Перейти к содержанию
Правила раздела

Не могу удалить Trojan.BitCoinMiner, Trojan Agent

Saumraika

Автор Saumraika
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Saumraika

Saumraika

Опубликовано
Опубликовано (изменено)

Пробовала удалять вручную, после перезапуска опять появляются и по новой кидаю в карантин

image.thumb.png.a2af451a11321ade7f47cdfe2a86d6f0.pngCollectionLog-2025.09.03-13.09.zip

Изменено пользователем Saumraika
Дополнение информации
safety

safety

Опубликовано
Опубликовано

+

дополнительно сделайте образ автозапуска системы.

с отслеживанием процессов и задач.

 

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Saumraika

Saumraika

Опубликовано
  • Автор
Опубликовано
12 часов назад, safety сказал:

+

дополнительно сделайте образ автозапуска системы.

с отслеживанием процессов и задач.

 

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

 

SAMURAI_2025-09-04_02-53-26_v5.0.1v x64.7z

safety

safety

Опубликовано
Опубликовано (изменено)

Видим, что есть процессы с измененным кодом:

image.png

Но.

Отслеживание процессов и задач не включено.

image.png

 

Нам важно определить родительские процессы, которые порождают процессы с измененным кодом.

 

Возможно, что проблема в этом файле:

C:\PROGRAMDATA\ILSHOBHUTIFB\ZFFLNFQVPEQE.EXE

Дата: 2025-09-03 11:55 [2025-09-02]

Детектов: 50 из 76

https://www.virustotal.com/gui/file/b26ac42dcf282c4b0b53f0a369f88c7bfc210ebb3a276cbbff821a7d7a440970

 

Переделайте, пожалуйста, образ автозапуска с  с отслеживанием процессов и задач.

 

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

Изменено пользователем safety
Saumraika

Saumraika

Опубликовано
  • Автор
Опубликовано
4 часа назад, safety сказал:

Видим, что есть процессы с измененным кодом:

image.png

Но.

Отслеживание процессов и задач не включено.

image.png

 

Нам важно определить родительские процессы, которые порождают процессы с измененным кодом.

 

Переделайте, пожалуйста, образ автозапуска с  с отслеживанием процессов и задач.

 

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

Включила и перезапустила систему,вот новый анализ

SAMURAI_2025-09-04_13-03-08_v5.0.1v x64.7z

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Спасибо.

Теперь все хорошо, в том смысле, что отслеживание включено.

image.png

 

да, теперь видим, что процессы с измененным кодом  созданы данным процессом.

C:\PROGRAMDATA\ILSHOBHUTIFB\ZFFLNFQVPEQE.EXE

 

image.png

Ждем скрипт очистки.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

По очистке системы:

 

По  очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
delfake
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\ILSHOBHUTIFB\ZFFLNFQVPEQE.EXE
addsgn BA6F9BB21DE149A775D4AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E6B9062242 8 Win64/Kryptik.EDF 6

chklst
delvir

apply

regt 27

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOG GALAXY\GALAXYCLIENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ACER\ACER JUMPSTART\HERMES.EXE
delref %SystemDrive%\USERS\YULIY\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTEL\RSTMWSERVICE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {3FD37ABB-F90A-4DE5-AA38-179629E64C2F}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {62B4D041-4667-40B6-BB50-4BC0A5043A73}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {9203C2CB-1DC1-482D-967E-597AFF270F0D}\[CLSID]
delref {9F9C4924-C3F3-4459-A396-9E9E0D8B83D1}\[CLSID]
delref {BDEADEF2-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADEF4-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADEF5-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {CDEC13B2-0B3C-400E-B909-E27EE89C6799}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E18FEC31-2EA1-49A2-A7A6-902DC0D1FF05}\[CLSID]
delref {E7339A62-0E31-4A5E-BA3D-F2FEDFBF8BE5}\[CLSID]
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\OUTLOOK.EXE
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\MLCFG32.CPL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONBTTNIE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONBTTNIELINKEDNOTES.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\OLKFSTUB.DLL
delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B}\[CLSID]
delref {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B}\[CLSID]
delref {AC44EC8F-071A-4290-BDE2-A66A764472DF}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {D9806E4E-82CE-4A75-83D0-A062EC605349}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2104.10-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_SPI_CNL.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\IALPSS2_UART2.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\NPAUTHZ.DLL
delref {138508BC-1E03-49EA-9C8F-EA9E1D05D65D}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.61\INSTALLER\SETUP.EXE
delref {FE8E6AD6-DABE-45E1-88C2-48DC4578924C}\[CLSID]
delref {42042206-2D85-11D3-8CFF-005004838597}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WIN10_AMD64\ASCFILEFILTER.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WIN10_AMD64\ASCREGISTRYFILTER.SYS
delref %SystemRoot%\TEMP\CPUZ154\CPUZ154_X64.SYS
delref %Sys32%\DRIVERS\HDUUFODL.SYS
delref %Sys32%\DRIVERS\JHKDRFIP.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.61\ELEVATION_SERVICE.EXE
delref D:\STEAMLIBRARY\STEAMAPPS\COMMON\ONCE HUMAN\NEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TUNNELBEAR\DRIVERS\X64\SPLITTUNNELINGDRIVER.SYS
delref %SystemDrive%\PROGRAM FILES\ACER\USER EXPERIENCE IMPROVEMENT PROGRAM SERVICE\FRAMEWORK\UBTSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT UPDATE HEALTH TOOLS\UHSSVC.EXE
delref %Sys32%\DRIVERS\XPSFFUDU.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.45\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.55\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.37\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.35\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE FILE STREAM\69.0.0.0\GOOGLEDRIVEFS.EXE
delref {31D09BA0-12F5-4CCE-BE8A-2923E76605DA}\[CLSID]
delref {424BE3CD-34AB-4F51-9C57-4341166DC8FA}\[CLSID]
delref {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\[CLSID]
delref {611B6CB4-ACE6-4655-8D60-15FAC4AD0952}\[CLSID]
delref {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\[CLSID]
delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
delref {8AC780E1-BCDB-4816-A6EA-A88BCC064453}\[CLSID]
delref {A0651028-BA7A-4D71-877F-12E0175A5806}\[CLSID]
delref %SystemDrive%\USERS\YULIY\DOWNLOADS\НОВАЯ ПАПКА\YBVZVQ
delref %SystemDrive%\USERS\YULIY\DOWNLOADS\НОВАЯ ПАПКА\AFTOYA
delref %SystemDrive%\USERS\YULIY\DOWNLOADS\НОВАЯ ПАПКА\LTPGZL
delref %SystemDrive%\USERS\YULIY\APPDATA\LOCAL\TEMP\.OPERA\3FAC4D243BDA\INSTALLER.EXE
delref %SystemRoot%\TEMP\7DF1890E-60E6-4C07-A516-25552188097D\DISMHOST.EXE
;-------------------------------------------------------------
;---------command-block---------
delref WDE:\.EXE
regt 40
czoo
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Файл ZOO_дата_время.7z добавьте в ваше сообщение.

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
Saumraika

Saumraika

Опубликовано
  • Автор
Опубликовано
6 часов назад, safety сказал:

По очистке системы:

 

По  очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. 

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
delfake
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\ILSHOBHUTIFB\ZFFLNFQVPEQE.EXE
addsgn BA6F9BB21DE149A775D4AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E6B9062242 8 Win64/Kryptik.EDF 6

chklst
delvir

apply

regt 27

deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOG GALAXY\GALAXYCLIENT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ACER\ACER JUMPSTART\HERMES.EXE
delref %SystemDrive%\USERS\YULIY\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTEL\RSTMWSERVICE.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {3FD37ABB-F90A-4DE5-AA38-179629E64C2F}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {62B4D041-4667-40B6-BB50-4BC0A5043A73}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {9203C2CB-1DC1-482D-967E-597AFF270F0D}\[CLSID]
delref {9F9C4924-C3F3-4459-A396-9E9E0D8B83D1}\[CLSID]
delref {BDEADEF2-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADEF4-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {BDEADEF5-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {CDEC13B2-0B3C-400E-B909-E27EE89C6799}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E18FEC31-2EA1-49A2-A7A6-902DC0D1FF05}\[CLSID]
delref {E7339A62-0E31-4A5E-BA3D-F2FEDFBF8BE5}\[CLSID]
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\OUTLOOK.EXE
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\MLCFG32.CPL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONBTTNIE.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\ONBTTNIELINKEDNOTES.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\OFFICE14\OLKFSTUB.DLL
delref {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B}\[CLSID]
delref {EE15C2BD-CECB-49F8-A113-CA1BFC528F5B}\[CLSID]
delref {AC44EC8F-071A-4290-BDE2-A66A764472DF}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {D9806E4E-82CE-4A75-83D0-A062EC605349}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2104.10-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\DRIVERS\IALPSS2_SPI_CNL.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\IALPSS2_UART2.SYS
delref %Sys32%\DRIVERS\IALPSS2_I2C.SYS
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRA~1\MICROS~1\OFFICE14\NPAUTHZ.DLL
delref {138508BC-1E03-49EA-9C8F-EA9E1D05D65D}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.61\INSTALLER\SETUP.EXE
delref {FE8E6AD6-DABE-45E1-88C2-48DC4578924C}\[CLSID]
delref {42042206-2D85-11D3-8CFF-005004838597}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WIN10_AMD64\ASCFILEFILTER.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE\DRIVERS\WIN10_AMD64\ASCREGISTRYFILTER.SYS
delref %SystemRoot%\TEMP\CPUZ154\CPUZ154_X64.SYS
delref %Sys32%\DRIVERS\HDUUFODL.SYS
delref %Sys32%\DRIVERS\JHKDRFIP.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.61\ELEVATION_SERVICE.EXE
delref D:\STEAMLIBRARY\STEAMAPPS\COMMON\ONCE HUMAN\NEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TUNNELBEAR\DRIVERS\X64\SPLITTUNNELINGDRIVER.SYS
delref %SystemDrive%\PROGRAM FILES\ACER\USER EXPERIENCE IMPROVEMENT PROGRAM SERVICE\FRAMEWORK\UBTSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\MICROSOFT UPDATE HEALTH TOOLS\UHSSVC.EXE
delref %Sys32%\DRIVERS\XPSFFUDU.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.45\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.55\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\80.0.361.61\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.37\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\107.0.1418.35\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\DRIVE FILE STREAM\69.0.0.0\GOOGLEDRIVEFS.EXE
delref {31D09BA0-12F5-4CCE-BE8A-2923E76605DA}\[CLSID]
delref {424BE3CD-34AB-4F51-9C57-4341166DC8FA}\[CLSID]
delref {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}\[CLSID]
delref {611B6CB4-ACE6-4655-8D60-15FAC4AD0952}\[CLSID]
delref {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}\[CLSID]
delref {8ABE89E2-1A1E-469B-8AF0-0A111727CFA5}\[CLSID]
delref {8AC780E1-BCDB-4816-A6EA-A88BCC064453}\[CLSID]
delref {A0651028-BA7A-4D71-877F-12E0175A5806}\[CLSID]
delref %SystemDrive%\USERS\YULIY\DOWNLOADS\НОВАЯ ПАПКА\YBVZVQ
delref %SystemDrive%\USERS\YULIY\DOWNLOADS\НОВАЯ ПАПКА\AFTOYA
delref %SystemDrive%\USERS\YULIY\DOWNLOADS\НОВАЯ ПАПКА\LTPGZL
delref %SystemDrive%\USERS\YULIY\APPDATA\LOCAL\TEMP\.OPERA\3FAC4D243BDA\INSTALLER.EXE
delref %SystemRoot%\TEMP\7DF1890E-60E6-4C07-A516-25552188097D\DISMHOST.EXE
;-------------------------------------------------------------
;---------command-block---------
delref WDE:\.EXE
regt 40
czoo
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Файл ZOO_дата_время.7z добавьте в ваше сообщение.

+

добавьте новые логи FRST для контроля

Логи FRSt могла не так понять

2025-09-04_22-42-28_log.txt ZOO_2025-09-04_22-42-27.7z SAMURAI_2025-09-04_22-56-37_v5.0.1v x64.7z

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 93872
      не могу удалить Trojan.BitCoinMiner GoogleUpdateTaskMachineQC
      Автор 93872
      Скачал давным давно какую то программу и походу словил майнер. Проверил малвейрбайтсом, закинул в карантин, а оно опять восстанавливается, и нагрузка на видеокарту идет постоянно. Еще и в регистре засело. Помогите:(

      Malwarebytes%20Scan%20Report%202025-08-11%20004030.txt
    • HacBau
      trojan agent vbs не получается удалить
      Автор HacBau
      Здравствуйте!
      Откуда появился вирус - понятия не имею, но после его удаления вручную или с помощью программ, файлы создаются заново, и так раз за разом.
      Напрягает периодическое обновление страниц, ютуба, вотс апа ( на компьютере ), как будто при нагрузке на сеть как то реагирует.
    • OLEGGih
      [РЕШЕНО] conhost trojan multi agent gen
      Автор OLEGGih
      Здравствуйте. Антивирус ругается на conhost trojan multi agent gen. При лечении с перезагрузкой удалить не может. Установлен Kaspersky Free. Помогите пожалуйста
      CollectionLog-2025.03.11-15.09.zip
    • Zed
      не могу удалить вирусы
      Автор Zed
      здравствуйте, уже 2 день не могу удалить, после перезагрузки ноута они опять появляются, пробовал все, бесполезно, помогите плиз!!!!!!!!
    • Holikokl
      NET:MALWARE.URL не могу удалить
      Автор Holikokl
      dr.web cureit нашел эту прогу и не может удалить. Вчера испробовал много способов после чего вроде удалил и др веб его не видит но до сих пор нагружается процессор и оперативка
×
×
  • Создать...