Активность

мне переделать только где скрипт ? или все с начала ?

FRST.txt Addition.txt

Что сейчас с проблемой?

Хорошо. Удалите старые и соберите новые логи FRST.txt и Addition.txt

извините не заметил cейчас переделаю

Готово CollectionLog-2026.01.06-17.00.zip

это я у себя спросил?

Fixlog.txt

Новая папка.rar

ждем результат.

Не обратил внимание, что логи сделаны безнадежно устаревшей версией Autologger. Откуда ее скачали? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-1591884492-41947376-1000435265-1001\...\MountPoints2: {80a5e6d1-6496-11ec-8315-a81e84b691e6} - "D:\HiSuiteDownLoader.exe" HKU\S-1-5-21-1591884492-41947376-1000435265-1001\...\MountPoints2: {910dcbd0-f4e0-11ec-8323-a81e84b691e6} - "D:\HiSuiteDownLoader.exe" HKU\S-1-5-21-1591884492-41947376-1000435265-1001\...\MountPoints2: {a9ee4f1b-6074-11ec-8315-a81e84b691e6} - "D:\HiSuiteDownLoader.exe" Task: {02F58CA4-1840-4654-8CAE-AF2E3DAC7F36} - System32\Tasks\RtsCM => %windir%\RtsCM64.exe (Нет файла) CHR HKLM-x32\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=02 S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2025-05-14] (Microsoft Windows -> Microsoft Corporation) S3 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1534976 2025-07-14] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [583168 2025-05-14] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [434176 2025-07-14] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3441152 2025-07-14] (Microsoft Windows -> Microsoft Corporation) S3 Bonjour Service; "C:\Program Files (x86)\Bonjour\mDNSResponder.exe" [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] CustomCLSID: HKU\S-1-5-21-1591884492-41947376-1000435265-1001_Classes\CLSID\{DFF20505-B08F-455B-AD70-4FBD055088E0}\localserver32 -> "C:\Program Files (x86)\Google\Chrome\Application\PlatformExperienceHelper\platform_experience_helper.exe" -toastactivated => Нет файла AlternateDataStreams: C:\Windows:CM_be7995bdfc8d8ab791fbfefa187c3875a89ccddaea42f3929155d8af0adee7c6 [26] StartPowershell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\Users\Piven" Remove-MpPreference -ExclusionPath "C:\WINDOWS" Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile" EndPowerShell: FirewallRules: [{76C9173E-81A6-40B2-8E10-28BEB46DADB3}] => (Allow) C:\Users\Piven\AppData\Roaming\Zoom\bin\airhost.exe => Нет файла FirewallRules: [{B98F6232-71E3-49D0-9B50-D777C9CC2F22}] => (Allow) C:\Users\Piven\AppData\Roaming\Zoom\bin\Zoom.exe => Нет файла FirewallRules: [UDP Query User{FE084385-22A5-45A5-96BD-5D00BA8B330F}C:\program files (x86)\java\jre1.8.0_161\bin\javaw.exe] => (Block) C:\program files (x86)\java\jre1.8.0_161\bin\javaw.exe => Нет файла FirewallRules: [TCP Query User{DD93C5F9-1901-4314-9558-9CDE38DABB1D}C:\program files (x86)\java\jre1.8.0_161\bin\javaw.exe] => (Block) C:\program files (x86)\java\jre1.8.0_161\bin\javaw.exe => Нет файла FirewallRules: [{92830786-FE87-42BE-8D7C-4210DEE2520C}] => (Allow) C:\Users\Piven\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [{DB29B433-9208-4052-93BB-4020BEF50103}] => (Allow) C:\Users\Piven\AppData\Roaming\uTorrent\uTorrent.exe => Нет файла FirewallRules: [TCP Query User{A333BFBA-3D28-4063-A5D2-72834A587E6B}C:\program files (x86)\droidcam\droidcamapp.exe] => (Allow) C:\program files (x86)\droidcam\droidcamapp.exe => Нет файла FirewallRules: [UDP Query User{59EAFAE7-D3BE-42B3-9855-567089612E60}C:\program files (x86)\droidcam\droidcamapp.exe] => (Allow) C:\program files (x86)\droidcam\droidcamapp.exe => Нет файла FirewallRules: [TCP Query User{B54123A9-D2F0-4014-8DC4-D65337D05819}C:\program files\dbeaver\dbeaver.exe] => (Allow) C:\program files\dbeaver\dbeaver.exe => Нет файла FirewallRules: [UDP Query User{32A159C9-76CF-4A4A-A6EF-A4F715D42FEA}C:\program files\dbeaver\dbeaver.exe] => (Allow) C:\program files\dbeaver\dbeaver.exe => Нет файла FirewallRules: [TCP Query User{25F7AF06-E712-44EF-A76E-34A37A9DA533}C:\program files (x86)\droidcam\droidcamapp.exe] => (Allow) C:\program files (x86)\droidcam\droidcamapp.exe => Нет файла FirewallRules: [UDP Query User{35154DFC-1E09-4A3F-993C-07F49A545050}C:\program files (x86)\droidcam\droidcamapp.exe] => (Allow) C:\program files (x86)\droidcam\droidcamapp.exe => Нет файла FirewallRules: [{DCDF7E4D-E04D-4540-9F66-8CC1AB7210D1}] => (Allow) C:\Users\Piven\Downloads\4ddig-file-repair.exe => Нет файла FirewallRules: [{3725CD61-FB99-4B29-AB7C-5CBCA2392F76}] => (Allow) C:\Users\Piven\Downloads\4ddig-file-repair.exe => Нет файла FirewallRules: [{C4109EE2-5FE7-46EB-AAF2-FCA8AA13C83B}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\4DDiG File Repair.exe => Нет файла FirewallRules: [{AA6CA0A8-9174-4FFB-91B6-0A49DED97402}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\4DDiG File Repair.exe => Нет файла FirewallRules: [{E513447E-8513-443D-8808-83ECFBE0D1C5}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\NetFrameCheck.exe => Нет файла FirewallRules: [{8A4D9606-840D-427C-9857-034D2568CBDB}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\NetFrameCheck.exe => Нет файла FirewallRules: [{676B2BA7-5BEB-41DD-A1CB-10302DBF6898}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\Monitor\Monitor.exe => Нет файла FirewallRules: [{9C027AAF-8180-4676-B165-A80D66749419}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\Monitor\Monitor.exe => Нет файла FirewallRules: [{8EDCAB73-EBF3-4413-BE3E-752B68CE4B3A}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\VideoRepairService.exe => Нет файла FirewallRules: [{3EE319D1-03A3-4837-B1F3-62C3A1C0E5A1}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\VideoRepairService.exe => Нет файла FirewallRules: [{529CE02B-BD63-4ABB-B539-D15C92910F72}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\PhotosRepairService.exe => Нет файла FirewallRules: [{9924062B-D2EA-4314-A22D-1CBF4715A11F}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\PhotosRepairService.exe => Нет файла FirewallRules: [{32C4A859-BBAA-49CB-A586-E2ABADF6F720}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\AudioRepairService.exe => Нет файла FirewallRules: [{2DCBE5FC-3806-4AD6-BA85-DAD1E08C8FCA}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\AudioRepairService.exe => Нет файла FirewallRules: [{5106BC39-2088-4EA1-9D29-3B7D4984A5EA}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\DocsRepair.exe => Нет файла FirewallRules: [{E1ED9755-F493-44F6-9805-DCE5E0A5F6AD}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\DocsRepair.exe => Нет файла FirewallRules: [{539F37AF-124F-422E-928D-58A45DE55AC2}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\MediaPlayerService.exe => Нет файла FirewallRules: [{3D50B968-8399-47E8-A930-9F46A813FE2E}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\MediaPlayerService.exe => Нет файла FirewallRules: [{8CB3BCEC-F57F-4F48-A3E3-6A6D21B7481C}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\MediaInfoService.exe => Нет файла FirewallRules: [{B7107DF9-0134-4AD5-BB0F-F8FC702A562C}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\MediaInfoService.exe => Нет файла FirewallRules: [{12A5C138-3CC9-4795-9A88-A44EEEEFFC1D}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\PhotoPreviewService.exe => Нет файла FirewallRules: [{5C517A04-67E5-44AB-9754-1AFCB4E15355}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\PhotoPreviewService.exe => Нет файла FirewallRules: [{100E4DB1-24BC-4669-AE39-867C953A5841}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\UpdateService.exe => Нет файла FirewallRules: [{85089AB8-B012-41A9-9983-8D9D2E279B92}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\UpdateService.exe => Нет файла FirewallRules: [{490E64D7-3F4A-4760-A2BC-106F17DAD409}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\TsRepairService.exe => Нет файла FirewallRules: [{D548773C-8882-4CA6-904A-B1F27230994A}] => (Allow) C:\Program Files (x86)\Tenorshare\4DDiG File Repair\TsRepairService.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsdefender <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {05761F97-44FA-4F3D-8357-147E8880F77F} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ Task: {5DEE630F-D50D-45BE-85F2-0CAF62FA7B6A} - \Microsoft\Windows\WindowsBackup\ServiceControl -> Нет файла <==== ВНИМАНИЕ Task: {60B3F1FB-BA7A-47A4-A0E0-1BB7FB8DF837} - \Microsoft\Windows\WindowsBackup\BackUpFiles -> Нет файла <==== ВНИМАНИЕ Task: {9C6D6B91-21B7-46FB-B3BF-1368534020B1} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ C:\Users\Анастасия\AppData\Local\Yandex\YandexBrowser\User Data\Profile 1\Extensions\dibnmhedjcfpfdncohhommdoohkafnpd 2026-01-05 12:39 - 2026-01-05 12:39 - 000000000 ___SH C:\ProgramData\tg.txt 2026-01-05 12:39 - 2026-01-05 12:39 - 000000000 ___SH C:\ProgramData\temp.txt 2026-01-05 12:35 - 2026-01-05 12:35 - 000000970 _____ C:\Users\Анастасия\setup.dat 2026-01-05 12:35 - 2026-01-05 12:35 - 000000000 ____D C:\Users\Анастасия\AppData\Local\utorrentclient-updater 2026-01-04 19:27 - 2026-01-06 11:31 - 000000000 ____D C:\ProgramData\Avira AlternateDataStreams: C:\desktop.ini:CachedTiles [3356] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10288] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Имя карантин-а(ов) сообщите в теме: 2026.01.06_quarantine_6d7486f31489909420c6e1d399fa4efd.7z CollectionLog-2026.01.06-16.48.zip

Отправил по форме

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\u638413.dll',''); DeleteFile('C:\Windows\System32\u638413.dll','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\u638413\Parameters','ServiceDll','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Admin','x32'); DeleteFile('C:\ProgramData\previously-plenty\bin.exe','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Admin','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(9); RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end. Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

FRST.txt Addition.txt

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\ProgramData\txqvlpwvnilf\lssvswhparvn.exe', ''); DeleteSchedulerTask('dialersvc64'); DeleteFile('C:\ProgramData\txqvlpwvnilf\lssvswhparvn.exe', '64'); DeleteService('IRWHCDSS'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Добрый день! Спасибо за ответ. CollectionLog-2026.01.06-16.21.zip

Помогите, пожалуйста, удалить вирус Tool.BtcMine2823. После удаления снова появляется после включения ноутбука. CollectionLog-2026.01.06-16.16.zip

Здравствуйте. Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».

Хорошо, продолжаем. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O4 - MountPoints2: HKCU\..\{71fa0ce7-4bc4-11ee-8002-14133335adc2}\shell\AutoRun\command: (default) = D:\autorun.exe (file missing) O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiSpyware] = 1 O7 - Policy: HKLM\Software\Microsoft\Windows Defender: [DisableAntiVirus] = 1 O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Features: [TamperProtection] = (missing) O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1 O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B7019EBD-4A48-4214-BA41-FADF9CA57849} - \Microsoft\Windows\Wininet\winser (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF9774AC-3650-4CE2-BAB9-8363462FB52A} - \Microsoft\Windows\Wininet\winsers (no xml) O22 - Tasks: \Microsoft\Windows\RecoveryManagerS\RecoveryHosts - C:\ProgramData\Microsoft\DRM\hFhklHMCsa\RecoveryManagerS.bat (file missing) O22 - Tasks: UpdateTorrent - C:\Users\Анастасия\AppData\Roaming\utorrent\pro\uTorrentClient.exe /T (file missing) O27 - Account: (Hidden) User 'John' is invisible on logon screen Перезагрузите компьютер. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

AV_block_remove_2026.01.06-17.50.log CollectionLog-2026.01.06-17.58.zip

Здравствуйте! Помогите, пожалуйста, удалить вирус Tool.BtcMine2823. После удаления снова появляется после включения ноутбука.cureit.zip

Здравствуйте! Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). Можно также запустить в безопасном режиме с поддержкой сети (5 или F5). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. После перезагрузки системы соберите новый CollectionLog Автологером в нормальном режиме загрузки.