[РЕШЕНО] Вирус маскирующийся под dwm.exe

[Alex V.]

Здравствуйте!
Недавно обнаружил что в простое на рабочем столе (а после понял что не только) процессор грузится на 25-30 процентов. Видел подобные темы на форуме, но, к сожаления, сам разобраться не в силах даже опираясь на них.
Помогите пожалуйстаCollectionLog-2026.02.02-05.04.zip

[safety]

Добавьте дополнительно образ автозапуска в uVS c отслеживанием процессов и задач.

(не закрывайте процессы, пока не будет создан образ автозапуска)

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[Alex V.]

DESKTOP-G5II97R_2026-02-02_05-40-19_v5.0.3v x64.7z

[safety]

По образу видим:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DWM.EXE [20996]

(!) Процесс нагружает CPU: FAKE:C:\WINDOWS\SYSTEM32\DWM.EXE [20996]

 

Выполните очистку системы

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
delfake
zoo %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
;---------command-block---------
delref %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
del %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
apply
REGT 40
czoo
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте новые логи FRST для контроля

Изменено 2 февраля пользователем safety

[Alex V.]

2026-02-02_15-34-01_log.txtFRST.txtAddition.txt

[safety]

Судя по логу выполнения скрипта очистка должна быть успешной:

 

Цитата

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DWM.EXE [20996]
Процесс успешно завершен C:\WINDOWS\SYSTEM32\DWM.EXE [20996]
Проверено процессов 208, из них завершено 1.
--------------------------------------------------------------------------------------------------
zoo %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
--------------------------------------------------------------------------------------------------
Копирование файла в Zoo: \\?\C:\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
Файл скопирован в ZOO: E:\DOWNLOAD\UVS_LATEST\ZOO\SPUI64.EXE._27075A2235C0DC5716BB39D38B813D81630B77FC
--------------------------------------------------------------------------------------------------
delref %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
del %SystemDrive%\PROGRAMDATA\APPSID64\ASPPID64\SPUI64.EXE
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
apply
--------------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------------
Применение изменений...
--------------------------------------------------------------------------------------------------
Удаление ссылок...
Удаление файлов...
--------------------------------------------------------------------------------------------------
Завершено процессов: 0 из 0
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 1 из 1

Логи FRST сейчас проверю.

Если очистка прошла успешно, и нет вопросов и проблем в работе системы:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

[Alex V.]

Спасибо большое!
В переустановке системы или каких дополнительных действиях (ну кроме описанного) нет необходимости? 

SecurityCheck.txt

[safety]

Нет, не надо переустанавливать систему, по возможности обновите данное ПО:

 

Malwarebytes version 5.4.6.227 v.5.4.6.227 Внимание! Скачать обновления

 

CrystalDiskInfo 9.7.0 v.9.7.0 Внимание! Скачать обновления
Docker Desktop v.4.55.0 Внимание! Скачать обновления

Microsoft Office профессиональный плюс 2021 - ru-ru v.16.0.19628.20150 [+]
Node.js v.24.11.1 Внимание! Скачать обновления

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления

Microsoft OneDrive v.25.243.1211.0001 Внимание! Скачать обновления

PotPlayer-64 bit v.25.09.09.0 Внимание! Скачать обновления

 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner 7 v.7.3.1120.1339 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция

[safety]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".