Перейти к содержанию

[РЕШЕНО] вирус поймал, который сворачивает диспечер задач, а когда он не открыт то загружает систему на 100%, когда открываю диспетчер, там загружает систему диспечер окон


Рекомендуемые сообщения

Опубликовано

Использовал ДР веб куреит, не помогло, не нашел вирус, прикрепил логи, не знаю когда поймал точно, использовал разные антивирусы, чтобы его удалить, не помогло, винду не хочется переустанавливать, как я понял он замаскирован как диспетчер окон, Во время игр, он грузит комп и сразу фпс в два раза меньше становится, а когда открываю диспечер, возвращается в норму, однако спустя секунд 10, сворачивается диспетчер и дальше грузит систему

CollectionLog-2025.11.22-10.31.zip

Опубликовано

Сделайте дополнительно образ автозапуска с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.


4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Опубликовано (изменено)

Хорошо, все получилось.

Судя по образу,

есть фейковые процессы, т.е. процессы с измененным кодом, + множество нежелательных потоков, внедренных в системные процессы.

 

image.png

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
delfake
icsuspend
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\BL7MIPF48PYI\ZSE1L0GXLGGI.EXE
del %SystemDrive%\PROGRAMDATA\BL7MIPF48PYI\ZSE1L0GXLGGI.EXE
delref WDE:\.EXE
delref %SystemDrive%\USERS\TIKO0\APPDATA\LOCAL
delref %SystemDrive%\PROGRAM FILES
delref %SystemDrive%\PROGRAM FILES (X86)
delref %SystemDrive%\PROGRAMDATA
delref %SystemDrive%\USERS\TIKO0\APPDATA\ROAMING
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemDrive%\USERS\TIKO0
delall %SystemDrive%\USERS\TIKO0\APPDATA\LOCAL\TEMP\GIGABYTEUPDATESERVICE.EXE
apply
REGT 40
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
Опубликовано (изменено)

Судя по логу выполнения скрипта не все получилось зачистить по причине того , что WinDef был отключен,

 

Ошибка удаления исключения WD - ExclusionExtension: .exe [Error: 0x80041001 - ]
Если WD отключен или вы используете сторонний антивирус то удаление исключений доступно лишь при использовании виртуализации реестра.

 

здесь на момент исполнения скрипта штатный антивирус должен быть отключен, а Windef включен

т.е. это нормально:

Цитата

Antivirus: Pro32 Total Security
C:\PROGRAM FILES (X86)\K7 COMPUTING\K7TSECURITY\K7WSCSHL.EXE
Timestamp: Sun, 23 Nov 2025 06:47:58 GMT
State: 42010
Защита: отключена

 

а Windef надо временно ключить, он у вас был отключен

 

Цитата

Antivirus: Windows Defender
C:\PROGRAM FILES\WINDOWS DEFENDER\MSMPENG.EXE
Timestamp: Fri, 21 Nov 2025 18:30:10 GMT
State: 60100
Защита: отключена

 

Но майнер  ZSE1L0GXLGGI.EXE, который так активно нагружал систему должен был быть удален.

--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 4 из 12
Удалено файлов: 2 из 2

---------

Сейчас проверю что осталось по логам FRST.

 

в системе остались поврежденные системные службы, которые надо исправить, и удалить службы созданные зловредом.

 

Скачайте с данной страницы

 

https://download.bleepingcomputer.com/win-services/windows-11-23H2/

следующие твики для исправления поврежденных служб:

BITS;
dosvc;
UsoSvc
WaaSMedicSvc
wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Далее,

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2025-07-06] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2025-11-06] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [143360 2025-11-06] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2025-11-12] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [181120 2025-11-06] (Microsoft Windows -> Корпорация Майкрософт)
2025-11-06 08:22 - 2025-11-23 10:00 - 000000000 ____D C:\ProgramData\bl7mipf48pyi
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Сделайте новые логи FRST для контроля.

Изменено пользователем safety
Опубликовано (изменено)

Хорошо, очистка успешная, в том числе и папки в которой ранее был майнер:

 

Цитата

 

HKLM\SOFTWARE\Policies\Google => успешно удалены
"HKLM\System\CurrentControlSet\Services\BITS_bkp" => успешно удалены
BITS_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\dosvc_bkp => успешно удалены
dosvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\UsoSvc_bkp => успешно удалены
UsoSvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\WaaSMedicSvc_bkp => успешно удалены
WaaSMedicSvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\wuauserv_bkp => успешно удалены
wuauserv_bkp => служба успешно удалены

"C:\ProgramData\bl7mipf48pyi" Папка переместить:

C:\ProgramData\bl7mipf48pyi => успешно перемещены

 

 

Попробуйте еще раз выполнить тот же скрипт в uVS,

но на момент выполнения скрипта защиту K7 надо временно отключить, а защиту Windef временно включить.

После выполнения скрипта и перезагрузки системы, вновь Windef отключить, K7 включить.

Лог выполнения скрипта добавьте в ваше сообщение

+

если очистка пройдет успешно, и не останется вопросов и проблем в работе системы:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено пользователем safety
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • renekka_s
      Автор renekka_s
      Что мы имеем... Стал сильно нагреваться ноут (Ardor neo) у них и так достаточно высокая температура при загрузке, но доходило >100 после замены термопасты и чистки. 
      1. AVZ не открывался до переименования как и Autoruns
      2. Dr.web дважды сканировал и находил троян, удалял - не помогало
      3. Естественно редактор реестра невозможно открыть, через cmd пробовала менять доступ и AVZ, все равно закрывается.



      В логе dr.web была строчка про
      ProgramData\fqupxqtgiuun.exe
      powercfg.exe
      conhost.exe.
      лежит по пути C:\ProgramData\fqupxqtgiuun.exe цифровой подписи нет и тд. через авторан посмотрели что к нему относится служба FMGEEOFG   

      HKLM\System\CurrentControlSet\Services
      Addition.txtShortcut.txt
      wmic process get ProcessId,ExecutablePath | findstr /i "ProgramData" --->
      FMGEEOFG
      ImagePath:
      C:\ProgramData\fqupxqtgiuun.exe

      с командой sc stop FMGEEOFG и sc delete FMGEEOFG успех выдает успех но при обновлении авторана служба снова появляется, хотя fqupxqtgiuun.exe в диспетчере я не увидела.

      Имя_службы: FMGEEOFG
              Тип                  : 10  WIN32_OWN_PROCESS
              Тип_запуска          : 2   AUTO_START
              Управление_ошибками  : 1   NORMAL
              Имя_двоичного_файла  : C:\ProgramData\fqupxqtgiuun.exe
              Группа_запуска       :
              Тег                  : 0
              Выводимое_имя        : FMGEEOFG
              Зависимости          :
              Начальное_имя_службы : LocalSystem

      хз что делать в общем. я не разбираюсь и понять не могу как исправить.
      avz_log.txtFRST.txt
    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
×
×
  • Создать...