Помогите удалить вирус на ПК

**erik51711** · 25.03.2025, 08:03

Здравствуйте, что то ПК стал немного шуметь, больше нагружаться, и сильно зависать. Раньше такого не было, не понятно из за чего так резко, и интернет стал слабым, начал обрываться, не понятно пока это из за моего провайдера или вируса . Кажется есть майнер, или еще какой то другой вирус. Посмотрите пожалуйста, заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 25.03.2025, 08:04

Уважаемый(ая) erik51711, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 25.03.2025, 10:32

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 DeleteFile('C:\Program Files\Google\Chrome\updater.exe', '64');
 DeleteFile('C:\Program Files\google\chrome\updater.exe', '');
 DeleteSchedulerTask('GoogleUpdateTaskMachineQC');
 RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^user^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OrbitumUpdate.lnk','x64');
 ExecuteRepair(13);
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**erik51711** · 25.03.2025, 11:23

Выполнил скрипт, компьютер выключился, и когда автоматический пытался перезагрузится, экран стал черным, так и стоял. После чего я вручную перезагрузил комп.

**Vvvyg** · 25.03.2025, 14:44

Выполните следующее в безопасном режиме системы, майнер сильно сопротивляется удалению, оттого и повисла система на скрипте.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CloseProcesses:
Task: {1A295609-649A-44FE-BCE0-EFF4ECC1461F} - \{3A271DA1-9B5F-1428-C866-9DD9E29E732A} -> Нет файла <==== ВНИМАНИЕ
Task: {51EF7C96-7193-45BD-A6FA-4755839FE64B} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Нет файла <==== ВНИМАНИЕ
Task: {6ED326FC-17A2-4090-82E3-C26585B0524C} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Нет файла <==== ВНИМАНИЕ
Task: {E0477401-F12E-45B2-95BC-910B726F24F3} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Нет файла <==== ВНИМАНИЕ
Task: {F9BEECC4-3427-4673-9B49-E339FF8741E2} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Нет файла <==== ВНИМАНИЕ
Task: {8143E829-45B0-4173-916C-2A85AA415A5C} - System32\Tasks\GoogleUpdateTaskMachineQC => C:\Program Files\Google\Chrome\updater.exe [10745360 2025-03-25] () [Файл не подписан] <==== ВНИМАНИЕ
C:\Program Files\Google\Chrome\updater.exe
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CustomCLSID: HKU\S-1-5-21-3050991391-744034339-4066881228-1000_Classes\CLSID\{28A80003-18FD-411D-B0A3-3C81F618E22B}\InprocServer32 -> C:\Users\user\AppData\Local\Kingsoft\WPS Office\12.2.0.18283\office6\kwpsmenushellext64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3050991391-744034339-4066881228-1000_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3050991391-744034339-4066881228-1000_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\OneDrive\18.151.0729.0013\amd64\FileSyncShell64.dll => Нет файла
ContextMenuHandlers1_S-1-5-21-3050991391-744034339-4066881228-1000: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\user\AppData\Local\Kingsoft\WPS Office\12.2.0.18283\office6\kwpsmenushellext64.dll -> Нет файла
ContextMenuHandlers4_S-1-5-21-3050991391-744034339-4066881228-1000: [          kwpsshellext] -> {28A80003-18FD-411D-B0A3-3C81F618E22B} => C:\Users\user\AppData\Local\Kingsoft\WPS Office\12.2.0.18283\office6\kwpsmenushellext64.dll -> Нет файла
Hosts:
FirewallRules: [{4E3993B8-39E9-4489-9D91-071EAF914EBA}] => (Allow) C:\Users\user\AppData\Local\Orbitum\Application\orbitum.exe => Нет файла
FirewallRules: [TCP Query User{B673C9FA-51BB-44C6-964B-AD828193E050}C:\users\user\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Allow) C:\users\user\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe => Нет файла
FirewallRules: [UDP Query User{EA905B43-2B8D-44D9-986A-0A41EC6DE31F}C:\users\user\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe] => (Allow) C:\users\user\appdata\local\orbitum\application\orbitumupdater\orbitumupdater.exe => Нет файла
FirewallRules: [TCP Query User{34791E4E-5A24-44CA-907E-AA0B50BBF2B2}F:\games\tom clancys ghost recon\grw.exe] => (Allow) F:\games\tom clancys ghost recon\grw.exe => Нет файла
FirewallRules: [UDP Query User{F065F299-E110-4C59-AA60-8341EE105911}F:\games\tom clancys ghost recon\grw.exe] => (Allow) F:\games\tom clancys ghost recon\grw.exe => Нет файла
FirewallRules: [TCP Query User{CA5C140F-3A07-4A14-AB21-FE4EA3C72CAD}F:\games\call of duty modern warfare remastered\h1_sp64_ship.exe] => (Allow) F:\games\call of duty modern warfare remastered\h1_sp64_ship.exe => Нет файла
FirewallRules: [UDP Query User{EBD903B3-52B8-460F-B9C9-3D9E0397B7FB}F:\games\call of duty modern warfare remastered\h1_sp64_ship.exe] => (Allow) F:\games\call of duty modern warfare remastered\h1_sp64_ship.exe => Нет файла
FirewallRules: [TCP Query User{87D3F8A2-BDD5-4813-A856-F5F89C04F8C2}F:\games\call of duty infinite warfare\iw7_ship.exe] => (Allow) F:\games\call of duty infinite warfare\iw7_ship.exe => Нет файла
FirewallRules: [UDP Query User{EFD6871D-014D-4A0A-A429-25461ED29C7B}F:\games\call of duty infinite warfare\iw7_ship.exe] => (Allow) F:\games\call of duty infinite warfare\iw7_ship.exe => Нет файла
FirewallRules: [TCP Query User{444477CB-D975-4D5B-92FB-0C3B8014C2D2}F:\games\rise of the tomb raider\rottr.exe] => (Allow) F:\games\rise of the tomb raider\rottr.exe => Нет файла
FirewallRules: [UDP Query User{2C902D8F-97EB-40DA-A035-3E8DC65CF043}F:\games\rise of the tomb raider\rottr.exe] => (Allow) F:\games\rise of the tomb raider\rottr.exe => Нет файла
File: C:\users\user\appdata\local\orbitum\application\chrome.exe
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

Защитник системный сами себе отключили?

**erik51711** · 25.03.2025, 15:02

Сообщение от Vvvyg

Защитник системный сами себе отключили?

Да, нужно было для чего то отключит, так и забыл. Его лучше опять включить?
Файл прикрепил.

**Vvvyg** · 25.03.2025, 15:46

Лучше включить, вполне возможно, Защитник предотвратил бы это заражение.

Проблема должна уйти.

Папку C:\FRST\Quarantine упакуйте с максимальным сжатием в непрерывный архив с паролем.
Вложение 690344
Результат выложите в облако или на файлообменник и дайте ссылку и пароль в личном сообщении.

Деинсталлируйте устаревший и неиспользуемый Adobe Flash Player 32 NPAPI, снят с поддержки вендором.

Обязательно обновите эти программы до актуальных версий, все они с серьёзными уязвимостями:

7-Zip 22.01 (x64 edition) Обнаружена уязвимость в 7-Zip, которую могут использовать в атаках на пользователей архиватора.
Adobe Acrobat Reader DC
Java 8 Update 231 (64-bit)
WinRAR 4.01 (64-разрядная), WinRAR 6.02 (32-bit) - удалите обе, установите свежую x64 - Российские хакеры используют недавнюю уязвимость в WinRAR.
Orbitum на основе устаревшей версии Chromium точно нужен? Тоже дырявый.

И Clover V3.5 определяется многими антивирусами как adware.

**erik51711** · 25.03.2025, 18:27

Карантин отправил в личку, что делать дальше?

**Vvvyg** · 25.03.2025, 19:17

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

На этом всё.

**erik51711** · 25.03.2025, 20:05

Нажимаю перезагрузить, экран выключается и стоит черный экран, компьютер не перезагружается, до этого вируса такого не было. Приходится вручную перезагружать. Из за чего это может быть?

**Vvvyg** · 25.03.2025, 20:40

Видимо при зависании в момент лечения что-то произошло.

Откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".

Введите sfc /scannow и нажмите Enter.
Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.
Покажите результат.

**erik51711** · 26.03.2025, 11:20

Сделал, результат отправил вам в личку. Проблема вроде исчезла, несколько раз перезагрузил, вроде все ок. Что делать дальше?

**Vvvyg** · 26.03.2025, 21:06

Тогда закончим на этом.

**erik51711** · 27.03.2025, 07:22

Сообщение от Vvvyg

Тогда закончим на этом.

Благодарю, огромное вам спасибо.

Помогите удалить вирус на ПК (заявка № 228966)

Опции темы