Активность

А как полностью убедиться в отсутствии майнера?

DESKTOP-86LMHDT_2025-09-15_17-56-16_v5.0.1v x64.7z

Reports.7z

Решил проверить компьютер с помощью DR.WEB он нашел 2 угрозы, может кто нибудь посоветовать как исправить это CollectionLog-2025.09.15-16.25.zip

Первый файл был зашифрован в это время: 2025-09-13 09:23 - 2023-06-02 12:24 - 000000740 _____ C:\Users\Developer_vnedrenie\Desktop\1с очистка кеш.bat.[ID-6B92E985].[Telegram ID @kind_ad].LHYMPU Проверьте, пожалуйста, какие исполняемые файлы были созданы в день шифрования до этого времени. 09:23

Хорошо. Сделайте сейчас новую полную проверку антивирусом Касперского и сообщите результат. Сегодня не рекомендуется использование всевозможных чистильщиков/оптимизаторов, в число которых входит и Ccleaner. Собственных средств системы достаточно для корректной очистки от мусорных записей.

Во время исправления внезапно вылезло уведомление, что программа не может работать на моём устройстве. Я скачал новую версию и сделал всё заново. Лог от первого раза не сохранился Fixlog.txt 111.txt

я читал только карточку товара

Для верности сделаем ещё одну проверку с помощью KVRT.

Если лицензия куплена на сайте и это новая лицензия, то ее действие начинается с момента оплаты. При покупке это написано. Если вы оплачиваете продление, то срок сложится.

SecurityCheck.txt

Поясните про лицензию. Купил сейчас Премиум, добавил в кабинет и сразу получил окончательный срок действия, хотя не добавил на устройства. Там лицензия Стандарт ещё 28 дней. Так должно быть?

Систему не сканировали, чтобы не повредить файлы

Угроз не обнаружено как говорит Dr Web Cureit. Значит ли это что всё хорошо? Не спрятался ли где то Tool.btcmine.2714 или Trojan.Siggen31.46344? Я просто в этом всём вообще почти не разбираюсь, особенно касаемо логов и тп в компьютере

Хорошо. Что в итоге с проблемой?

AV_block_remove_2025.09.15-14.21.log

Хорошо. Ещё такую операцию выполните. Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Fixlog.txt

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-1276595641-70118687-608077359-1001\...\MountPoints2: {8255f7e3-9e06-11ec-b22a-18c04def5baa} - "F:\setup.exe" HKU\S-1-5-21-1276595641-70118687-608077359-1001\...\MountPoints2: {d7f67ee2-3bb0-11ef-b676-806e6f6e6963} - "E:\AutoRun.exe" HKU\S-1-5-21-1276595641-70118687-608077359-1001\...\MountPoints2: {ff8f870a-09d5-11ee-b490-ac7deba79d9c} - "E:\AutoRun.exe" GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ C:\Users\Kostya\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\adejhkgdjioiannjgfglljoopbkihfgg C:\Users\Kostya\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Default\Extensions\baeijkncbeakfndflpmoocnlefjefngo C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Default\Extensions\ohainihilgojggphfdfhanacdapeokml C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\hcidjpebmdbielhakekkecimenebhocd C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\amcjpdiefmhplokejfgcincodlbcifhd C:\Users\Kostya\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec CHR HKU\S-1-5-21-1276595641-70118687-608077359-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] 2024-09-22 16:11 - 2024-09-27 20:57 - 000000343 _____ () C:\ProgramData\temp_Delete.bat 2024-09-22 16:11 - 2024-09-27 20:57 - 000000096 _____ () C:\ProgramData\temp_runbat.vbs 2025-07-27 00:22 - 2025-07-27 00:22 - 000000599 _____ () C:\Users\Kostya\setup.dat 2024-05-16 23:51 C:\Program Files\AVAST Software 2024-05-16 23:51 C:\Program Files\AVG 2024-05-16 23:51 C:\Program Files\Bitdefender Agent 2024-05-16 23:51 C:\Program Files\ByteFence 2024-05-16 23:51 C:\Program Files\Cezurity 2024-05-16 23:51 C:\Program Files\COMODO 2024-05-16 23:51 C:\Program Files\DrWeb 2024-05-16 23:51 C:\Program Files\Enigma Software Group 2024-05-16 23:51 C:\Program Files\EnigmaSoft 2024-05-16 23:51 C:\Program Files\ESET 2024-05-16 23:51 C:\Program Files\HitmanPro 2024-05-16 23:51 C:\Program Files\Loaris Trojan Remover 2024-05-16 23:51 C:\Program Files\Malwarebytes 2024-05-16 23:51 C:\Program Files\NETGATE 2024-05-16 23:51 C:\Program Files\Process Hacker 2 2024-05-16 23:51 C:\Program Files\Process Lasso 2024-05-16 23:51 C:\Program Files\QuickCPU 2024-05-16 23:51 C:\Program Files\Rainmeter 2024-05-16 23:51 C:\Program Files\Ravantivirus 2024-05-16 23:51 C:\Program Files\RogueKiller 2024-05-16 23:51 C:\Program Files\SpyHunter 2024-05-16 23:51 C:\Program Files\SUPERAntiSpyware 2024-05-16 23:51 C:\Program Files\Transmission 2024-05-16 23:51 C:\Program Files (x86)\360 2024-05-16 23:51 C:\Program Files (x86)\AVAST Software 2024-05-16 23:51 C:\Program Files (x86)\AVG 2024-05-16 23:51 C:\Program Files (x86)\Cezurity 2024-05-16 23:51 C:\Program Files (x86)\GPU Temp 2024-05-16 23:51 C:\Program Files (x86)\GRIZZLY Antivirus 2024-05-16 23:51 C:\Program Files (x86)\Microsoft JDX 2024-05-16 23:51 C:\Program Files (x86)\Moo0 2024-05-16 23:51 C:\Program Files (x86)\Panda Security 2022-10-21 22:45 C:\Program Files (x86)\SpeedFan 2024-05-16 23:51 C:\Program Files (x86)\SpyHunter 2024-05-16 23:51 C:\Program Files (x86)\Transmission 2024-05-16 23:54 C:\Program Files\Common Files\AV 2024-05-16 23:51 C:\Program Files\Common Files\Doctor Web 2024-05-16 23:51 C:\Program Files\Common Files\McAfee 2024-05-16 23:51 C:\ProgramData\360safe 2024-05-16 23:51 C:\ProgramData\AVAST Software 2024-05-16 23:51 C:\ProgramData\Avira 2024-05-16 23:51 C:\ProgramData\BookManager 2022-09-30 20:33 C:\ProgramData\Doctor Web 2024-05-16 23:51 C:\ProgramData\ESET 2024-05-16 23:51 C:\ProgramData\Evernote 2024-05-16 23:51 C:\ProgramData\FingerPrint 2024-05-16 23:51 C:\ProgramData\grizzly 2024-05-16 23:51 C:\ProgramData\McAfee 2024-03-24 14:44 C:\ProgramData\Norton 2024-05-16 23:51 C:\ProgramData\princeton-produce 2024-05-16 23:51 C:\ProgramData\PuzzleMedia 2024-05-16 23:51 C:\ProgramData\RobotDemo 2024-05-16 23:51 C:\ProgramData\WavePad 2024-05-16 23:51 C:\Users\Kostya\AppData\Roaming\Sysfiles AV: ESET Security (Enabled - Up to date) {DF8BEACB-94C9-218A-73AD-A78362A8C516} AV: Kaspersky (Disabled - Up to date) {4F76F112-43EB-40E8-11D8-F7BD1853EA23} AV: ESET Security (Enabled - Up to date) {26E0861C-6FB9-CEF9-E4F0-531986211ACE} FW: Kaspersky (Disabled) {774D7037-0984-41B0-3A87-5E88E680AD58} FW: ESET Файервол (Enabled) {E7B06BEE-DEA6-20D2-58F2-0EB69C7B826D} FW: ESET Файервол (Enabled) {1EDB0739-25D6-CFA1-CFAF-FA2C78F25DB5} ContextMenuHandlers1: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => -> Нет файла ContextMenuHandlers2: [ESET Security Shell] -> {B089FE88-FB52-11D3-BDF1-0050DA34150D} => C:\Program Files\ESET\ESET Security\shellExt.dll -> Нет файла ContextMenuHandlers2: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => -> Нет файла ContextMenuHandlers4: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => -> Нет файла ContextMenuHandlers6: [Kaspersky Plus 21.17] -> {0F574355-9FBE-40DB-ACB8-81F6612BB909} => -> Нет файла AlternateDataStreams: C:\Users\Kostya:Heroes & Generals [38] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [872] AlternateDataStreams: C:\Users\Kostya\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Kostya\Application Data:NT [40] AlternateDataStreams: C:\Users\Kostya\Application Data:NT2 [872] AlternateDataStreams: C:\Users\Kostya\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394] AlternateDataStreams: C:\Users\Kostya\AppData\Roaming:NT [40] AlternateDataStreams: C:\Users\Kostya\AppData\Roaming:NT2 [872] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [8892] FirewallRules: [{153A70C3-52E5-4171-9E9F-A8230533BBDA}] => (Allow) LPort=2869 FirewallRules: [{0828AB7F-C06F-44E9-82DE-E42D86C2C6CC}] => (Allow) LPort=1900 FirewallRules: [{C632B3C9-DA9F-4F09-8677-76B529AA60FD}] => (Allow) C:\ProgramData\WindowsTask\AppModule.exe => Нет файла FirewallRules: [{5B722CA8-FA5F-4E4B-B61E-3392606C8337}] => (Allow) C:\ProgramData\WindowsTask\AMD.exe => Нет файла FirewallRules: [{99B2626D-F527-4FA1-BEDF-8308C345C341}] => (Block) LPort=445 FirewallRules: [{6A51FC24-3CA7-4CBB-AFD4-EF4B08AB7E7C}] => (Block) LPort=445 FirewallRules: [{07315864-7C53-4D8F-B071-934AA9F12ABE}] => (Block) LPort=139 FirewallRules: [{9251BB14-0ECB-436B-B829-6B027F4273B8}] => (Block) LPort=139 FirewallRules: [{52C8B54A-376D-4030-946A-61F40C8F6003}] => (Allow) LPort=3389 cmd: ipconfig /flushdns EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Видео с официального канала на Rutube: https://rutube.ru/video/0d3e7a3c620f390ce966c33741c09619/?r=wd

Addition.txt FRST.txt

Если систему сканировали KVRT, Cureit или штатным антивирусом, добавьте логи и отчеты по сканированию, в архиве, без пароля.

Спасибо! Снова запускать скрипт не нужно. Утилитой HiJackThis из новой папки Автологера сделайте: "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O26-32 - Office Addin: HKLM\..\ESET.OutlookAddin - (ESET Outlook Add-in) -> (no file) O27 - Account: (Hidden) User 'John' is invisible on logon screen O27 - Account: (RDP Group) User 'John' is a member of Remote desktop group O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0 O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications) O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe Перезагрузите компьютер. Далее: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Скинул лог из новой версии. Нужно ли в новой версии снова запускать скрипт что вы скинули? CollectionLog-2025.09.15-13.02.zip

Друзья! Публикуем верные ответы на вопросы викторины. Поздравляем победителей!