[РЕШЕНО] Вирус блокирует доступ к файлам, не виден антивирусам, урезает доступ к системе

[k3eyrun]

словил очередной вирус с гитхаба по гиперссылке, перед запуском проверял файл, но ни один антивирус ничего не нашел. вирустотал говорил о том что в папке нет файлов, но меня это не смутило. при запуске файла через секунду заработал майнер, очень примитивный, при запуске диспечера задач с задержкой в секунд 10 выключался, а потом через время скрипт выключал диспетчер задач, и майнер включался снова. 
я проверил пк через kaspersky, тот ничего не нашел, проверил через malwarebytes, он уже нашел майнер и после синего экрана его удалил, только вот по всей видимости, не полностью.
после всего этого я хотел удалить папку, откуда и пошел вирус, но вирус сразу тормозил проводник, отключал мышку, или вообще останавливал всю систему. после этого антивирусы что то находили, но после "удаления" проблема никуда не делась, но антивирусы больше ничего не видели. 
планировщик задач, настройки, и обновления винды тоже сломались этим трояном, корректно ничего не отображают. 

CollectionLog-2025.08.18-16.35.zip

[Sandor]

Здравствуйте!

 

Если существует этот файл

Цитата

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bird.exe

упакуйте его в архив с паролем, загрузите на облако и дайте ссылку на скачивание.

 

Дополнительно 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[k3eyrun]

как я помню я когда то переименовывал обычное приложение телеграм, не помню зачем, но вот этот файл, пароль 9999
https://cloud.mail.ru/public/Fkpz/BE5g9SSzx

Так же есть небольшой вопрос. Сканирование проводить в безопасном режиме или в обычном? 
в безопасном режиме я не могу отключить антивирус винды, по какой то причине, а винда ругается на утилиту

[Sandor]

С файлом понятно, спасибо.

 

"Ругается" - это вероятно SmartScreen?

Если да, нажмите сначала "Подробнее" и затем "Выполнить в любом случае". Да, сканируйте в обычном, не в безопасном режиме.

Изменено 19 августа пользователем Sandor

[k3eyrun]

да, это был SmartScreen
я просканировал, перед сканированием FRST автоматически обновился, вот файлы

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [DisableResetToFactoryDefault] 1
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {B7D47F84-57AA-4671-8FA9-ED106425EB39} - System32\Tasks\UpdateUTorrentV4 => C:\Users\madin\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe  (Нет файла)
  Task: {7EA1C821-A573-487E-AD59-915947238301} - System32\Tasks\uTorrent_v2UpdaterV5_t1737557815559 => "C:\Users\madin\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe"  /LHS (Нет файла)
  Task: {9F00A828-0CA8-411D-B784-5766D22149FA} - System32\Tasks\uTorrent_v2UpdaterV6_t1737557817589 => "C:\Users\madin\AppData\Local\Programs\com.brotorrent.torrent-client-utorrent\uTorrent-v2.exe"  /LHS (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\madin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bnpfbihoimidbpmjneacdmoohollejhb
  C:\Users\madin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\fdhgeoginicibhagdmblfikbgbkahibd
  CHR HKU\S-1-5-21-2282292182-903865101-416590914-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  S3 pure; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-07-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
  S4 slump; C:\WINDOWS\system32\usosvc.dll [143360 2025-07-23] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
  S4 swell; C:\WINDOWS\system32\wuaueng.dll [181120 2025-07-23] (Microsoft Windows -> Корпорация Майкрософт) <==== ВНИМАНИЕ
  U2 wellwellwell; C:\WINDOWS\system32\dosvc.dll [98304 2025-03-25] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
  2025-08-18 19:55 - 2025-08-18 19:55 - 000000000 __SHD C:\$360Section
  2025-08-18 19:52 - 2025-08-18 19:52 - 000000000 ____D C:\WINDOWS\system32\CleanLog
  2025-08-18 19:48 - 2025-08-18 19:48 - 000000000 ____D C:\WINDOWS\Tasks\360Disabled
  2025-08-18 19:48 - 2025-08-18 19:48 - 000000000 ____D C:\Users\madin\AppData\LocalLow\360MenuMgr
  2025-08-18 19:43 - 2025-08-18 19:57 - 000000000 ____D C:\Users\madin\AppData\Roaming\360DesktopLite
  2025-08-18 19:40 - 2025-08-18 21:51 - 000000000 ____D C:\Program Files (x86)\360
  2025-08-18 19:52 - 2024-01-31 22:15 - 000000000 ____D C:\ProgramData\Norton
  2025-07-13 16:33 - 2025-07-15 19:24 - 000000599 _____ () C:\Users\madin\setup.dat
  AV: Norton 360 for Gamers (Disabled - Out of date) {AECE2126-F4E7-6909-11F2-1B69D1FBCBD0}
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [3442]
  AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [110]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Media Encoder 2024.lnk:5239ACD094 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Internet Security.lnk:4B2FBCE6BB [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes.lnk:C5D586BE93 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MCHOSE Driver.lnk:D819385D49 [3442]
  AlternateDataStreams: C:\Users\madin\Downloads\CapCut_V7278874141292363778.exe:MBAM.Zone.Identifier [318]
  AlternateDataStreams: C:\Users\madin\Downloads\Essential Mod Installer.exe:MBAM.Zone.Identifier [160]
  AlternateDataStreams: C:\Users\madin\Downloads\jarfix.exe:MBAM.Zone.Identifier [159]
  AlternateDataStreams: C:\Users\madin\Downloads\jre-8u401-windows-x64.exe:MBAM.Zone.Identifier [405]
  AlternateDataStreams: C:\Users\madin\Downloads\KLSetup.exe:MBAM.Zone.Identifier [108]
  AlternateDataStreams: C:\Users\madin\Downloads\Modrinth App_0.6.3_x64_en-US.msi:MBAM.Zone.Identifier [164]
  AlternateDataStreams: C:\Users\madin\Downloads\Rockstar-Games-Launcher.exe:MBAM.Zone.Identifier [336]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6938]
  HKU\S-1-5-21-2282292182-903865101-416590914-1002\...\StartupApproved\Run: => "uFiler"
  FirewallRules: [{9689649D-1A8D-4F3C-9FF1-009596D20B35}] => (Allow) LPort=31129
  FirewallRules: [{24B53113-F68B-494F-B51E-2046E5C9C0E9}] => (Allow) LPort=31128
  FirewallRules: [{CC09A8DC-6C6C-4CAF-8D4E-CA8F71FE6A86}] => (Allow) LPort=31127
  FirewallRules: [{A83E4C47-9D87-4CDE-BE12-10B378376A94}] => (Allow) LPort=31126
  FirewallRules: [{80190F95-C6DD-4FEA-8CD2-71434594D13B}] => (Allow) LPort=31125
  FirewallRules: [{C24896A9-DB17-46F7-8F8A-5E53FFBB60B7}] => (Allow) LPort=31124
  FirewallRules: [{8BA5DFF0-B07C-4D93-86B3-E8D0B3F6EC8C}] => (Allow) LPort=31123
  FirewallRules: [{9FDFA823-7D98-444F-893C-8D918436759C}] => (Allow) LPort=31122
  FirewallRules: [{7811E3BB-DAD6-4ADE-832E-9858E960A285}] => (Allow) LPort=31121
  FirewallRules: [{FD89B288-1B30-450E-B9AB-034F1E59BD1B}] => (Allow) LPort=31120
  FirewallRules: [{3D12B494-6FD4-45C6-AC3F-C9AF114B879E}] => (Allow) LPort=31119
  FirewallRules: [{20FC1D1A-7859-4B21-91A3-49DC5DFB3170}] => (Allow) LPort=31118
  FirewallRules: [{C491527D-25B5-41BD-9CC0-8966D3B32CDA}] => (Allow) LPort=31117
  FirewallRules: [{A8A92DCC-305A-4B0A-8215-71DDABA9EA30}] => (Allow) LPort=31116
  FirewallRules: [{6A47EF33-1E5C-4182-A670-8C953DCB1BEF}] => (Allow) LPort=31115
  FirewallRules: [{46ACB6B7-BB54-485F-A106-23686642276B}] => (Allow) LPort=31114
  FirewallRules: [{F9054C3D-8368-488F-93F9-B752ECDF65B0}] => (Allow) LPort=31113
  FirewallRules: [{9CB8B5AF-E688-4459-B06E-61EFAA68EF22}] => (Allow) LPort=31112
  FirewallRules: [{FFC24370-3588-4E93-9805-6E2A07A83C4B}] => (Allow) LPort=31111
  FirewallRules: [{071C4846-B92F-496E-B767-31B8811F7AF5}] => (Allow) LPort=31110
  FirewallRules: [{6B9EF1BB-4B35-4700-A35E-3BCE5EE5BEC0}] => (Allow) LPort=31109
  FirewallRules: [{CBB92F92-3393-48E9-952F-98E6688157FB}] => (Allow) LPort=31108
  FirewallRules: [{8EEB6524-695F-4DF5-A7ED-7E803DD0813B}] => (Allow) LPort=31107
  FirewallRules: [{FF36142B-C5A1-4A24-A2FF-291F07EA68B8}] => (Allow) LPort=31106
  FirewallRules: [{9AD419D4-4756-4C9C-BC18-DC92CB94EAD5}] => (Allow) LPort=31105
  FirewallRules: [{5243B25A-5816-4B5F-90F2-7127241DF9DB}] => (Allow) LPort=50052
  FirewallRules: [{AF719922-4BFF-47EA-9F3F-E13990B80E71}] => (Allow) LPort=31100
  FirewallRules: [{F75867D1-F7D4-4044-936A-1CE3968A6674}] => (Allow) LPort=31104
  FirewallRules: [{93541AAD-4F35-41AF-8FCA-C1062D3F1409}] => (Allow) LPort=8000
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

На системном диске слишком мало свободного места:

Drive c: (LocalDisk) (Fixed) (Total:464.78 GB) (Free:7.58 GB)

Постарайтесь освободить хотя бы до 95 GB.

 

Затем скачайте этот архив, извлеките из него содержимое и последовательно запустите каждый файл. Соглашайтесь с внесением изменений в реестр.

После этого перезагрузите компьютер ещё раз.

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[k3eyrun]

хорошо, почистил как смог, фикс лог с FRST сделать получилось, только вот с файлами реестра вот такая проблема:

Fixlog.txt

[Sandor]

Хорошо. И ещё это, пожалуйста:

15 часов назад, Sandor сказал:

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

А также удалите старые и соберите новые логи FRST.txt и Addition.txt

[k3eyrun]

вот файлы

Так же хотел сказать, что все файлы реестра кроме BUTS.reg смогли внестись в реестр

FSS.txt FRST.txt Addition.txt

Изменено 20 августа пользователем k3eyrun

[Sandor]

Кое-какие недочёты в логах по-прежнему видны, но об этом позже.

Какие из проблем сейчас ещё остаются?

[k3eyrun]

что то с центром обновления, ну и также во время активности вируса при запусках были удаленны spotify и один лаунчер, но думаю это не критично. А так вроде другие проблемы ушли, раньше было много папок к которым я не мог получить доступа, но сейчас ко всем папкам вроде как доступ есть, антивирусы ничего не находят

[Sandor]

Да, с центром обновления есть проблемы, это и по логам видно.

Пробуйте исправить несколькими способами, перечисленными здесь и здесь.

Результат сообщите.

[k3eyrun]

да, один из способ с powershell помог, но перед первым заходом powershell говорил, что я вошел в систему не с аккаунта администратора (в параметрах мой аккаунт отображается как администратор),
но когда я включил powershell с имени администратора все сработало, надеюсь все так и должно было быть

[Sandor]

Верно, так и должно быть.

 

Отлично! В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[k3eyrun]

все сделал, вот файл

SecurityCheck.txt