изменено 26 марта пользователем safety

[Сергей100]

ПК домашний. Запустил эти 2 службы вручную через диспетчер задач. Но я спрашивал про процессы на скриншоте, если в их работе все нормально, то ладно. спасибо

Windows Defender включил, был выключен так как выполнялись скрипты выше. Так же перед созданием темы пользовался Kaspersky Virus Removal Tool

Изменено 26 марта пользователем Сергей100

[safety]

Можно эти ограничения еще удалить:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверьте по диспетчеру как то повлияла данная очистка на приостановленные процессы или нет.

[Сергей100]

Повлияла, остался только этот

Fixlog.txt

[safety]

Возможно служба поиска остановлена.

Проверьте это решение.

Цитата

Перезапустите службу поиска: Запустите services.msc, найдите Windows Search, щелкните правой кнопкой мыши и перезапустите

 

[Сергей100]

Это не исправило, но ладно, не думаю что это так важно. Еще раз спасибо за помощь с удалением вируса.

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".