Перейти к содержанию
Правила раздела

[РЕШЕНО] Вирус DWM.exe

Ivee

Автор Ivee
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Сделайте новый образ автозапуска с отслеживанием процессов и задач.

(не закрывайте процессы, пока не будет создан образ автозапуска)

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

  • Спасибо (+1) 1
  • 2 недели спустя...
thyrex

thyrex

Опубликовано
Опубликовано

В первую очередь нужно делать логи по правилам, ссылку на которые Вам предоставили во втором сообщении темы.

safety

safety

Опубликовано
Опубликовано (изменено)

Скорее всего этот файл является источником вредоносного кода:

 

image.png

 

По очистке системы

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы 

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delfake
icsuspend
;---------command-block---------
zoo %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
delref %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
del %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
apply
regt 40

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
  • Спасибо (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логу выполнения скрипта вредоносный файл должен быть удален.

 

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

Всего 755227Kb
Архивация...
C:\GPROGRAM\UVS\ZOO_2026-01-14_08-05-18
Операция успешно завершена.

 

Это архив (ZOO_2026-01-14_08-05-18 )загрузите на облачный диск и дайте ссылку на скачивание здесь

Сам файл размером свыше 700Мб, возможно в архиве будет поменьше.

 

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логу FRST очистка зловреда в uVS прошла успешно.

Зачищаем все оставшиеся хвосты:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4832]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
2024-08-29 23:57 C:\Program Files\AVAST Software
2024-08-29 23:57 C:\Program Files\AVG
2024-08-29 23:57 C:\Program Files\Bitdefender Agent
2024-08-29 23:57 C:\Program Files\ByteFence
2024-08-29 23:57 C:\Program Files\Cezurity
2024-08-29 23:57 C:\Program Files\COMODO
2024-08-29 23:57 C:\Program Files\DrWeb
2024-08-29 23:57 C:\Program Files\Enigma Software Group
2024-08-29 23:58 C:\Program Files\EnigmaSoft
2024-08-29 23:57 C:\Program Files\ESET
2024-08-29 23:57 C:\Program Files\HitmanPro
2024-08-29 23:57 C:\Program Files\Loaris Trojan Remover
2024-08-29 23:57 C:\Program Files\Malwarebytes
2024-08-29 23:58 C:\Program Files\NETGATE
2024-08-29 23:58 C:\Program Files\Process Hacker 2
2024-08-29 23:57 C:\Program Files\Process Lasso
2024-08-29 23:58 C:\Program Files\QuickCPU
2024-08-29 23:57 C:\Program Files\Rainmeter
2024-08-29 23:57 C:\Program Files\Ravantivirus
2024-08-29 23:58 C:\Program Files\ReasonLabs
2024-08-29 23:58 C:\Program Files\RogueKiller
2024-08-29 23:57 C:\Program Files\SpyHunter
2024-08-29 23:58 C:\Program Files\SUPERAntiSpyware
2024-08-29 23:58 C:\Program Files\Transmission
2024-08-29 23:57 C:\Program Files (x86)\360
2024-08-29 23:57 C:\Program Files (x86)\AVAST Software
2024-08-29 23:57 C:\Program Files (x86)\AVG
2024-08-29 23:57 C:\Program Files (x86)\Cezurity
2024-08-29 23:58 C:\Program Files (x86)\GPU Temp
2024-08-29 23:57 C:\Program Files (x86)\GRIZZLY Antivirus
2024-08-29 23:57 C:\Program Files (x86)\Microsoft JDX
2024-08-29 23:58 C:\Program Files (x86)\Moo0
2024-08-29 23:57 C:\Program Files (x86)\Panda Security
2024-08-29 23:58 C:\Program Files (x86)\SpeedFan
2024-08-29 23:57 C:\Program Files (x86)\SpyHunter
2024-08-29 23:57 C:\Program Files (x86)\Transmission
2024-08-29 23:58 C:\Program Files (x86)\Wise
2024-09-03 13:24 C:\Program Files\Common Files\AV
2024-08-29 23:57 C:\Program Files\Common Files\Doctor Web
2024-08-29 23:57 C:\Program Files\Common Files\McAfee
2024-08-29 23:57 C:\ProgramData\360safe
2024-08-29 23:57 C:\ProgramData\AVAST Software
2024-08-29 23:57 C:\ProgramData\Avira
2024-08-29 23:57 C:\ProgramData\BookManager
2024-08-29 23:57 C:\ProgramData\Doctor Web
2024-08-29 23:57 C:\ProgramData\ESET
2024-08-29 23:57 C:\ProgramData\Evernote
2024-08-29 23:57 C:\ProgramData\FingerPrint
2024-08-29 23:57 C:\ProgramData\grizzly
2024-08-29 23:57 C:\ProgramData\McAfee
2024-08-29 23:57 C:\ProgramData\Norton
2024-08-29 23:58 C:\ProgramData\princeton-produce
2024-08-29 23:57 C:\ProgramData\PuzzleMedia
2024-08-29 23:57 C:\ProgramData\RobotDemo
2024-08-29 23:57 C:\ProgramData\WavePad
2024-08-29 23:57 C:\Users\Ivee\OneDrive\Рабочий стол\AutoLogger
2024-08-29 23:57 C:\Users\Ivee\OneDrive\Рабочий стол\AV_block_remover
2024-08-29 23:58 C:\Users\Ivee\AppData\Roaming\Sysfiles
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

+

очищаем исключения для вредоносных модулей, добавленные зловредом в Windef

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы 

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
delref %SystemDrive%\PROGRAMDATA
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE
apply

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

safety

safety

Опубликовано
Опубликовано (изменено)

Очистку не получилось выполнить в uVS, так как Windef отключен.

Цитата

Ошибка удаления исключения WD - ExclusionPath: C:\Windows\SysWow64\unsecapp.exe [Error: 0x80041001 - ]
Если WD отключен или вы используете сторонний антивирус то удаление исключений доступно лишь при использовании виртуализации реестра.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
EndPowershell:
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

если очистка пройдет успешно, и не останется вопросов и проблем в работе системы:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
  • Спасибо (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...