Процесс Wup вешает систему и не открываются страницы в браузере [UDS:DangerousObject.Multi.Generic, HEUR:Trojan.Win32.Agent.gen]

**Kirill_sv** · 19.08.2019, 22:31

Здравствуйте!
Комп стал тормозить при использовании браузера, большая часть страниц не открывается, то, что открывается грузится еле-еле. Обновление антивируса винды не грузится. Обновление винды выдает ошибку.
Непонятные процессы в диспетчере, в том числе wup.exe и cloudnet.exe, который как их не удаляй, в том числе cureit, через какое-то время снова появляются.
Порекомендуйте, пожалуйста, как почистить систему!
Спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 19.08.2019, 22:32

Уважаемый(ая) Kirill_sv, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 19.08.2019, 23:44

Здравствуйте.

Выполните скрипт в AVZ из папки Autologger

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\stepa\appdata\local\temp\csrss\scheduled.exe','');
 QuarantineFile('C:\Program Files (x86)\Adobe\Adobe Creative Cloud Experience\CCXProcess.exe','');
 QuarantineFile('C:\Users\stepa\AppData\Local\App\svchost.exe','');
 TerminateProcessByName('c:\users\stepa\appdata\local\app\svchost.exe');
 QuarantineFile('c:\users\stepa\appdata\local\app\svchost.exe','');
 DeleteFile('c:\users\stepa\appdata\local\app\svchost.exe','32');
 DeleteFile('C:\Users\stepa\AppData\Local\App\svchost.exe','32');
 DeleteFile('C:\Program Files (x86)\Zaxar\ZaxarLoader.exe','32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','ZaxarLoader');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','App');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Web Companion');
 DeleteFile('C:\Users\stepa\AppData\Roaming\g2wzxn0hbpg\chwreyalvze.exe','32');
 DeleteFile('C:\Users\stepa\AppData\Local\Temp\is-CTUPT.tmp\Gaultron.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6467882');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2362819');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','2VG2VYMZEQ9LHEL');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','7916131');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','9872794');
 DeleteFile('C:\Users\stepa\AppData\Roaming\e4t5s4c3h4w\ht5gektm1af.exe','32');
 DeleteFile('C:\Program Files\QZRQ7DFO36\QZRQ7DFO3.exe','32');
 DeleteFile('C:\Users\stepa\AppData\Roaming\0wxhxgn5kzp\3rfh0osjukt.exe','32');
 DeleteFile('C:\Users\stepa\AppData\Local\Temp\is-NPUGV.tmp\Gaultron.exe','32');
 DeleteFile('C:\Program Files\U20MV17GJR\U20MV17GJ.exe','32');
 DeleteFile('C:\Program Files\CA0FFVSCLH\CA0FFVSCL.exe','32');
 DeleteFile('C:\Program Files\XM3DK04594\XM3DK0459.exe','32');
 DeleteFile('C:\Users\stepa\AppData\Roaming\oy2zgpycy4g\b1rpbap32l5.exe','32');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','5591156');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','ETTMFA9XMTE7H8Z');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','RJOGCL3LV9MIQS0');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','4620737');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','6MAUQRV3UDOEDNW');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls','QuickTime');
 DeleteFile('C:\WINDOWS\system32\Tasks\csrss','64');
 DeleteFile('C:\WINDOWS\system32\Tasks\lsa64','64');
 DeleteFile('C:\Users\stepa\AppData\Local\Temp\csrss\lsa64install.exe','32');
 DeleteFile('C:\Windows\rss\csrss.exe','32');
 DeleteFile('C:\Users\stepa\appdata\local\temp\csrss\scheduled.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Обратите внимание: будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

**Kirill_sv** · 20.08.2019, 00:27

Здравствуйте! спасибо, что уделили внимание моему вопросу!
Карантин загрузил по ссылке, лог прикрепляю.
Спасибо!

**thyrex** · 20.08.2019, 01:03

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

**Kirill_sv** · 20.08.2019, 01:31

Запустил, просканировал, архив прикрепляю.
Спасибо.

**thyrex** · 20.08.2019, 06:45

1. Выделите следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Tcpip\..\Interfaces\{c1fb37a4-933f-4822-b5a7-4b4fc52d40d3}: [NameServer] 185.162.128.148,185.4.64.13,95.216.188.196,116.203.6.218
Tcpip\..\Interfaces\{e3194ab7-9db2-4bd4-8506-b1e063f02177}: [NameServer] 185.162.128.148,185.4.64.13,95.216.188.196,116.203.6.218
2019-07-30 14:33 - 2019-07-31 20:10 - 000000004 _____ C:\Users\Все пользователи\lock.dat
2019-07-30 14:33 - 2019-07-31 20:10 - 000000004 _____ C:\ProgramData\lock.dat
2019-07-30 14:33 - 2019-07-31 20:04 - 000000016 _____ C:\Users\Все пользователи\irw.atsd
2019-07-30 14:33 - 2019-07-31 20:04 - 000000016 _____ C:\ProgramData\irw.atsd
2019-07-30 14:33 - 2019-07-30 14:33 - 000000008 _____ C:\Users\Все пользователи\ts.dat
2019-07-30 14:33 - 2019-07-30 14:33 - 000000008 _____ C:\ProgramData\ts.dat
2019-07-30 14:32 - 2019-07-30 14:32 - 000000128 _____ C:\Users\Все пользователи\appdata.dat
2019-07-30 14:32 - 2019-07-30 14:32 - 000000128 _____ C:\ProgramData\appdata.dat
2019-07-30 14:24 - 2019-08-20 00:09 - 000000000 ___HD C:\WINDOWS\rss
2019-07-30 14:24 - 2019-07-30 14:24 - 000000000 ____D C:\Program Files (x86)\Microleaves
2019-07-30 12:32 - 2019-07-30 15:05 - 000000000 ___DC C:\Users\stepa\AppData\Local\cache
2019-07-30 12:13 - 2019-07-30 12:13 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZaxarGameBrowser
2018-11-10 11:28 - 2019-03-18 19:23 - 006387208 ____C () C:\Users\stepa\AppData\Local\dump007.dat
2018-09-09 17:16 - 2018-09-09 17:16 - 000000002 ____C () C:\Users\stepa\AppData\Local\imw.ini
C:\Users\stepa\AppData\Local\Temp\csrss
FirewallRules: [{CA4C130E-25C4-4C8E-9B07-28BFF21D5ED7}] => (Allow) C:\WINDOWS\rss\csrss.exe No File
FirewallRules: [{53384364-34A9-4EF4-B914-298A6F291787}] => (Allow) C:\Users\stepa\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
C:\Users\stepa\AppData\Roaming\EpicNet Inc
FirewallRules: [{F610FA41-72A3-445F-B970-2F0262F6C12D}] => (Allow) C:\Users\stepa\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe No File
FirewallRules: [{D6DE61EF-361E-4304-AC46-1C49717321DD}] => (Allow) C:\WINDOWS\rss\csrss.exe No File
FirewallRules: [{4F1677AB-D68F-4C85-803F-1DF897FEF16F}] => (Allow) C:\Users\stepa\AppData\Local\Temp\csrss\lsa64.exe No File
FirewallRules: [{4F2B7C55-BD37-4719-8A1D-DDF2F6EBB19D}] => (Allow) C:\Users\stepa\AppData\Local\Temp\csrss\lsa64.exe No File
FirewallRules: [{E51968AC-C331-4BFF-8651-6A8D93573203}] => (Allow) C:\Users\stepa\AppData\Local\Temp\csrss\lsa64.exe No File
HKLM\...\StartupApproved\Run32: => "ZaxarLoader"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "ETTMFA9XMTE7H8Z"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "RJOGCL3LV9MIQS0"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "6MAUQRV3UDOEDNW"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "2VG2VYMZEQ9LHEL"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "5591156"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "4620737"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "9872794"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "7916131"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "2362819"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "6467882"
HKU\S-1-5-21-3680412913-3556790768-1635641847-1001\...\StartupApproved\Run: => "CloudNet"
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [478]
AlternateDataStreams: C:\Users\stepa\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\stepa\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

**Kirill_sv** · 20.08.2019, 11:08

Все сделал, лог прикрепляю, спасибо!

**thyrex** · 20.08.2019, 17:47

Проблема решена?

**Kirill_sv** · 20.08.2019, 18:18

На вскидку, вроде бы, процесса в диспетчере задач не видно, антивирус винды обновился на сегодняшнюю дату. Страницы в браузере стали открываться нормально. Единственное, что пока не заработало - это обновление самой винды, выдает ошибку 0х80070424. Не знаю, насколько это со зловредом связано?!
А по логам хвостов не осталось?
Спасибо!

**thyrex** · 20.08.2019, 19:24

Нестандартный ключ реестра для системной службы: wuauserv ImagePath=""

Нужно на системе, аналогичной Вашей, импортировать в отдельный файл ветку реестра

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wuauserv

А потом экспортировать данные из файла в реестр Вашей машины.

**Kirill_sv** · 21.08.2019, 13:56

Ура! Помогло! Обновление заработало! Спасибо большое за помощь!

**CyberHelper** · 21.08.2019, 14:06

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 3
=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
1. c:\users\stepa\appdata\local\app\svchost.exe - HEUR:Troja=
  n.Win32.Agent.gen ( AVAST4: Win32:Trojan-gen )
2. c:\users\stepa\appdata\local\temp\csrss\scheduled. exe - =
  UDS:DangerousObject.Multi.Generic ( BitDefender: Gen:Trojan.Heur.H=
  ype.@xW@ayYwYHfG, AVAST4: Win32:CrypterX-gen [Trj] )

Процесс Wup вешает систему и не открываются страницы в браузере [UDS:DangerousObject.Multi.Generic, HEUR:Trojan.Win32.Agent.gen] (заявка № 223447)

Опции темы