Активность

FRST.7z

Снова здравствуйте, прикрепляю Fixlog.rar

Да наверняка. За приватными переписками — это в Signal хотя бы.

А что в этом месенджере с шифрованием переписки или с доступом к ней третьих лиц? Как я понимаю шифрования нет и наверное не будет и вся переписка будет лежать на сервере с возможностью доступа третьей стороной

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {f64dd82c-c5e1-4ebd-a393-cef2d3817e60} - отсутствует путь к файлу. <==== ВНИМАНИЕ Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe (Нет файла) Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Нет файла) S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-09-17] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-09-17] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [114688 2025-09-17] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-09-17] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184720 2025-09-17] (Microsoft Windows -> Корпорация Майкрософт) 2025-09-27 19:13 - 2025-09-28 22:46 - 000000000 ____D C:\ProgramData\tfkxupgodbpx AlternateDataStreams: C:\ProgramData\unins000.exe:5FA9ECDA59 [3442] AlternateDataStreams: C:\ProgramData\unins000.exe:8A5F68F8C0 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CrystalDiskInfo.lnk:8CA2BE050E [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\µTorrent.lnk:56D8E752B7 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Активация Windows и Office (AAct activation).lnk:74884F31EE [3442] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5240] StartPowershell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\Windows\System32\SppExtComObj.Exe" EndPowerShell: FirewallRules: [{C5C22783-653B-44C4-B03D-69FD91C301F7}] => (Allow) D:\SteamLibrary\steamapps\common\Buckshot Roulette\Buckshot Roulette_windows\Buckshot Roulette.exe => Нет файла FirewallRules: [{261056E1-0614-4BA4-BC30-5B17868B123D}] => (Allow) D:\SteamLibrary\steamapps\common\Buckshot Roulette\Buckshot Roulette_windows\Buckshot Roulette.exe => Нет файла FirewallRules: [{64FFFE46-B23B-4063-B9FA-296061C7F500}] => (Allow) D:\SteamLibrary\steamapps\common\ELDEN RING\AdvGuide\ELDEN RING Adventure Guide.exe => Нет файла FirewallRules: [{A67A6566-492E-4142-B1B8-C0385200DC94}] => (Allow) D:\SteamLibrary\steamapps\common\ELDEN RING\AdvGuide\ELDEN RING Adventure Guide.exe => Нет файла FirewallRules: [{C4AFC11B-6455-4C7A-AA22-8FC408FE7EFD}] => (Allow) D:\SteamLibrary\steamapps\common\ELDEN RING\Game\start_protected_game.exe => Нет файла FirewallRules: [{D29928EC-2333-4DAE-992B-238C38A31CB2}] => (Allow) D:\SteamLibrary\steamapps\common\ELDEN RING\Game\start_protected_game.exe => Нет файла FirewallRules: [UDP Query User{54AFD701-270B-432B-B7B6-433E3C0B53DB}C:\users\egor\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\egor\appdata\local\microsoft\teams\current\teams.exe => Нет файла FirewallRules: [TCP Query User{26CC68FD-05B8-47C1-960A-91C3896C367B}C:\users\egor\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\egor\appdata\local\microsoft\teams\current\teams.exe => Нет файла FirewallRules: [UDP Query User{6FF1CCF9-D38E-4493-BB0B-1A6CE2CFBE4B}D:\steamlibrary\steamapps\common\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) D:\steamlibrary\steamapps\common\baldurs gate 3\bin\bg3_dx11.exe => Нет файла FirewallRules: [TCP Query User{0D95CECE-0B20-4C18-8D5E-FD0DF08BA31E}D:\steamlibrary\steamapps\common\baldurs gate 3\bin\bg3_dx11.exe] => (Allow) D:\steamlibrary\steamapps\common\baldurs gate 3\bin\bg3_dx11.exe => Нет файла FirewallRules: [UDP Query User{87F489C0-2C11-458B-97B4-E14CD737911E}C:\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) C:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла FirewallRules: [TCP Query User{ED0D36BB-019C-4918-8E23-5B2F8611602F}C:\riot games\riot client\riotclientelectron\riot client.exe] => (Allow) C:\riot games\riot client\riotclientelectron\riot client.exe => Нет файла FirewallRules: [{08C6F870-271E-48DA-BE90-566E2559298D}] => (Allow) D:\New Dragon Nest\New Dragon Nest\DragonNest.exe => Нет файла FirewallRules: [{FA3A004E-3620-426A-A2A0-092A6C0DEC2A}] => (Allow) D:\New Dragon Nest\New Dragon Nest\DragonNest.exe => Нет файла FirewallRules: [{B289FE6A-71E0-4B35-82BE-7F55A8FBAD1F}] => (Allow) C:\Users\EGOR\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{CCCB1FBF-85D9-4B8E-BA15-196C8DD62B07}] => (Allow) C:\Users\EGOR\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{F1AD1801-EB69-4B45-838D-384DF32C9D7D}] => (Allow) D:\New Dragon Nest\DragonNest.exe => Нет файла FirewallRules: [{CC05D7AA-3736-4882-89C1-C946BD5A8F91}] => (Allow) D:\New Dragon Nest\DragonNest.exe => Нет файла FirewallRules: [UDP Query User{30F0549D-0D27-4484-A39E-58952067093E}D:\riot games\valorant\live\shootergame\binaries\win64\valorant-win64-shipping.exe] => (Allow) D:\riot games\valorant\live\shootergame\binaries\win64\valorant-win64-shipping.exe => Нет файла FirewallRules: [TCP Query User{5963BD74-A234-4774-A873-583F65A9EEC1}D:\riot games\valorant\live\shootergame\binaries\win64\valorant-win64-shipping.exe] => (Allow) D:\riot games\valorant\live\shootergame\binaries\win64\valorant-win64-shipping.exe => Нет файла FirewallRules: [UDP Query User{5BA2B9AC-00B1-447B-A945-034E7501EAE6}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла FirewallRules: [TCP Query User{9EC3734E-437A-4E61-ACFB-B112D71AEB1D}D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe] => (Allow) D:\steamlibrary\steamapps\common\pubg\tslgame\binaries\win64\tslgame.exe => Нет файла FirewallRules: [{5EFE43B5-589B-47E2-B86A-4D702B586773}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Наверняка Вы запускали что-то, что ее заново устанавливало. Других вариантов быть не может. Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Спасибо организаторам)

Хорошо, тогда закрываю.

Нашел папку, думал там же где и лог создается. Quarantine1.7z

Сообщение от модератора Mark D. Pearlstone Общайтесь с ТП. Тема исчерпала себя уже давно. Закрыто.

Знаете, насколько бы это тривиально не звучало, искать по IP не пробовали. Сейчас проверил, устройство есть, но под другим именем... Видимо вот он, корень всех проблем.... Спасибо Майк!)

Хм. Не знал, что этот движок после переноса в черновики и обратно пересоздаёт ссылку

Техническая возможность есть, но не хватает главное. Приватного ключа, который необходим для расшифровки файлов. + Проверьте ЛС.

Искали по IP адресу устройство?

А схема обновления какая у вас? KSC имеет прямой доступ к серверам обновлений или обновляется через KUU?

Смотрел, там нет

Здравствуйте, посмотрите группу "Нераспределенные устройства" на сервере администрирования.

Файл Fixlog.txt прикрепили. Ссылка на архив Fixlog.txt

CollectionLog-2025.09.29-12.46.zip

Предустановленное ПО не трогайте, остальное чистим: Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению: Сбросить политики IEСбросить политики Chrome Убедитесь, что закрыты все браузеры.В меню Информационная панель нажмите Запустить проверку.По окончании нажмите кнопку Карантин и дождитесь окончания удаления.Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению.(Обратите внимание - C и S - это разные буквы). Внимание: Для успешного удаления возможно понадобится перезагрузка компьютера!!! Подробнее читайте в этом руководстве.

на пк всего одна учетка, больше нету Да, ее нигде не видно. AdwCleaner[S00].txt

Снова здравствуйте, прикрепляю CollectionLog-2025.09.29-15.44.zip

Через Параметры - Приложения как понимаю тоже не видно, так? Вероятно была установлена в другом профиле системы (в этом - pk3). Попробуйте зайти в него и там удалить. Дополнительно: Скачайте AdwCleaner (by Malwarebytes) (или с зеркала) и сохраните его на Рабочем столе.Запустите (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.

Через программу Geek не видно App Explorer. Скрипт выполнил. Через программу Geek не видно App Explorer. Скрипт выполнил. Fixlog.txt Однако, теперь иногда появляется установщик Нортона. Предлагает установить, либо появляется ярлык на рабочем столе папки с нортоном Редирект на ресурс остался