Перейти к содержанию
Правила раздела

Вирус, маскирующийся под edge updater, восстанавливается после перезагрузки

Prophet86

Автор Prophet86
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Prophet86

Prophet86

Опубликовано
Опубликовано

Добрый день. Подцепил вирус, KVRT и Cureit его видят, определяют как bltminer, удаляют, но после перезапуска он восстанавливается. Сидит в папке AppData\Local\Microsoft\Edge\System\

Через диспетчер задач видно, что после запуска системы создается служебный сценарий в браузере Edge, который устанавливает файл Updater.exe, а также некую программу UmasMatima, но сразу же маскирует их расположение...

Помогите, пожалуйста, в решении проблемы

CollectionLog-2025.06.21-19.25.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\test_2022\appdata\local\microsoft\edge\system\update.exe');
 TerminateProcessByName('c:\users\test_2022\appdata\local\microsoft\edge\system\updater.exe');
 QuarantineFile('c:\users\test_2022\appdata\local\microsoft\edge\system\update.exe', '');
 QuarantineFile('c:\users\test_2022\appdata\local\microsoft\edge\system\updater.exe', '');
 DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask');
 DeleteSchedulerTask('Microsoft\Windows\MUI\FPRemove');
 DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove');
 DeleteFile('c:\users\test_2022\appdata\local\microsoft\edge\system\update.exe', '');
 DeleteFile('C:\Users\TEST_2022\AppData\Local\Microsoft\Edge\System\update.exe', '64');
 DeleteFile('c:\users\test_2022\appdata\local\microsoft\edge\system\updater.exe', '');
 DeleteFile('c:\users\test_2022\appdata\local\microsoft\edge\system\updater.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

2. После перезагрузки, выполните такой скрипт:

  

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

3. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - HKLM\..\RunOnce: [4bbb02de-084d-46af-bdab-8fc4d48e2dc1] = C:\Users\TEST_2022\AppData\Local\Temp\{6f441971-3c25-48cc-aa75-9e7b791e2675}\4bbb02de-084d-46af-bdab-8fc4d48e2dc1.cm (file missing)
O4 - HKLM\..\RunOnce: [6ade0206-1d2f-4d3a-82f7-f006d0c4fbc4] = C:\Users\TEST_2022\AppData\Local\Temp\{c60fe144-12aa-4393-a39f-a40c653f83d3}\6ade0206-1d2f-4d3a-82f7-f006d0c4fbc4.cm (file missing)
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = 4
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1
O22 - Tasks: \Microsoft\Windows\MUI\FPRemove - C:\Users\TEST_2022\AppData\Roaming\DriversUpdate\taskhostupdate.exe (file missing)
O22 - Tasks: \Microsoft\Windows\MUI\RPRemove - C:\Users\TEST_2022\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe /verysilent (not signed - UnasMatima Software - A8A5A4DB4A7679A9FD9E6ABF603AE8F655E44546)
O22 - Tasks: \Microsoft\Windows\USB\Usb-Notification - C:\Users\TEST_2022\AppData\Roaming\DriversUpdate\Runtime_Broker.exe (not signed - no company - DA39A3EE5E6B4B0D3255BFEF95601890AFD80709)

 

Перезагрузите компьютер вручную.

 

4.

1 час назад, Prophet86 сказал:

некую программу UmasMatima, но сразу же маскирует их расположение...

В перечне установленных видна. Удалите вместе с нежелательной Bonjour

 

 

5. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Дополнительно, пожалуйста:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Ответ вирлаб:

Цитата

В присланном Вами файле обнаружено новое вредоносное программное обеспечение.
HEUR:Trojan.MSIL.Agent.gen
Его детектирование будет включено в очередное обновление антивирусных баз.

 

@Prophet86, дополнительные логи всё же сделайте, пожалуйста.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • RRE
      Вирус (майнер), маскирующийся под dwm.exe
      Автор RRE
      Здравствуйте, столкнулся с вирусом, подменяющим системный файл dwm.exe, в диспетчере 2 процесса dwm.exe, однако оба "располагаются" в C:Windows\System32, стандартные антивирусники ничего не выявляют. uVS определила DWM.EXE[14036] как FAKE:C\WINDOWS\SYSTEM32. Не могли бы вы подсказать скрипт для uVS или другие методы, с помощью которых можно избавиться от данного вируса? Прилагаю логи от AutoLogger и образ автозагрузки(uVs)

       
      Сообщение от модератора Mark D. Pearlstone Файлы удалены по просьбе автора.
       
    • Рязанский
      [РЕШЕНО] долго загружается, нет панелей окон и значков (возле часов)
      Автор Рязанский
      поймал вирус, пролечил Dr.Web CureIt!, через некоторое время пропала панель окон, пропали значки, загрузка замедлилась.
      Создал новую учетную запись - дня три работала нормально, затем всё повторилось, как на прежней.
      Есть ещё одна учётка, ограниченная - в ней всё работает.
      Сейчас проверил Kaspersky Virus Removal Tool ничего подозрительного не нашёл.
      В журнале системы ошибки: "Служба "bits" завершена из-за ошибки Не удается найти указанный файл.", "Служба "UsoSvc" завершена из-за ошибки Не удается найти указанный файл.", "Служба "wuauserv" завершена из-за ошибки Не удается найти указанный файл."
      Лог из AutoLogger вложил.
       
      CollectionLog-2026.04.03-22.00.zip
    • pupochhek228
      словила вирус
      Автор pupochhek228
      приблизительно 2 недели у меня на ноутбуке начала появляться вот эта ошибка, прикреп ниже. В начале я пыталась найти файл и удалить его, но найти не удалось и я благополучно забила на это. Все это время эта ошибка у меня регулярно появлялась, в зависимости от программы частота ее появлений тоже менялась. Вот получается сегодня у меня значительно ухудшилась работа компа, все вылетало, плохо работала, и после захода в игру лицензированную она вообще не убиралась. Я решила проверить что это, оказалось это вирус который не давал мне скачать антивирус и вообще зайти куда то у меня постоянно все вылетало.Я много раз перезагружала комп, после я перезагрузила с безопасным режимом и еще раз обычно, после этого я смогла провести проверку через антивирус курейт и касперский, прикреп ниже, и вот что обнаружило, логи я тоже прикрепила. помогите пожалуйста, очень боюсь за комп. но абсолютно в этом не разбираюсь
       
      CollectionLog-2026.03.28-23.01.zip
    • Kirl
      [РЕШЕНО] Проблема с ScreenConnect (возможно ратник?)
      Автор Kirl
      CollectionLog-2026.03.27-15.55.zip Давайте сразу начнем с того, что сегодня включив ПК и введя пароль, мне без всяких загрузок предъявляются, что в доступе отказано, хотя пароль правильный и состоит из цифр, там раскладка не играет роли. После перезагрузки проблема решилась, но я очень перепугался, у меня первый раз такое и теперь я боюсь выключать ПК вообще. Вся история резко началась 25.03.26 в 3:58. Дефендер выдает следующее: Trojan:Win32/Wacatac.H!ml Эта опасная программа выполняет команды злоумышленника. C:\Users\Kir\Documents\ScreenConnect\Temp\SimpleRunPE.exe - угроза критическая. Я удалил её через дефендер. Потом через некоторое время, уже днём, сидя в браузере, брандмауэр жалуется на что-то подозрительное (есть скриншот, могу прикрепить если нужно будет и в целом у меня иного информации), но если кратко, там путь был примерно windows/cashes/.../securityhealthhost.exe, я не дал доступа, нажал отмена. Я пошел по пути этого подозрительного файла, сам найти не смог, файл был невидимым, хотя скрытые папки показаны, поэтому я просто скопировал путь и наткнулся на качку странных файлов, один их которых назывался SRBminer, но папка была пуста. Естественно у меня уже с самого начала, с первого дня, какая-то паника и страх уже. Что я только не пытался делать.. и процессы смотреть, и удалять, и задачи удалять, и автономным модулем дефендер проходился и т.п. Также у меня есть точка восстановления на 6 марта, всё покоя не дает, вдруг сработает?..  На следующий день - 26.03.26 в 19:03 при включении ПК я вижу это Trojan:Win32/Suweezy Эта опасная программа выполняет команды злоумышленника. Угроза критическая. И куча, куча разных затронутых элементов в реестре, не буду всё отправлять пока что, чтобы не спамить, скину один элемент: regkeyvalue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\ Он вроде как дефендер пытался сломать или отключить постоянно. Потом периодически заходя в журнал защиты горел желтый восклицательный знак, якобы защита отключена, устройство может быть уязвимо, но перезаходя всё обратно восстанавливалось.. Также потом еще кучку других странных файлов находил, например в windows/cashes/D3F4E2A1/RuntimeHost.exe. Позже браузер начал постоянно выпрашивать сброс настроек, заходя в него. Много информации искал в интернете, сам пытался что-то делать, но всё без толку как будто. В общем, чтобы не спамить большим количеством текста, пожалуй на этом закончу.. Скажу что последнее что я делал, это пропускал весь ПК через дефендер, KVRT и Dr.Web. Они что-то находили (кроме дефендера) ,что-то лечили, но по ощущениям никакого толка. Скорее всего я зачистил только майнеры и трояны, который заносит ScreenConnect, а само сердце спокойно работает. По-моему еще это безйфайловый вирус, который живет в оперативной памяти. Заранее спасибо
    • Artemnehacker
      поймал вирус стилер через анидеск
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
×
×
  • Создать...