Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Что мы имеем... Стал сильно нагреваться ноут (Ardor neo) у них и так достаточно высокая температура при загрузке, но доходило >100 после замены термопасты и чистки. 
1. AVZ не открывался до переименования как и Autoruns
2. Dr.web дважды сканировал и находил троян, удалял - не помогало
3. Естественно редактор реестра невозможно открыть, через cmd пробовала менять доступ и AVZ, все равно закрывается.

image.thumb.png.bf5e764095ce48ac5ad268896766191f.png

В логе dr.web была строчка про
ProgramData\fqupxqtgiuun.exe
powercfg.exe
conhost.exe.
лежит по пути C:\ProgramData\fqupxqtgiuun.exe цифровой подписи нет и тд. через авторан посмотрели что к нему относится служба FMGEEOFG   image.thumb.png.6ffeeb3c3b72077adb2e72a07989f440.png

HKLM\System\CurrentControlSet\Services
Addition.txtShortcut.txt
wmic process get ProcessId,ExecutablePath | findstr /i "ProgramData" --->
FMGEEOFG
ImagePath:
C:\ProgramData\fqupxqtgiuun.exe

с командой sc stop FMGEEOFG и sc delete FMGEEOFG успех выдает успех но при обновлении авторана служба снова появляется, хотя fqupxqtgiuun.exe в диспетчере я не увидела.

Имя_службы: FMGEEOFG
        Тип                  : 10  WIN32_OWN_PROCESS
        Тип_запуска          : 2   AUTO_START
        Управление_ошибками  : 1   NORMAL
        Имя_двоичного_файла  : C:\ProgramData\fqupxqtgiuun.exe
        Группа_запуска       :
        Тег                  : 0
        Выводимое_имя        : FMGEEOFG
        Зависимости          :
        Начальное_имя_службы : LocalSystem


хз что делать в общем. я не разбираюсь и понять не могу как исправить.
avz_log.txtFRST.txt

Изменено пользователем renekka_s
Опубликовано

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Загрузитесь в безопасном режиме.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 SetServiceStart('FMGEEOFG', 4);
QuarantineFile('C:\ProgramData\fqupxqtgiuun.exe','');
 DeleteFile('C:\ProgramData\fqupxqtgiuun.exe','64');
 DeleteSchedulerTask('Driver Booster SkipUAC (sarac)');
 DeleteSchedulerTask('Driver Booster Update');
 DeleteSchedulerTask('Software Updater Scheduler');
 DeleteSchedulerTask('Software Updater SkipUAC(sarac)');
DeleteService('FMGEEOFG');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в обычном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

  • Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.


4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Опубликовано

Оба файла в папке! Вроде бы больше вируса больше нет.. Не знаю как вас благодарить! Спасибо огромное. Стоит просканировать еще раз Dr.Web?

frst.zip.zip

Опубликовано


Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O26 - Tools: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\ATs\ScreenTint [StartExe] = screentint (file missing)

 

Цитата

IObit Software Updater

Кнопки сервисов Яндекса на панели задач

удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать)

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
ProxyServer: [S-1-5-21-3928841626-3884261897-995023496-1001] => 127.0.0.1:2080
C:\Users\sarac\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ggnchfknjkebijkdlbddehcpgfebapdc
C:\Users\sarac\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hklhmkcccljmfginmcgflajpbhpnjalg
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1486848 2026-07-05] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2026-07-05] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [106496 2026-07-05] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2026-07-05] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [179704 2026-07-05] (Microsoft Windows -> Корпорация Майкрософт)
S3 cpuz154; \??\C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys (Нет файла) <==== ВНИМАНИЕ
2026-07-05 08:05 - 2026-07-05 09:37 - 939336193 _____ () C:\ProgramData\fqupxqtgiuun.exe
C:\Windows\Temp\mmziwvqbgewq.sys
CustomCLSID: HKU\S-1-5-21-3928841626-3884261897-995023496-1001_Classes\CLSID\{D0E646DB-70D6-4D13-BF56-02CA96FACE5C}\InprocServer32 -> LptdS3.dll => Нет файла
ShellIconOverlayIdentifiers: [       tdpico] -> {c88d4dbb-d890-40b6-bcc7-bca43c1eb5ee} => C:\Program Files (x86)\IObit\Advanced SystemCare\ASCSafeFolderShlExt.dll -> Нет файла
ContextMenuHandlers1: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла
ContextMenuHandlers2: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла
ContextMenuHandlers4: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла
ContextMenuHandlers5: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла
ContextMenuHandlers6: [iTop Desktop Manager] -> {609ED1DF-1540-4F2E-BAAC-C2C9CDB64C00} => C:\PROGRA~1\iTop Easy Desktop\IEDMenu.dll -> Нет файла
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionExtension ".sys"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\WINDOWS"
Remove-MpPreference -ExclusionPath "C:\ProgramData\fqupxqtgiuun.exe"
Remove-MpPreference -ExclusionProcess "powershell.exe"
Remove-MpPreference -ExclusionProcess "fqupxqtgiuun.exe"
EndPowerShell:
HKU\S-1-5-21-3928841626-3884261897-995023496-1001\...\StartupApproved\Run: => "utweb"
HKU\S-1-5-21-3928841626-3884261897-995023496-1001\...\StartupApproved\Run: => "Advanced SystemCare"
FirewallRules: [{E979CF9E-E660-4FD4-A2E4-FEC8E9B1864A}] => (Allow) C:\Program Files (x86)\Overwolf\0.300.0.11\OverwolfBrowser.exe => Нет файла
FirewallRules: [{1E6EAAF3-EBBE-4D5F-B054-2AF6AD38013C}] => (Allow) C:\Program Files (x86)\Overwolf\0.300.0.11\OverwolfBrowser.exe => Нет файла
FirewallRules: [{1A40A9C1-CF22-4AD5-A0E4-8DF8DA6DF77D}] => (Block) C:\Program Files (x86)\Overwolf\0.300.0.11\OverwolfBrowser.exe => Нет файла
FirewallRules: [{A86E4D1E-18A5-4128-A7E9-A90D1746CB67}] => (Block) C:\Program Files (x86)\Overwolf\0.300.0.11\OverwolfBrowser.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр, после этого перезагрузите компьютер.

Опубликовано (изменено)

Fixlog.zip
Все без ошибок прошло.

Изменено пользователем renekka_s
Опубликовано

Найдите на диске С папку с карантином FRST, заархивируйте с паролем, выложите на файлообменник и пришлите ссылку на скачивание мне в личные сообщения. Не забудьте при этом указать и пароль.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Опубликовано

SecurityCheck.zip

Driver Booster не удалился?, хотя через панель он написал что удалил, через настройки - программы пишет нет пути к файлу, нашла по расположению и удалила

Опубликовано
12 минут назад, renekka_s сказал:

хотя через панель он написал что удалил, через настройки - программы пишет нет пути к файлу

пробуйте удалить

3 часа назад, thyrex сказал:

принудительно с помощью Geek Uninstaller

 

По возможности исправьте.

 

NVIDIA App 11.0.6.383 v.11.0.6.383 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft OneDrive v.26.106.0603.0003 Внимание! Скачать обновления
7-Zip 25.01 (x64) v.25.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.80 beta 1 (64-bit) v.5.80.1 Внимание! Скачать обновления
Zoom Workplace v.6.6.6 (19875) Внимание! Скачать обновления
Cloudflare WARP v.25.9.558.0 Внимание! Скачать обновления
Opera GX Stable 132.0.5905.110 v.132.0.5905.110 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Google Chrome v.149.0.7827.201 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

 

---------------------------- [ UnwantedApps ] -----------------------------
CCleaner 7 v.7.9.1432.1847 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Discord, версия 2.0 v.2.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция
CCleaner 5.6.24 v.5.6.24 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Driver Booster 13 v.13.4.0 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
 

На этом закончим.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Eureka911
      Автор Eureka911
      Добрый день.
      Сегодня во время еженедельной полной проверки системы Касперским, появилось сообщение об обнаружении трояна MEM:Trojan.Win32.SEPEH.gen.
      Удалить его касперский не смог. 
      Каких то подозрительных процессов я не обнаружил.
      Логи прилагаю.
      Прошу помочь разобраться что это и как убрать. Заранее спасибо.
      Addition.txt FRST.txt
      Касперский 2026.07.05-12.33.txt
    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
×
×
  • Создать...