Активность

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Проблема решена, спасибо! Подскажите, пожалуйста, какой ущерб мог нанести этот троян? Следует ли сменить пароли?

спасибо помогли. вроде все работает! Fixlog.txt

Это ошибка именно Firefox-а и ее предлагают лечить переустановкой браузера. С удалением профиля.

Добрый день, @PiGeMa, Нужно больше информации: 1. Какая операционная система установлена? 2. Какой антивирус установлен: название и версия в цифрах. 3. Как давно возникла проблема? 4. Пробовали сменить Безопасный браузер на другой? 5. Какая версия Firefox установлена?

теперь правильно. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\...\RunOnce: [d15c15cf-2e20-4549-a430-d95870dff6a5] => "C:\Users\ysykl\AppData\Local\Temp\{8c391f52-3815-47a6-b7d2-19c4f75f39b8}\d15c15cf-2e20-4549-a430-d95870dff6a5.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ HKU\S-1-5-18\...\Run: [Synapse3] => C:\Program Files (x86)\Razer\Synapse3\WPFUI\Framework\Razer Synapse 3 Host\Razer Synapse 3.exe /StartMinimized (Нет файла) HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ S3 dosvc; C:\Windows\System32\svchost.exe [57528 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S3 dosvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 UsoSvc; C:\Windows\system32\svchost.exe [57528 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-03-28] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ S3 tapnordvpn; \SystemRoot\System32\drivers\tapnordvpn.sys [X] 2025-07-17 12:38 - 2025-07-18 18:47 - 000000000 ____D C:\ProgramData\qhpxndiguijf Folder: C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025 Folder: C:\ProgramData\Auto AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [264] StartPowershell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" EndPowerShell: Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

Правильно? CollectionLog-2025.07.23-16.03.zip

Вы сначала перечитайте и увидите, какой файл от Вас требуется и как его можно получить.

так я и сделал по вашему правилу. что не так не понимаю?!

Выполните написанное в моем предыдущем сообщении, а не делайте то, что Вас не просили. Читайте внимательно написанное по ссылке.

Вот отдельно Logs.rar

Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. Вроде собрал для вас все виды логов. надеюсь все правильно сделал. Logs.rar

@Denys Kordelski, если ваши файлы были (когда-то) зашифрованы Phobos, создайте новую тему в данном разделе по правилам, или откройте тему, которую ранее создали на форуме. Поможем. не пишите в чужой теме Сообщение от модератора thyrex Перенесено из темы

Систему сканировали в KVRT или Cureit? Можете предоставить логи сканирования в архиве, без пароля?

Постарайтесь освободить место на системном диске: Проверьте и сообщите решена ли проблема.

Fixlog.txt

Записка с требованиями.zip Зашифрованный файл.zip Logs.7z

Хорошо, сделаем ещё некоторую очистку. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: C:\Users\79028\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oipemjcgbbbnmaofmbnjboagoimmiakd C:\Users\79028\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhkbfkkohcdgpckffakhbllifkakihmh C:\Users\79028\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnhappcfkaelfabeomjidlcpofkalgjp CHR HKU\S-1-5-21-4086896063-1327252601-3325558292-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gbjeiekahklbgbfccohipinhgaadijad] CHR HKU\S-1-5-21-4086896063-1327252601-3325558292-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] 2025-07-22 22:11 - 2025-07-22 22:11 - 000000599 _____ C:\Users\79028\setup.dat StartPowerShell: Remove-MpPreference -ExclusionExtension "dll" EndPowerShell: FirewallRules: [{30677493-57B1-4794-9393-C782C535A5D3}] => (Allow) C:\Users\79028\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{4A4FB3ED-F233-467C-8C5B-E1CDA00C61C7}] => (Allow) C:\Users\79028\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{7C5012BC-0A4B-4152-96B6-0DB9D3BA9A92}] => (Allow) LPort=3306 FirewallRules: [{EBE6163A-0E4E-4B16-96A6-C4B308E93826}] => (Allow) LPort=33060 startbatch: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*" del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*" endbatch: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Скрипт выполнил, с помощью FRST просканировал, отправляю отчеты.Addition.txtFRST.txt

Здравствуйте. Выполните Правила оформления запроса о помощи Все необходимое прикрепите к следующему сообщению в текущей теме.

Перестал включаться защищенный режим браузера Firefox. Появляется сообщение "couldn't load xpcom".

Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\79028\AppData\Roaming\utorrent\UtorrentWeb.exe', ''); DeleteSchedulerTask('UpdateTorrent'); DeleteFile('C:\Users\79028\AppData\Roaming\utorrent\UtorrentWeb.exe', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Всем привет, намедне поймал шифровальщик X77C, эта скотина успела побить все файлы, до которых дотянулась. В итоге у всех файлов изменились имена tb73.8382_front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4, а оригинал вот tb73.8382_front.psd Плюсом к этому в каждой папке лежал тектовик со следующим описанием Открыл зашифрованный ps1 скрипт и вот что внутри Всё это на виртуалках на удалённом хосте, при этом странно, что сам хост не заразили, а вот виртуалки внутри него - заразили, как это вышло и почему, фиг знает. Поэтому подрубить проверяльщики через внешние USB и прочее не получится, как я понимаю. Буду рад любым советам и любой помощи. Прикладываю зашифрованный файл Front.psd.[ID-BAE12624][recovery-data09@protonmail.com].mz4.zip

При фоновой проверке Kaspersky Internet Security нашел PDM:Trojan.Win32.Generic, после лечения и следующего включения компьютера он восстанавливается. Помогите, пожалуйста, его удалить. CollectionLog-2025.07.23-12.02.zip