sajithebloody Опубликовано 9 мая Опубликовано 9 мая Доброго времени, касперский не может справиться с троянами в этих файлах, лечение с перезагрузкой не помогает. Не нашел детект трояна в отчетах Касперского (но это было в моменте), но нашел упоминание попадания этих файлов в исключение сразу же после установки антивиря - подозрительно. Заранее прикрепляю максимум логов, из аутологгера и uvs. лог к.txt CollectionLog-2025.05.09-02.44.zip DESKTOP-LB93OSN_2025-05-09_03-17-36_v4.99.14v x64.7z
sajithebloody Опубликовано 9 мая Автор Опубликовано 9 мая Тип троянов этот, взял пикчу из другой темы, то же самое все
safety Опубликовано 9 мая Опубликовано 9 мая (изменено) По очистке системы: Выполните очистку системы в uVS Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы. ;uVS v4.99.14v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE icsuspend hide %SystemDrive%\PROGRAM FILES (X86)\GOTHIC\SYSTEM\GOTHICSTARTER.EXE ;------------------------autoscript--------------------------- delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT delref %SystemRoot% delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE delref %SystemDrive%\PROGRAMDATA delref %Sys32%\CONFIG\SYSTEMPROFILE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\SANDBOXIE\SANDBOXIE.EXE del %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\SANDBOXIE\SANDBOXIE.EXE delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE del %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE apply deltmp delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ITOPVPN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ITOP VPN\ATUD.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE delref %SystemRoot%\SYSWOW64\GPSVC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %Sys32%\DRIVERS\EAANTICHEAT.SYS delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{38063061-4C77-4153-8EEB-3389693F93ED}\MPKSLDRV.SYS delref %SystemDrive%\PROGRAM FILES\IRONMACE\TAVERN\STEAM\TAVERNAPP_1_1\TAVERNWORKER.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\135.0.7049.115\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\135.0.7049.115\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\135.0.7049.115\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.92\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\115.0.5790.171\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\115.0.5790.171\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\115.0.5790.171\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\115.0.5790.171\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.58\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\129.0.2792.89\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\115.0.1901.203\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\CROSSOUT\LAUNCHER.EXE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\CROSSOUT\UNINS000.EXE delref D:\ENLISTED\LAUNCHER.EXE delref D:\ENLISTED\UNINS000.EXE delref %SystemDrive%\PROGRAM FILES\HOYOPLAY\LAUNCHER.EXE delref %SystemDrive%\PROGRAM FILES\HOYOPLAY\UNINSTALL.EXE delref D:\STEAMLIBRARY\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\WARTHUNDER\LAUNCHER.EXE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\WARTHUNDER\UNINS000.EXE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\WEBTORRENT\WEBTORRENT.EXE delref %SystemDrive%\PROGRAM FILES (X86)\UTORRENT\UTORRENT.EXE delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + Добавьте новые логи FRST для контроля очистки. Изменено 9 мая пользователем safety
sajithebloody Опубликовано 9 мая Автор Опубликовано 9 мая (изменено) 2025-05-09_05-37-18_log.txt Фарбар рекавери тул виснет на "сканирование другие области", не уверен, надо ли оставлять на дольше (УПД: все таки родился лог, все окей должно быть). Прикладываю логи из юВС. А Касперский выдает такое) FRST.txt Изменено 9 мая пользователем sajithebloody добавил лог
safety Опубликовано 9 мая Опубликовано 9 мая (изменено) Касперский отключите на момент выполнения скрипта в uVS. Да, видим из какого процесса идет нагружка в системный EXPLORER.EXE Цепочка запуска: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы. ;uVS v4.99.14v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE sreg ;---------command-block--------- delref %SystemDrive%\USERS\ПОЛЬЗОВАТЕЛЬ\APPDATA\ROAMING\SANDBOXIE\SANDBOXIE.EXE delref %SystemDrive%\PROGRAMDATA\GOOGLE\CHROME\UPDATER.EXE apply areg restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + Добавьте новые логи FRST для контроля очистки. Здесь оба файла нужны: FRST.txt и Addition.txt Изменено 9 мая пользователем safety
safety Опубликовано 9 мая Опубликовано 9 мая Далее, Скачайте с данной страницы https://download.bleepingcomputer.com/win-services/windows-10-22H2/ следующие твики для исправления поврежденных служб: BITS; dosvc; UsoSvc WaaSMedicSvc wuauserv Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр Перезагружаем систему,
sajithebloody Опубликовано 9 мая Автор Опубликовано 9 мая 2025-05-09_07-39-22_log.txt Я прогнал новый, более короткий скрипт в программе, правильно же? После него - новые логи. Быстрой проверкой Касперский пока ничего не находит. Пока ухожу в афк, с твиками для поврежденных служб позже потыкаюсь. Очистка прошла то? Впрочем, я как вернусь проверю в играх - майнер палится неадекватными нагрузками внезапными на карту и камень, просадками. FRST.txt Addition.txt
safety Опубликовано 9 мая Опубликовано 9 мая (изменено) Все верно, Очистка активных вредоносных служб и задач прошла успешно, Как выполните твики, напишите, я добавляю дополнительно очистку по логам в FRST. Антивирусную защиту Касперского можно включить. (если еще отключена) Изменено 9 мая пользователем safety
safety Опубликовано 9 мая Опубликовано 9 мая После применения твиков и перезагрузки системы: Продолжаем очистку системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-16] (Microsoft Windows -> Microsoft Corporation) S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2024-12-13] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-04-11] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2025-04-11] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-03-12] (Microsoft Windows -> Microsoft Corporation) 2025-04-21 13:47 - 2025-05-09 05:33 - 000000000 ____D C:\Users\Пользователь\AppData\Roaming\Sandboxie 2025-04-21 13:47 - 2025-04-21 13:47 - 000000000 ____D C:\ProgramData\Google Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Проверяем работоспособность системы. Напишите по результату.
sajithebloody Опубликовано 9 мая Автор Опубликовано 9 мая (изменено) Новый ЛогFixlog.txt Изменено 9 мая пользователем sajithebloody
safety Опубликовано 9 мая Опубликовано 9 мая Если вопросов и проблем в работе системы не осталось: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 1
sajithebloody Опубликовано 9 мая Автор Опубликовано 9 мая SecurityCheck.txt Вроде нареканий нет, комп пару раз в бсод уходил ДО установки твиков - но вообще у меня это наблюдалось и ранее, мб работа майнера внутри системных процессов. Посмотрим как сейчас будет.
safety Опубликовано 9 мая Опубликовано 9 мая По возможности, обновите данное ПО: Foxit Reader 5.3.1.606 v.v 5.3.1.606 Внимание! Скачать обновления ^Локализованные версии могут обновляться позже англоязычных!^ Microsoft Office профессиональный плюс 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления Microsoft Office Professional Plus 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Discord v.1.0.9015 Внимание! Скачать обновления Zoom v.5.17.11 (34827) Внимание! Скачать обновления Telegram Desktop v.5.13.1 Внимание! Скачать обновления K-Lite Codec Pack 12.3.5 Full v.12.3.5 Внимание! Скачать обновления Yandex v.24.1.3.809 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
sajithebloody Опубликовано 10 мая Автор Опубликовано 10 мая Спасибо огромное. Долгих лет жизни тебе! 1
safety Опубликовано 10 мая Опубликовано 10 мая Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".
Рекомендуемые сообщения