Поймал вирус

**DemonDogs** · 14.02.2025, 21:49

Всем привет. Столкнулся с проблемой.Сегодня включил компьютер вылазит уведомление о заполнении диска системного.
Прохожу процедуру windirstat и нахожу файл с именем D но без расширения, стараюсь его найти через разные проводники, но без результатов. Прохожу проверку защитником виндовс, тоже ничсего не даёт, процессы смотрел через диспетчер тоже ничего не нашел и файл удалить не могу. Скачал Dr.web, RogueKiller, Malwarebytes, каждый что-то вылечил,но не помогло.
Система стала грузиться дольше, игры стали неиграбельны, доступ к защитнику и еще некоторым дерикториям меня ограничило, причем не сразу

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 14.02.2025, 21:50

Уважаемый(ая) DemonDogs, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 15.02.2025, 09:19

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 QuarantineFile('C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ssfn5878323422411663754', '');
 DeleteFile('C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ssfn5878323422411663754', '64');
 DeleteService('jilefjqu');
 DeleteService('WinSetupMon');
 DeleteSchedulerTask('Opera scheduled Autoupdate 1660515307');
 DeleteSchedulerTask('Восстановление сервиса обновлений Яндекс.Браузера');
 DeleteSchedulerTask('Восстановление сервиса обновлений Яндекс.Браузера.job');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.

В папке с AVZ появится архив карантина quarantine.zip, упакуйте его в архив с паролем, выложите на файлообменник или в облако и дайте ссылку с паролем в личном сообщении.

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CPUID\CPU-Z\Uninstall CPU-Z.lnk"         -> (0 байт)
- "C:\ProgramData\{950365BB-E2C0-4BF0-A8BC-566DB5F170BB}\EGR-ShellExtension_setup.lnk"    -> (заголовок не соответствует типу LNK) Header=0xEFBBBF (3 байт)
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Project Galaxy\Project Galaxy.lnk"        -> ["D:\Games\Project Galaxy\MinecraftLauncher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Удалить FIFA 18.lnk"   -> ["C:\Games\FIFA 18\unins000.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab\Запустить FIFA 18.lnk"           -> ["C:\Games\FIFA 18\FIFA18.exe"]
>>>  "C:\Users\drats\Desktop\FCS.lnk"    -> ["E:\Games\Finnish Cottage Simulator\FCS.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare\Wondershare MobileTransPro Update\Wondershare MobileTransPro Update.lnk"        -> ["D:\Programs\mobile trams\Wondershare\MobileTrans (Russian)\update\Wondershare MobileTransPro Update.exe"]
>>>  "C:\Users\drats\Desktop\RADMIR LAUNCHER.lnk"  -> ["D:\Games\RADMIR LAUNCHER\RADMIR_LAUNCHER.exe"]
>>>  "C:\Users\drats\Desktop\TestMem5.lnk"         -> ["C:\Users\drats\Downloads\testmem5-v0-12\TM5\TM5.exe"]
>>>  "C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk"      -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>>  "C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"         -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"         -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\Users\drats\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk"     -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"         -> ["C:\WINDOWS\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\drats\Desktop\AlanWake2.lnk"        -> ["E:\Games\Alan Wake 2 (2023)\Alan Wake 2\AlanWake2.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Process Hacker 2\Process Hacker 2.lnk"    -> ["C:\Program Files\Process Hacker 2\ProcessHacker.exe"]
>>>  "C:\Users\drats\AppData\Roaming\Microsoft\Windows\SendTo\Fax Recipient.lnk"           -> ["C:\WINDOWS\system32\WFS.exe"  =>> /SendTo]
>>>  "C:\Users\drats\Documents\Euro Truck Simulator 2\readme.rtf.lnk"  -> ["D:\Games\Euro Truck Simulator 2\readme.rtf"]
>>>  "C:\Users\drats\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"           -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "C:\Users\Public\Desktop\TLauncher.lnk"       -> ["C:\Users\Public\AppData\Roaming\.minecraft\TLauncher.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SE7EN\Counter-Strike Source\Counter-Strike Source [7L].lnk"   -> ["D:\Games\Counter-Strike Source\Run_CSS.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SE7EN\Counter-Strike Source\Деинсталлировать %1 Counter-Strike Source.lnk"        -> ["D:\Games\Counter-Strike Source\unins000.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\Narrator.lnk"       -> ["C:\WINDOWS\system32\narrator.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools\Print Management.lnk"          -> ["C:\WINDOWS\system32\printmanagement.msc"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\LiveCaptions.lnk"   -> ["C:\WINDOWS\system32\LiveCaptions.exe"]
>>>  "C:\Users\Default\AppData\Local\Microsoft\Windows\WinX\Group3\09 - Mobility Center.lnk"         -> ["C:\WINDOWS\system32\mblctr.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\VoiceAccess.lnk"    -> ["C:\WINDOWS\system32\voiceaccess.exe"]
>>>  "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessibility\On-Screen Keyboard.lnk"       -> ["C:\WINDOWS\system32\osk.exe"]
>>>  "C:\Users\drats\AppData\Roaming\Microsoft\Windows\SendTo\Получатель факса.lnk"        -> ["C:\WINDOWS\system32\wfs.exe"  =>> /SendTo]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O22 - Tasks_Migrated: \System\SystemCheck - C:\Users\drats\AppData\Roaming\Microsoft\Windows\Helper.exe -SystemCheck (file missing)

Деинсталлируйте RogueKiller.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Поймал вирус (заявка № 228889)

Опции темы