Активность

Добрый день. Касперски сам удалил оба вируса при выключение компа в 22-52 и при включение в 7-00. Фото прикрепляю

Порядок оформления запроса о помощи

Добрый день! Заметил в автозагрузках странный процесс CAAServices.exe. Но при удалении он снова восстанавливается. Отключил из автозагрузки, вроде не включается теперь, но всё равно не даёт покоя и хочется избавиться. Подскажите, пожалуйста, как это сделать? Я не особо шарю в этих делах. Смотрел похожие темы, но не особо понял инструкции по устранению вируса. Заранее спасибо. ps/ он автоматически добавляет в исключения в дефендер (последний скрин)

Дочищаем систему: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms} CHR DefaultSearchKeyword: Default -> cdn [2025-06-25] [UpdateUrl:hxxps://clients32.google.com/service/update2/crx] <==== ВНИМАНИЕ C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение + завершающие шаги: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Такой скрипт выполните в uVS Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE deltsk %Sys32%\WINDOWSPOWERSHELL\V1.0\POWERSHELL.EXE delref %SystemDrive%\PROGRAMDATA\WINAIHSERVICE\ deldirex %SystemDrive%\PROGRAMDATA\WINAIHSERVICE restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

С Днём Рождения!

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. lenalena (42)Bloodcoder (41)stan7307 (52)natalek (39)fl3xuz (34)MasterGray (36)superkopilka_vadimzhogot (55)

здравствуйте, файлы прилагаю 2025-07-02_23-03-47_log.txt FRST.txt Addition.txt

Да, проблема майнера не ушла, так же появляется после перезагрузки системы. (Win64/Miner.BitMiner.HgEATpUA) Fixlog.txt

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Да, спасибо вам большое за помощь

Проблема решена?

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

странно конечно, но папка, которые мы не трогали скриптами, не могла сама просто так попасть в папку с карантином Farbar. Ну да ладно, главное, что в итоге убили свежатину.

Fixlog.txt

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ 2025-06-23 18:31 - 2025-06-23 18:31 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll AlternateDataStreams: C:\Users\vavka\Application Data:d0353b486a0f166ba47ab293d0b1004e [394] AlternateDataStreams: C:\Users\vavka\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394] FirewallRules: [TCP Query User{AEA2ED6E-0C04-4C37-BF33-B0EA722DC09E}E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe => Нет файла FirewallRules: [UDP Query User{1A2368DF-C1DA-4A34-9687-6615E56B409B}E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe] => (Allow) E:\steamlibrary\steamapps\common\night club simulator demo\projectvenue\binaries\win64\projectvenue-win64-shipping.exe => Нет файла FirewallRules: [TCP Query User{1BC9A560-2DA4-4B5D-B3DC-DFA4671459B3}E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe] => (Allow) E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe => Нет файла FirewallRules: [UDP Query User{1FD57FA3-C32A-4B72-954A-3F7E6B5BC21E}E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe] => (Allow) E:\steamlibrary\steamapps\common\drunken wrestlers 2\dw2.exe => Нет файла FirewallRules: [{E12DD3DC-93D3-49B9-9F59-459BE8AC7AD9}] => (Allow) E:\SteamLibrary\steamapps\common\MrMine\win-unpacked\Mr.Mine.exe => Нет файла FirewallRules: [{C3D8B5CD-0D3C-4B87-9AA2-CC625AFFC592}] => (Allow) E:\SteamLibrary\steamapps\common\MrMine\win-unpacked\Mr.Mine.exe => Нет файла FirewallRules: [{E12F1671-A1D3-4C3D-B2D3-3AF5969D5FA1}] => (Allow) E:\SteamLibrary\steamapps\common\HITMAN 3\Launcher.exe => Нет файла FirewallRules: [{E537DB22-8FC8-4EDE-B10A-8DCF33EC34F5}] => (Allow) E:\SteamLibrary\steamapps\common\HITMAN 3\Launcher.exe => Нет файла FirewallRules: [{D5B23083-B384-4ECB-B6DE-021BEC405B44}] => (Allow) C:\Users\vavka\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла FirewallRules: [{AC3CDE2F-045D-46EB-8293-A57E3EBE9CE7}] => (Allow) C:\Users\vavka\AppData\Roaming\uTorrent Web\utweb.exe => Нет файла FirewallRules: [{4EE9E400-0EDC-415C-B681-3ED7380A12FE}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла FirewallRules: [{1AE9AB92-7C6A-4771-93FB-C165E82B92E4}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла FirewallRules: [{52782462-CFDB-4D05-ADE7-550D9DB72EED}] => (Block) LPort=445 FirewallRules: [{AA1D54F8-8643-46EE-851B-6228C5ABB180}] => (Block) LPort=445 FirewallRules: [{7C9E2E8B-1EB6-4942-BBD2-74B6F4316ADA}] => (Block) LPort=139 FirewallRules: [{585EEE38-81BA-4195-BA10-0533D23AE63A}] => (Block) LPort=139 FirewallRules: [{52B742F9-BE62-4ABF-BEC1-183644EC40AA}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла FirewallRules: [{8D8F0FEF-B9F5-4D99-97DB-D9C6BBA4FAAE}] => (Allow) LPort=3389 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Спасибо за помощь! Я думаю что словил его при скачивании обходчика Discord (Качал с телеграмм канала), потому что буквально через день мне взломали телегу и дискорд))) От других майнеров не лечился...

Интересно, где так умудрились словить свежайший майнер? И где чуть больше недели назад лечились от другого майнера? По возможности исправьте: Расширенная поддержка закончилась Внимание! Скачать обновления ^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^ CrystalDiskMark 8.0.4c v.8.0.4c Внимание! Скачать обновления Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14334.20090 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления WinRAR 7.00 (64-разрядная) v.7.00.0 Внимание! Скачать обновления Discord v.1.0.9153 Внимание! Скачать обновления Telegram Desktop v.5.15.4 Внимание! Скачать обновления Opera Stable 119.0.5497.141 v.119.0.5497.141 Внимание! Скачать обновления ^Проверьте обновления через меню Обновление и восстановление!^ На этом закончим, но ответы на вопросы хотелось бы увидеть.

Нету

Проверьте, есть ли такой файл на компьютере C:\Program Files\Google2768_1423707271\bin\updater.exe Если есть, проверьте его на virustotal.com и пришлите ссылку на результат анализа.

Desktop.rar

SecurityCheck.txt

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0 O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Пароль на архив установили какой-то другой? Жду лог SecurityCheck.

https://dropmefiles.com/S9y6P