[РЕШЕНО] вирус поймал, который сворачивает диспечер задач, а когда он не открыт то загружает систему на 100%, когда открываю диспетчер, там загружает систему диспечер окон

[Tigran12]

Использовал ДР веб куреит, не помогло, не нашел вирус, прикрепил логи, не знаю когда поймал точно, использовал разные антивирусы, чтобы его удалить, не помогло, винду не хочется переустанавливать, как я понял он замаскирован как диспетчер окон, Во время игр, он грузит комп и сразу фпс в два раза меньше становится, а когда открываю диспечер, возвращается в норму, однако спустя секунд 10, сворачивается диспетчер и дальше грузит систему

CollectionLog-2025.11.22-10.31.zip

[safety]

Сделайте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[Tigran12]

вот это выдало и бесконечно застряло на анализе автозапуска

 

TIGRAN_2025-11-23_01-04-10_v5.0.3v x64.7z сделал как в инструкции

[safety]

Хорошо, все получилось.

Судя по образу,

есть фейковые процессы, т.е. процессы с измененным кодом, + множество нежелательных потоков, внедренных в системные процессы.

 

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
delfake
icsuspend
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\BL7MIPF48PYI\ZSE1L0GXLGGI.EXE
del %SystemDrive%\PROGRAMDATA\BL7MIPF48PYI\ZSE1L0GXLGGI.EXE
delref WDE:\.EXE
delref %SystemDrive%\USERS\TIKO0\APPDATA\LOCAL
delref %SystemDrive%\PROGRAM FILES
delref %SystemDrive%\PROGRAM FILES (X86)
delref %SystemDrive%\PROGRAMDATA
delref %SystemDrive%\USERS\TIKO0\APPDATA\ROAMING
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemDrive%\USERS\TIKO0
delall %SystemDrive%\USERS\TIKO0\APPDATA\LOCAL\TEMP\GIGABYTEUPDATESERVICE.EXE
apply
REGT 40
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено 23 ноября, 2025 пользователем safety

[Tigran12]

2025-11-23_10-00-15_log.txtFRST.txtAddition.txtСделал, только у меня залагал FRST? но логи создались

[safety]

Судя по логу выполнения скрипта не все получилось зачистить по причине того , что WinDef был отключен,

 

Ошибка удаления исключения WD - ExclusionExtension: .exe [Error: 0x80041001 - ]
Если WD отключен или вы используете сторонний антивирус то удаление исключений доступно лишь при использовании виртуализации реестра.

 

здесь на момент исполнения скрипта штатный антивирус должен быть отключен, а Windef включен

т.е. это нормально:

Цитата

Antivirus: Pro32 Total Security
C:\PROGRAM FILES (X86)\K7 COMPUTING\K7TSECURITY\K7WSCSHL.EXE
Timestamp: Sun, 23 Nov 2025 06:47:58 GMT
State: 42010
Защита: отключена

 

а Windef надо временно ключить, он у вас был отключен

 

Цитата

Antivirus: Windows Defender
C:\PROGRAM FILES\WINDOWS DEFENDER\MSMPENG.EXE
Timestamp: Fri, 21 Nov 2025 18:30:10 GMT
State: 60100
Защита: отключена

 

Но майнер  ZSE1L0GXLGGI.EXE, который так активно нагружал систему должен был быть удален.

--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 4 из 12
Удалено файлов: 2 из 2

---------

Сейчас проверю что осталось по логам FRST.

 

в системе остались поврежденные системные службы, которые надо исправить, и удалить службы созданные зловредом.

 

Скачайте с данной страницы

 

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

следующие твики для исправления поврежденных служб:

BITS;
dosvc;
UsoSvc
WaaSMedicSvc
wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Далее,

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2025-07-06] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2025-11-06] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [143360 2025-11-06] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2025-11-12] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [181120 2025-11-06] (Microsoft Windows -> Корпорация Майкрософт)
2025-11-06 08:22 - 2025-11-23 10:00 - 000000000 ____D C:\ProgramData\bl7mipf48pyi
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Сделайте новые логи FRST для контроля.

Изменено 23 ноября, 2025 пользователем safety

[Tigran12]

Fixlog.txt

 

[safety]

Хорошо, очистка успешная, в том числе и папки в которой ранее был майнер:

 

Цитата

 

HKLM\SOFTWARE\Policies\Google => успешно удалены
"HKLM\System\CurrentControlSet\Services\BITS_bkp" => успешно удалены
BITS_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\dosvc_bkp => успешно удалены
dosvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\UsoSvc_bkp => успешно удалены
UsoSvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\WaaSMedicSvc_bkp => успешно удалены
WaaSMedicSvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\wuauserv_bkp => успешно удалены
wuauserv_bkp => служба успешно удалены

"C:\ProgramData\bl7mipf48pyi" Папка переместить:

C:\ProgramData\bl7mipf48pyi => успешно перемещены

 

 

Попробуйте еще раз выполнить тот же скрипт в uVS,

но на момент выполнения скрипта защиту K7 надо временно отключить, а защиту Windef временно включить.

После выполнения скрипта и перезагрузки системы, вновь Windef отключить, K7 включить.

Лог выполнения скрипта добавьте в ваше сообщение

+

если очистка пройдет успешно, и не останется вопросов и проблем в работе системы:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено 23 ноября, 2025 пользователем safety

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".