Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Вирус DWM.exe

Ivee

Автор Ivee
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано

Сделайте новый образ автозапуска с отслеживанием процессов и задач.

(не закрывайте процессы, пока не будет создан образ автозапуска)

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

  • Спасибо (+1) 1
  • 2 недели спустя...
thyrex

thyrex

Опубликовано
Опубликовано

В первую очередь нужно делать логи по правилам, ссылку на которые Вам предоставили во втором сообщении темы.

safety

safety

Опубликовано
Опубликовано (изменено)

Скорее всего этот файл является источником вредоносного кода:

 

image.png

 

По очистке системы

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы 

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delfake
icsuspend
;---------command-block---------
zoo %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
delref %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
del %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
apply
regt 40

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
  • Спасибо (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логу выполнения скрипта вредоносный файл должен быть удален.

 

Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

Всего 755227Kb
Архивация...
C:\GPROGRAM\UVS\ZOO_2026-01-14_08-05-18
Операция успешно завершена.

 

Это архив (ZOO_2026-01-14_08-05-18 )загрузите на облачный диск и дайте ссылку на скачивание здесь

Сам файл размером свыше 700Мб, возможно в архиве будет поменьше.

 

+

добавьте новые логи FRST для контроля

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логу FRST очистка зловреда в uVS прошла успешно.

Зачищаем все оставшиеся хвосты:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [4832]
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
2024-08-29 23:57 C:\Program Files\AVAST Software
2024-08-29 23:57 C:\Program Files\AVG
2024-08-29 23:57 C:\Program Files\Bitdefender Agent
2024-08-29 23:57 C:\Program Files\ByteFence
2024-08-29 23:57 C:\Program Files\Cezurity
2024-08-29 23:57 C:\Program Files\COMODO
2024-08-29 23:57 C:\Program Files\DrWeb
2024-08-29 23:57 C:\Program Files\Enigma Software Group
2024-08-29 23:58 C:\Program Files\EnigmaSoft
2024-08-29 23:57 C:\Program Files\ESET
2024-08-29 23:57 C:\Program Files\HitmanPro
2024-08-29 23:57 C:\Program Files\Loaris Trojan Remover
2024-08-29 23:57 C:\Program Files\Malwarebytes
2024-08-29 23:58 C:\Program Files\NETGATE
2024-08-29 23:58 C:\Program Files\Process Hacker 2
2024-08-29 23:57 C:\Program Files\Process Lasso
2024-08-29 23:58 C:\Program Files\QuickCPU
2024-08-29 23:57 C:\Program Files\Rainmeter
2024-08-29 23:57 C:\Program Files\Ravantivirus
2024-08-29 23:58 C:\Program Files\ReasonLabs
2024-08-29 23:58 C:\Program Files\RogueKiller
2024-08-29 23:57 C:\Program Files\SpyHunter
2024-08-29 23:58 C:\Program Files\SUPERAntiSpyware
2024-08-29 23:58 C:\Program Files\Transmission
2024-08-29 23:57 C:\Program Files (x86)\360
2024-08-29 23:57 C:\Program Files (x86)\AVAST Software
2024-08-29 23:57 C:\Program Files (x86)\AVG
2024-08-29 23:57 C:\Program Files (x86)\Cezurity
2024-08-29 23:58 C:\Program Files (x86)\GPU Temp
2024-08-29 23:57 C:\Program Files (x86)\GRIZZLY Antivirus
2024-08-29 23:57 C:\Program Files (x86)\Microsoft JDX
2024-08-29 23:58 C:\Program Files (x86)\Moo0
2024-08-29 23:57 C:\Program Files (x86)\Panda Security
2024-08-29 23:58 C:\Program Files (x86)\SpeedFan
2024-08-29 23:57 C:\Program Files (x86)\SpyHunter
2024-08-29 23:57 C:\Program Files (x86)\Transmission
2024-08-29 23:58 C:\Program Files (x86)\Wise
2024-09-03 13:24 C:\Program Files\Common Files\AV
2024-08-29 23:57 C:\Program Files\Common Files\Doctor Web
2024-08-29 23:57 C:\Program Files\Common Files\McAfee
2024-08-29 23:57 C:\ProgramData\360safe
2024-08-29 23:57 C:\ProgramData\AVAST Software
2024-08-29 23:57 C:\ProgramData\Avira
2024-08-29 23:57 C:\ProgramData\BookManager
2024-08-29 23:57 C:\ProgramData\Doctor Web
2024-08-29 23:57 C:\ProgramData\ESET
2024-08-29 23:57 C:\ProgramData\Evernote
2024-08-29 23:57 C:\ProgramData\FingerPrint
2024-08-29 23:57 C:\ProgramData\grizzly
2024-08-29 23:57 C:\ProgramData\McAfee
2024-08-29 23:57 C:\ProgramData\Norton
2024-08-29 23:58 C:\ProgramData\princeton-produce
2024-08-29 23:57 C:\ProgramData\PuzzleMedia
2024-08-29 23:57 C:\ProgramData\RobotDemo
2024-08-29 23:57 C:\ProgramData\WavePad
2024-08-29 23:57 C:\Users\Ivee\OneDrive\Рабочий стол\AutoLogger
2024-08-29 23:57 C:\Users\Ivee\OneDrive\Рабочий стол\AV_block_remover
2024-08-29 23:58 C:\Users\Ivee\AppData\Roaming\Sysfiles
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

+

очищаем исключения для вредоносных модулей, добавленные зловредом в Windef

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы 

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AMD.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\APPMODULE.EXE
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
delref %SystemDrive%\PROGRAMDATA
delref %SystemDrive%\PROGRAM FILES\RDP WRAPPER
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\UNSECAPP.EXE
apply

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

safety

safety

Опубликовано
Опубликовано (изменено)

Очистку не получилось выполнить в uVS, так как Windef отключен.

Цитата

Ошибка удаления исключения WD - ExclusionPath: C:\Windows\SysWow64\unsecapp.exe [Error: 0x80041001 - ]
Если WD отключен или вы используете сторонний антивирус то удаление исключений доступно лишь при использовании виртуализации реестра.

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
EndPowershell:
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

если очистка пройдет успешно, и не останется вопросов и проблем в работе системы:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
  • Спасибо (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • sxhwre
      Очень сильно просел интернет, маленькая скорость загрузки, предполагаю что у меня вирус
      Автор sxhwre
      CollectionLog-2026.06.06-23.09.zip
      забыл более подробно написать о проблеме, как бы стыдно щас не было но это началось после того как я скачал игру с интернета
    • Zhenya__
      Ноутбук на 10-15 секунд, раз в 3-4 минуты глючит. На постоянной основе немного глючит
      Автор Zhenya__
      WinDef пожаловался на это Trojan:Win32/Malgent!MSR. Я решил обратиться за помощью сюда и узнать как его удалить, нашёл инструкцию по тому как обращаться, скачал программу и проверил ноутбук. Трояна он не нашёл, но нашёл что то другое, и когда я нажал на удалить всё зависло минут на 5 и ноут выключился. После всего этого ноут тупит, прогу не могу найти, а инструкция пропала. Про троян - WinDef его удалял, но он снова появлялся. Каюсь, хотел скачать чит на роблокс, это и есть Xeno(качал с официального сайта)

    • Altair Studio
      Компьютер жестко виснет и пропадает инет, как будто агент ИИ работает
      Автор Altair Studio
      Добрый день.
      Месяца 2 борюсь с явным умышленным проникновением ко мпен в локальную сеть и ПК. То интернет пропадет то какие то непонятные траблы с учетными записями да много всего не упомнишь, операционку менял раза 4 как будто в сам биос перепрошили программу или я не знаю как. 
      CollectionLog-2026.06.03-06.46.zip
    • Golem555
      Компьютер начал сильно загружаться
      Автор Golem555
      Компьютер опять начал сильно загружаться, просматривал на что уходит мощность и афигел
      CollectionLog-2026.06.01-20.25.zip
    • Инс
      Вирус перемещает случайные файлы в TMP, а потом удаляет
      Автор Инс
      Суть:
      - вирусняк переносит случайные файлы, надёрганные отовсюду кластерами, в папку Тmp(папка временных файлов винды из настроек переменных сред), а оттуда уже удаляет через какое-то время(~минута), прям в реалтайме
      - в автозагрузке пусто
      - планировщик заданий чистый(единственно задачи винды не песочил)
      - в системных службах тоже ничего подозрительного
      - диспетчер задач ничего опасного не показывает
      - двеб и касперский ничего не находят, касперский вообще никак не реагирует на то что прям при нём файлы куда-то перемещаются и удаляются
      - вирус запускается сам по себе непонятно от чего, но 100% запуск если включить поиск по диску, например "дата создания ‎25.‎05.‎2026"
      - при этом в первую очередь удаляет игры, папки мод и сохранки (бедный Зомбоид, который я последний раз запускал лет 5 назад, раздербанил почти в 0)
      Что это вообще такое?
       
      Вин7, установлена лет 10 как, всякое было, но чтоб вот так - первый раз. Я подобное видел только на ХП, думал что на Вин7 нельзя просто вот взять и поудалять чё хошь, без желания пользователя.
      Пока что заблокировал удаление тем что убрал запись в папке Tmp, вирус стучится туда(видно про монитору ресурсов диспетчера), но не может удалить файлы.
      Прежде чем заметил не знаю сколько всего удалило вирусом, но точно на моих глазах он удалил на 3гб, прежде чем я окончательно сообразил что происходит, заметил вообще потому что он удалил несколько ярлыков с рабочего стола и я пошёл искать что это такое.
      CollectionLog-2026.05.25-14.44.zip
×
×
  • Создать...