Активность

Теперь один лог появился. А вот CZOO так и не сформировался. (Может быть связано, что запускаю start.exe вместо start64.exe. Винда 64-битная). Логи FRST также прилагаю. 2025-09-25_15-00-02_log.txt FRST.txt Addition.txt

Process Hacker скачал/смотрел, но дальше понимания, что второй процесс не из сторонней папки - не ушел. В стандартной автозагрузке диспетчера задач ничего не увидел подозрительного. В Autoruns оно было бы? А есть понимание, откуда и когда я мог это подцепить? И почему стандартный чекап (ни полный, ни оффлайн) не находит эту штуку \DISM64\APPCORE\APPS64.EXE? Судя по другим темам, оно по этому пути не только у меня. SecurityCheck лог прикладываю. SecurityCheck.txt

С расшифровкой файлов не сможем помочь по данному типу шифровальщика. Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Заморозка внедренных потоков в системные процессы, выгрузка всех модифицированных процессов (в вашем случае, как раз один из процессов dwm был мождифицированным), чтобы не влияли на очистку системы + удаления виновника создания модифицированного процесса, %SystemDrive%\USERS\FEDOR\APPDATA\ROAMING\MICROSOFT\DISM64\APPCORE\APPS64.EXE который запускался при загрузке системы через этот ключ: HKEY_USERS\S-1-5-21-3508228404-3671738435-1962663307-1002\Environment\UserInitMprLogonScript ----------- Чтобы самостоятельно решать такие прблемы надо иметь некоторые навыки работы с программами, которые мы используем: avz, uVS, FRST. Или анализировать список процессов через Process Hacker, Process Explorer, список автозапуска через Autoruns Да, файл удален из автозапуска. Завершено процессов: 0 из 0 Изменено/удалено объектов автозапуска 1 из 1 Удалено файлов: 1 из 1 Логи FRST сейчас проверю. да, в логах FRST его уже нет. Если других проблем и вопросов не осталось: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.

Ссылка на ZOO_2025-09-25_14-35-50.7z: https://disk.yandex.ru/d/jvWwj7Jvp9A7vA Логи во вложениях. Вроде второго dwm больше нет в процессах. Глупый вопрос: что было сделано скриптом? И возможно ли самостоятельное удаление таких майнеров? 2025-09-25_14-36-44_log.txt FRST out2.rar

Не совсем понял какой скрипт и куда копируем. После нажатия исправить FRST система перезагрузилась. Банер при входе не появился. Файл fixlog во вложение. Но я так понимаю дешифратора нет? Fixlog.txt

По очистке системы: Если антивирусная программа будет мешать запуску, временно отключите защиту. Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\PROCESS HACKER 2\PROCESSHACKER.EXE icsuspend delfake hide D:\SOFT\CLEAN\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE ;------------------------autoscript--------------------------- zoo %SystemDrive%\USERS\FEDOR\APPDATA\ROAMING\MICROSOFT\DISM64\APPCORE\APPS64.EXE addsgn BA6F9BB21DE14977E1ABAE7664C912052562660B76058FE8CD40019493D96E4C6B942F7F76DE98ACC2FF8458461649FA7D37928FAA2520BC65F4600704093D73 8 DWM 7 chklst delvir apply ; Bonjour exec MsiExec.exe /X{56DDDFB8-7F79-4480-89D5-25E1F52AB28F} /quiet deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GIGABYTE\GBTECSERVICE\OLEDDISPLAYSERVICE.EXE delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\WEB_STORE\WEB STORE delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\NETWORK_SPEECH_SYNTHESIS\MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\USERS\FEDOR\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\139.0.7258.67\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\WEB_STORE\WEB STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\122.0.2365.106\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.86\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref H:\AUTORUNMORROWIND.EXE delref H:\SETUP.EXE delref J:\OINSTALL.EXE ;------------------------------------------------------------- restart czoo После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Добавьте архив CZOO_дата_время.7z из папки, откуда был запущен uVS, Если файл большой, загрузите его на облачный диск и дайте ссылку на скачивание здесь. + добавьте новые логи FRST для контроля

Здравствуйте! Прикладываю.LOCAL-PC2_2025-09-25_14-23-17_v5.0.1v x64.7z

Сейчас же у вас уважаемый Борис есть увлекательная возможность угадать направление первого сегмента моего осеннего путешествия..

Унииверсального решения может не быть. + дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Несколько дней назад начал замечать, что при загрузке W11 через несколько минут после старта начинат сильно крутиться кулер ЦП. Запуск монитора ресурсов, диспетчера задач и т.п. программ сразу снижает нагрузку и температуру ЦП и обороты кулера ЦП. Сделал мониторинг с msert.exe, увидел, что dwm.exe сильно загружает ЦП, пока не запущены монитор ресурсов, диспетчер задач и т.п. На форуме нашел схожие темы, но не нашел какого-то универсального решения. Во вложеиях логи AutoLogger и FRST, т.к. в каждой теме рекомендация собрать логи этой программой. Прошу помочь избавиться от вредоносного процесса. Спасибо. CollectionLog-2025.09.25-14.09.zip FRST out.rar

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticecaption] WARNING WARNING WARNING. HKLM\...\Policies\system: [legalnoticetext] Your Network Infected With BlackHunt Ransomware Team. ALL Your important Files Encrypted and Stolen , 2025-08-31 15:24 - 2025-09-02 09:55 - 000000000 ____D C:\Program Files\Mesh Agent Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Антивирус Касперского предварительно временно отключите. Если архив с uVS сохранился, заново распакуйте архив и запустите start.exe от имени Администратора. (если не сохранился, заново скачайте по ссылке) и еще раз выполните скрипт в uVS. Надо убедиться, что файл был удален. SYSAPP64.EXE

Добрый день. Прошу помощи в расшифровке файлов после атаки шифровальщика BlackHunt 2 Были зашифрованы диски виртуальных машин размещенных на ESXI. Злоумышленникам удалось пробраться во внутрь сети, подобрать пароль root включить ssh и выполнить шифрование. Так же зашифрованы бэкапы veam Во вложение отчет Farbar Recovery Scan Tool с сервера бэкапов и зашифрованные файлы с ReadMe KES установлен уже после зашифровки на сервер Файлов шифровальщика не нашел По рабочим станция был распространен MeshAgent, но KES отработал на него Отчет.rar BlackHunt.rar

мне сказали симки быстро ломаются, если держать смарт на микроволновке, но я не проверял инфу в интернете

не физически понятно. Я в свое время менял симку MTS, поскольку она просто перестала работать. Банковские карточки кстати тоже "ломаются". Тоже менял однажды )

А я снова в дороге.. и что-то мне подсказывает, что это будет весьма интересное путешествие. Ну, во всяком случае, так запланировано. А теперь "внимательно следите за руками" Поехали! (с) 25 сентября 2025. 12:30 московское время - выселаюсь из отеля, едем в аэропорт. До аэропорта в Сочи - вжик и всё. Потом все эти проверки (даже кроссовки заставили снять!) - попытался загрузиться в бизнес-зал, а там мест нет! Ну, ладно, мы не гордые, в кафешке посидим.. Дайте интернету - а хрен там! Мобильный интернет сам по себе не работает, даже подключаясь по сим-карте (у меня в ноуте есть) требует подтверждения по телефону! ОК, для таких случаев у меня есть телефон-дублёр (Хуавей 2019 года выпуска, как новый! - поскольку практически не пользуюсь). А вот номер моего личного телефона стараюсь не палить.. 13:30 - подключился к интернету и вот здесь этот текст.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус, но не отключайте сеть. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-624384763-3209521592-2877319647-1001] => hxxp://127.0.0.1:12334 RemoveProxy: C:\Users\unrav\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1474560 2025-09-11] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [98304 2025-09-11] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [114688 2025-09-11] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [94208 2025-09-11] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [184720 2025-09-11] (Microsoft Windows -> Корпорация Майкрософт) cmd: DISM.exe /Online /Cleanup-image /Restorehealth cmd: sfc /scannow cmd: winmgmt /salvagerepository cmd: winmgmt /verifyrepository cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Скачайте этот архив, извлеките из него файлы и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

Скрипт отработал, но перезагрузку не запустил. Вместо этого Касперский предложил вылечить заражение, я зачем-то согласился и он удалил start.exe. После перезагрузки ошибки больше нет, но нет и описанных логов в папке uVS. Что сейчас лучше сделать? Повторить скрипт с отключенным Касперским? Или просто выгрузить логи FRST?

Addition.txtFRST.txtПрисылаю результат работы FRST64

Здравствуйте! Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Перезагрузите компьютер. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Хорошо, отслеживание включено есть модифицированный процесс: (!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DWM.EXE [5920] скорее всего в цепочке запуска этот файл: C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE HKEY_USERS\S-1-5-21-2165992932-1554351566-2442056022-1001\Environment\UserInitMprLogonScript C:\Users\Administrator\AppData\Roaming\Microsoft\Dism\appcore\sysapp64.exe Скрипт очистки сейчас добавлю. Выполните очистку системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE icsuspend delfake ;------------------------autoscript--------------------------- zoo %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE addsgn BA6F9BB21DE1495712A4AE7664C912052562660B76058FE8CD40019493D96E4C6B942F7F76DE984C32F08458461649FA7D37928FAA2520BC65F4600704093D73 8 DMW 7 chklst delvir apply regt 27 deltmp delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID] delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID] delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID] delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID] delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID] delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI delref {59EFE487-E5B8-4FAE-9D2C-FCDF0B70CE70}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\22.131.0619.0001\I386\FILESYNCSHELL.DLL delref %SystemDrive%\USERS\ADMINISTRATOR\DESKTOP\ОБУЧЕНИЕ\NOTEPAD++\NPPSHELL_06.DLL delref %Sys32%\DRIVERS\VMBUSR.SYS delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID] delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID] delref %Sys32%\DRIVERS\VNVDIMM.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL delref %Sys32%\PWCREATOR.EXE delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2001.10-0\DRIVERS\WDNISDRV.SYS delref %Sys32%\HVSICONTAINERSERVICE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL delref %Sys32%\DRIVERS\INVDIMM.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL delref %Sys32%\DRIVERS\NVDIMMN.SYS delref %Sys32%\DRIVERS\INTCDAUD.SYS delref %Sys32%\DRIVERS\SCMDISK0101.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSO.DLL delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE delref %Sys32%\TASKS\MICROSOFT\WINDOWS\UNP\RUNCAMPAIGNMANAGER delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\138.0.7204.97\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\FEEDBACK\FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\72.0.3626.96\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\CLOUD_PRINT\CLOUD PRINT delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.139\RESOURCES\GAIA_AUTH\GAIAAUTHEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.55\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.37\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.102\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref D:\AUTORUN.EXE delref E:\ENDLESS LEGEND\ENDLESSLEGEND.EXE delref E:\BUKA\MMCOLLECTION\MM_VII\MM7SETUP.EXE delref E:\BUKA\MMCOLLECTION\MM_VII\3DO.URL delref E:\BUKA\MMCOLLECTION\MM_VII\BUKA.URL delref E:\BUKA\MMCOLLECTION\MM_VII\MM7_UNINST.EXE delref E:\DISCIPLES2\LINKS\DISCIPLES 2 WEBSITE.URL delref E:\DISCIPLES2\DISCIPL2.EXE delref E:\DISCIPLES2\SCENEDIT.EXE delref E:\DISCIPLES2\LINKS\SFI WEBSITE.URL delref E:\DISCIPLES2\CONFIGEDITOR.EXE delref E:\DISCIPLES2\LINKS\NIKITA.URL delref E:\DISCIPLES2\LINKS\RUSSOBIT.URL delref %SystemDrive%\USERS\ADMINISTRATOR\DESKTOP\ОБУЧЕНИЕ\SOAPUI-5.7.0\UNINSTALL.EXE delref %SystemDrive%\USERS\ADMINISTRATOR\DESKTOP\ОБУЧЕНИЕ\SOAPUI-5.7.0\BIN\SOAPUI-5.7.0.EXE delref E:\TESO\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE delref E:\DII\DISCIPLES GOLD\EXE\DISCIPLE.EXE delref E:\DII\RISE OF THE ELVES\DISCIPL2.EXE delref E:\DII\GALLEANS RETURN\DISCIPL2.EXE ;------------------------------------------------------------- restart czoo После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Добавьте архив CZOO_дата_время.7z из папки, откуда был запущен uVS, Если файл большой, загрузите его на облачный диск и дайте ссылку на скачивание здесь. + добавьте новые логи FRST для контроля

Здравствуйте! Для начала выполните Порядок оформления запроса о помощи

Вирус в папке ProgramData, создает папку qhpxndiguijf. Началось после того, как хотел полноCollectionLog-2025.09.25-12.14.zipCollectionLog-2025.09.25-12.14.zipстью удалить старый офис на ноутбуке через KMS Auto. Файл логов прикладываю. Помогите, пожалуйста, ноутбук рабочий, не могу полностью сносить виндовс, заранее спасибо

Пока пусть обновит версию систему, затем обновит версию программы, а там глядишь и код активации заменят. То что он хочет, активировать седьмую версию на Виндоус хр , наверно уже не возможно, нужна машина времени