Перейти к содержанию
Правила раздела

[РЕШЕНО] вирус который маскируется под системный процесс Телефон Microsoft Windows

sencity72

Автор sencity72
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

sencity72

sencity72

Опубликовано
Опубликовано

Добрый день, поймал вирус - силно загружает энергопотребление - ноутбук работает на максимальном охлождении постоянно - ранее небыло видно этого процесса в диспетчере задач, а теперь он на самом верху -  Телефон Microsoft Windows, при попытке отключить процесс - система уходит в синий экран

CollectionLog-2025.04.25-19.02.zip

  • Ответов 55
  • Создана
  • Последний ответ

Топ авторов темы

  • sencity72

    26

  • thyrex

    14

  • safety

    12

  • Sandor

    4

Топ авторов темы

Популярные посты

safety
safety

Сделайте, пожалуйста, образ автозапуска в uVS с отслеживанием процессов и задач:   1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встр

safety
safety

Хорошо, крепкий орешек значит попался.   Пробуйте из под Winpe собрать образ автозапуска. Образ скачать отсюда, записать на загрузочную флэшку. Как создать образ автозапуска из под

thyrex
thyrex

Выполнять написанный ниже скрипт строго в безопасном режиме 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: CloseProcesse

Изображения в теме

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 DeleteSchedulerTask('dialersvc64');
 ExecuteRepair(19);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1488824550-1789792169-3620093603-1001\...\Run: [AltServer] => D:\program\erer\AltServer.exe (Нет файла)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Task: {483056A4-6915-4A69-8773-81BB16B4E870} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> "function Local:sKtQvUxdKEKx{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$CiATVKHiIcJvmA,[Parameter(Position=1)][Type]$UBPRUMeqid)$IjUcGbIVBJp=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+'f'+[Char](108)+''+[Char](101) (запись имеет ещё 4984 символов). <==== ВНИМАНИЕ
FF user.js: detected! => C:\Users\easen\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2025-04-03]
CHR HKU\S-1-5-21-1488824550-1789792169-3620093603-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [583168 2025-04-09] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2025-04-09] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3433472 2025-03-12] (Microsoft Windows -> Microsoft Corporation)
S2 Bonjour Service; "C:\Program Files\Bonjour\mDNSResponder.exe" [X]
AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [124]
AlternateDataStreams: C:\Users\easen\Downloads\80dysb1s.exe:MBAM.Zone.Identifier [203]
FirewallRules: [{4FB46B33-E058-4803-8768-885471C2A06A}] => (Allow) LPort=1900
FirewallRules: [{36C5D5B3-2756-417D-8586-C20854E8D941}] => (Allow) LPort=2869
FirewallRules: [{91D940DB-C0F5-4F6D-A71E-97FE7364A9E3}] => (Allow) LPort=1900
FirewallRules: [{84B7B86F-E4A0-4398-B784-C7C4DEB589F8}] => (Allow) LPort=2869
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Скачайте этот архив. Извлеките из него файлы и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

Перезагрузите компьютер и удалите старые и соберите новые логи FRST.txt и Addition.txt

sencity72

sencity72

Опубликовано
  • Автор
Опубликовано

Не понял - какой архив скачать ...  скрипт вроде выполнил

Fixlog.txt

обратил внимание, что в ProgramData есть папка Moziila Corporation, в которой файл Firefoxx.exe - у меня нет этого браузера и если удалить эту папку - она появляется снова 

 

Addition.txt FRST.txt

Sandor

Sandor

Опубликовано
Опубликовано

Прошу прощения, забыл ссылку на архив добавить. Вот она.

После применения твиков перезагрузите компьютер и ещё раз соберите новые логи Farbar.

Sandor

Sandor

Опубликовано
Опубликовано

Впрочем, вот новый скрипт.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1488824550-1789792169-3620093603-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {451D261B-A447-40F2-BC30-2B1A04C59CCF} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> "function Local:AlIQLiRYsLoN{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$KSJVuDUVzSiwqW,[Parameter(Position=1)][Type]$uhHaaItNpC)$JxsnuXSQrrO=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+'e'+'f'+[Char](108)+''+[Char](101)+''+'c'+''+[Char](116 (запись имеет ещё 4845 символов). <==== ВНИМАНИЕ
Task: {808EE1D7-E7A4-47EF-8ACB-D13EDB2EE8AA} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> "function Local:AlIQLiRYsLoN{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$KSJVuDUVzSiwqW,[Parameter(Position=1)][Type]$uhHaaItNpC)$JxsnuXSQrrO=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+'e'+'f'+[Char](108)+''+[Char](101)+''+'c'+''+[Char](116 (запись имеет ещё 4845 символов). <==== ВНИМАНИЕ
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1526272 2024-12-12] (Microsoft Windows -> Microsoft Corporation)
S2 Firefoxx; C:\ProgramData\Moziila Corporation\Firefoxx.exe [22121472 2025-04-26] (Firefox) [Файл не подписан]
Folder: C:\ProgramData\Moziila Corporation
2025-04-26 12:53 - 2025-04-26 12:53 - 000000000 ____D C:\ProgramData\Moziila Corporation
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Твики можно выполнять до или после скрипта. Новые логи - желательно после.

sencity72

sencity72

Опубликовано
  • Автор
Опубликовано

ничего не поменялось

антивир.jpg

Addition.txt Fixlog.txt FRST.txt

 

Если отключить интернет, то активность этой программы равна 0% и ноутбук затихает..., стоит включить интернет - то снова начинает нагружать ЦП

 

safety

safety

Опубликовано
Опубликовано (изменено)

Сделайте, пожалуйста, образ автозапуска в uVS с отслеживанием процессов и задач:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме

Изменено пользователем safety
  • Like (+1) 1
sencity72

sencity72

Опубликовано
  • Автор
Опубликовано

Из этой программы выкидывает автоматически после "запустить под текущим пользователем", до п. 4 не доходит (перед закрытием удалось сделать скрин - это последнее, после программа сама закрывается)

 

1.jpg

safety

safety

Опубликовано
Опубликовано (изменено)

Попробуйте после запуска start.exe вначале в стартовом меню  выбрать мышкой  параметр "выгружать DLL и уничтожать потоки, внедренные в uVS". Затем уже выбирает "запусить под текущим пользователем".

Если не получится создать образ автозапуска таким образом, тогда сделайте образ автозапуска из безопасного режима системы.

Изменено пользователем safety
sencity72

sencity72

Опубликовано
  • Автор
Опубликовано

Сделал Выгружать DDL ... не созает образ - уходит в ошибку, в безопасном режиме тоже самое 

 

 

 

2.jpg

safety

safety

Опубликовано
Опубликовано (изменено)

В безопасном режиме этот параметр "выгружать DLL и уничтожать потоки, внедренные в uVS""убираем.

Если так не получается, пробуйте через интеграцию uVS.

т.е. вначале необходимо выполнить интеграцию, затем загрузиться в меню доп. параметров загрузки,

найдете там строку запуска с uVS.

image.png

Изменено пользователем safety
sencity72

sencity72

Опубликовано
  • Автор
Опубликовано

Сделал интеграцию - бесполезно - выкидывает и всё, сворачивается программа сама

 

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Багет
      [РЕШЕНО] есть подозрение на вирус, но пока не знаю какой именно (старый ноутбук)
      Автор Александр Багет
      Я решил проверить просмотр событий, а конкретно PowerShell, и увидел там очень много событий с кодом 4104. Поиски в интернете выдали мне информацию о том что такое событие может появляться из-за вредоносного кода или ПО. Такие события начали появляться оказывается еще аж с 2024 года.
      Проверки ноутбука Windows Defender никаких проблем не выявили, тогда я скачал Malwarebytes и сделал проверку им, в первый раз мне показало 54 нежелательных файла, в числе которых был torrent, yandex и mediaget, все они были помещены в карантин. Через время была сделана еще одна проверка которая нашла 4 нежелательных файла. Через проводник я удалил все связанное с torrent, yandex и mediaget. После всех чисток и проверок event id 4104 все равно появляется. Также почему-то когда я распаковывал архивы с помощью winrar антивирус Malwarebytes жаловался на подозрительный сайт и трояны которые исходили от winrar, архиватор я переустановил и такие предупреждения пропали.
      Проверки я проводил с выключенным и включенным интернетом, но больше они ничего подозрительного не находили. Единственное что меня смутило, проверки Malwarebytes длились от 2 до 3 часов.
      Изменений в работе пк я пока не замечал. Но в папке Users есть какой-то странный пользователь со знаками вопроса в названии папки.
       
      Подскажите как мне почистить ноутбук от вирусов или убедится что их нет? Буду очень рад помощи.


      Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 083207.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 084341.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 084435.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 164019.txt Malwarebytes Отчет о проверке 2026-01-24 145534.txt Malwarebytes Отчет о проверке 2026-01-30 035639.txt CollectionLog-2026.02.01-13.21.zip
    • Александр Багет
      [РЕШЕНО] есть подозрение на вирус, но пока не знаю какой именно (новый ноутбук)
      Автор Александр Багет
      Началось все с того, что я решил залезть в "Просмотр событий" а конкретно в PowerShell. Там я обнаружил некоторое количество событий с кодом 4104 и решил проверить в интернете что это событие из себя представляет и стоит ли мне беспокоиться о нем. Какое-то количество информации об этом event id я нашел, и в основном там говорилось о подозрительной активности или вредоносном коде/ПО. Подобное событие генерируется стабильно от 2 до 10 раз за месяц.
      Помимо PowerShell я также зашел в журнал "Безопасность" там тоже одно событие которое меня напрягло, это event id 4688. Я снова залез в гугл проверить что это может быть, и в нескольких статьях указывалось на подозрительную активность либо на хакера который делает дамп памяти при помощи LSASS.
      Я до этого ни разу не сталкивался с вирусами и понятия не имею что делать, но несколько дней назад я попробовал зайти на своем ноутбуке в безопасный режим, никакой полезной информации я не получил из этого, но после выхода из режима и проверки журнала "Безопасность" я увидел приличное количество событий 4688. Через некоторое время после выхода из безопасного режима в журнале "Безопасность" появилось 3 события с неудачной попыткой сетевого входа в систему.
      Windows Defender ничего подозрительного не нашел. Проверка Malwarebytes обнаружила 8 нежелательных файлов, но 7 из них были связанны с торернтом и еще один с впном которым я давно не пользовался, все было помещено в карантин. После проверки я через проводник удалил все файлы связанные с торрентом. Далее я еще какое-то время проверял свой пк на вирусы, пробовал это делать с выключенным интернетом и с включенным, но больше Malwarebytes ничего не находил. Хотя сообщения в PowerShell об event id 4104 продолжали появляться.
      Информация из просмотра событий пока является единственным аргументом в пользу наличия вирусов, ибо изменений в работе пк вообще не было. Единственное что меня беспокоит, время от времени мой ноутбук отключается от домашнего интернета, происходит это либо когда пк переходит в спящий режим, либо само по себе. Отключения бывают по несколько раз за день, но может и вообще не быть, какого-то паттерна я не смог увидеть. И еще в диспетчере задач в автозагрузке есть 4 приложения которые никак не открываются и у них нет иконок, но я думаю это какие-то остатки файлов от удаления нерабочих впн, вряд ли это какое-то вредоносное по.
      У меня есть скриншоты из журналов "Безопасность" и "PowerShell" если нужно то могу прислать некоторые из них.
      Подскажите как мне найти вирус или убедиться что его нет?
      И еще, в порядке оформления запроса о помощи первым пунктом сказано, что нужно установить Kaspersky Virus Removal Tool или Dr.Web CureIt и провести проверку, но у меня уже стоит Malwarebytes. Мне нужно еще один антивирус скачивать или надо удалить Malwarebytes и установить нужный? Или ничего не делать пока?
      Буду безумно рад помощи! 
      CollectionLog-2026.01.31-19.07.zip Malwarebytes Отчет о проверке 2026-01-24 050309.txt
    • DexterVron
      [РЕШЕНО] Tool.BtcMine.2828 (просто удалить не выходит)
      Автор DexterVron
      Всем привет. Словил Tool.BtcMine.2828, антивирусом удалять не выходит.
    • Salieri
      Словил ратник без доступа к чему - либо, новый администратор
      Автор Salieri
      Приветствую, словил ратник, антивирусы не работают, сайты , ничего, пишу с другого пк дабы подать на помощь. Ниже логи
      CollectionLog-2026.01.30-14.37.zipShortcut.txtFRST.txtAddition.txt
    • Meiras
      Появился вирус Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Meiras
×
×
  • Создать...