Активность

наберитесь терпения и ждите, помощь оказывается добровольно в свободное от основных занятий время. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/win-10/ reg-файлы для служб BITS, dosvc, UsoSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

По возможности исправьте: Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления 7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ Telegram Desktop v.5.16.3 Внимание! Скачать обновления Java 8 Update 431 v.8.0.4310.10 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u461-windows-i586.exe - Windows Offline)^ Yandex v.25.6.2.425 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Microsoft Edge v.138.0.3351.95 Внимание! Скачать обновления ^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^ На этом закончим.

Что-то ещё нужно или там показывает что всё уже хорошо?

Тогда удалите принудительно с помощью Geek Uninstaller (правой кнопкой на соотв. строке). Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: Task: {B7647322-9A8D-453B-8C10-7384BF5FD2CB} - System32\Tasks\App Explorer => C:\Users\Games\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [9793520 2025-06-30] (SweetLabs Inc -> SweetLabs, Inc) <==== ВНИМАНИЕ File: C:\Users\Games\AppData\Local\PeachPuff_4.pfx Task: {6EDE1B0A-1030-44A9-95C3-6E67FC060E83} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem127.0.2996.86.{3CF5D1C4-BF2D-4B94-AB85-FF164457327C} => C:\Windows\system32\regsvr32.exe [118784 2025-07-09] (Microsoft Windows -> Microsoft Corporation) -> /s /i:googlechromebusiness.msi "\\?\C:\Users\Games\AppData\Local\PeachPuff_4.pfx" <==== ВНИМАНИЕ C:\Users\Games\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\gbfkgpanibikopbemckieakpdlfhihhf C:\Users\Games\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kldpfdjihdmplliinmdphfclpojmkopl C:\Users\Games\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\kodfedgpnejhhhdkaedfkpkenopmbiog C:\Users\Games\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mgibkgnmlgpibeallllpcbodkjjngcpl 2025-07-02 07:54 - 2025-07-17 05:10 - 000000599 _____ () C:\Users\Games\setup.dat 2025-07-17 21:02 - 2025-07-17 21:02 - 006405752 _____ () C:\Users\Games\AppData\Local\PeachPuff_4.pfx FirewallRules: [{AE97745C-609F-4967-BB73-5E177838471B}] => (Allow) C:\Users\Games\AppData\Local\Programs\Opera\opera.exe => Нет файла FirewallRules: [{03D4DD3E-4801-4B29-AE50-970E62F4F7FB}] => (Allow) C:\Users\Games\AppData\Local\proxy-sdk\proxy-sdk.exe => Нет файла FirewallRules: [{7F2B8E19-4136-404F-AC10-3D46B16688AE}] => (Allow) C:\Users\Games\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{0185FAD5-F749-4713-B039-BEBCFAA9AF38}] => (Allow) C:\Users\Games\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{0DE6A82B-5819-4BF6-B86B-66400BF6BA9A}] => (Allow) C:\Users\Games\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{5773C836-2203-41F9-85F5-3AA0C69B9AB3}] => (Allow) C:\Users\Games\MediaGet2\mediaget.exe => Нет файла Zip: c:\FRST\Quarantine\ ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. На рабочем столе появится архив Date_Time.zip (Дата_Время) Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. (Или прикрепите к следующему сообщению, постараюсь быстро убрать). Подробнее читайте в этом руководстве.

SecurityCheck.txt

Appexplorer не удаляется. Не находит uninstall - видимо антивирус его уже испортил. Check_Browser_Lnk.log в папке отсутсвует - есть только Check_Browser_Lnk.log(приложу с ним) Reports.rar ClearLNK-2025.07.31_11.25.26.log Addition.txt FRST.txt

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Да, спасибо большое!

Подскажите. Немогу понять что делаю не так. Хотя все по вашему мануалу Допустим хочу ограничть всю сетевую активность Punto Switcher. Предварительно провожу инвентаризацию, что бы kasper собрал экзешники. Потом я их нахожу и добавляю в нужную группу. Сохраняю, политика распространяется на машину. И ничего не меняется. На скрине слева настройки каспера на машине, справа соответсвенно настройка политики. И второй вопрос. На скрине punto.exe я уже переместил в другую группу почему при поиске он кажет что они в trusted группе? Если запрещать трафик на клиенте в настройках каспера то работает. Но зачем тогда KSC нужен.. KES 12.2.0.462 KSC 14.2.0.26967

Проблема решена?

Fixlog_31-07-2025 10.47.26.txt

Addition & FRST 2.zip

Все делать, как и в прежней инструкции.

За безопасный режим прошу прощения, затупил. В буфер скапировал. Фикс сделал. Фикслог приложил. Сейчас в Фабаре просто нужно нажать Сканировать? Без каких-то дополнительных галочек на Доп.сканировании? Fixlog.txt

Здравствуйте! Деинсталлируйте нежелательное ПО -> App Explorer Антивирус RAV Endpoint Protection устанавливали самостоятельно? Если нет, тоже удалите. После удаления перезагрузите компьютер. Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению. Далее: Файл Check_Browser_Lnk.log из папки перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Итого, жду четыре отчёта: 1. KVRT 2. ClearLNK 3. FRST.txt 4. Addition.txt

Я разве просил собирать эти логи в безопасном режиме? Майнер уже должен быть побежден. Потому все действия выполняем в обычном режиме. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-4085775789-1960969427-1928536659-1002\...\MountPoints2: {9e0a746f-3f45-11ea-a5be-806e6f6e6963} - "E:\setup.exe" Task: {B29AC110-CB5A-4098-8182-AF32514F0044} - System32\Tasks\Opera scheduled Autoupdate 1725858406 => C:\Program Files\Opera\autoupdate\opera_autoupdate.exe --scheduledtask --bypasslauncher $(Arg0) (Нет файла) CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1396224 2023-12-31] (Microsoft Windows -> Microsoft Corporation) S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1567744 2023-12-31] (Microsoft Windows -> Microsoft Corporation) S4 UsoSvc_bkp; C:\Windows\system32\usocore.dll [906752 2023-12-31] (Microsoft Windows -> Microsoft Corporation) S4 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3042816 2023-12-31] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; %systemroot%\system32\WaasMedicSvc.dll [X] Folder: C:\Users\Admin\AppData\Roaming\Microsoft\Network 2025-07-31 09:37 - 2025-07-31 10:00 - 000001182 _____ C:\Users\Admin\Desktop\scr.txt 2025-07-31 08:43 - 2025-07-31 08:43 - 000000050 _____ C:\Users\Admin\Desktop\addd.txt FirewallRules: [{DD7A5A31-9971-41A6-8294-4C7D532DE1E6}] => (Allow) F:\Games\Steame1\steamapps\common\World of Goo\Win64\WorldOfGoo.exe => Нет файла FirewallRules: [{B5F9EBB1-317F-43F1-8DA9-477CE9A54469}] => (Allow) F:\Games\Steame1\steamapps\common\World of Goo\Win64\WorldOfGoo.exe => Нет файла FirewallRules: [{7800B3A5-730B-4C6A-AC22-D95B39E535B2}] => (Allow) C:\Program Files\Opera\opera.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. После этого сделайте новые логи Farbar в обычном режиме.

Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать. CollectionLog-2025.07.31-10.14.zip

Пофиксил. Засканил. Логи прикладываю. Addition & FRST.zip

Сеть подверглась атаке шифровальщика ZEPPELIN. Все файлы зашифрованы, в том числе многие системные (на некоторых компах перестали работать Офисы, слетели профили аккаунтов почтовых программ). Есть ли какие-нибудь инструменты для восстановления.. и надежда? В архиве файл с требованиями и пара зашифрованных файлов. files2.zip

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) O26 - Debugger: HKLM\..\KMmpeg.exe: [Debugger] = 0 (file missing) O26 - Debugger: HKLM\..\KMPlayer.exe: [Debugger] = 0 (file missing) O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Вроде бы всё верно сделал. Карантин был отправлен через форму. Логи через Autologger в приложении, там же скриншот после выполнение скрипта в AVZ. CollectionLog-2025.07.31-09.48.zip

Здравствуйте. Загрузитесь в безопасном режиме. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe',''); SetServiceStart('GoogleUpdateTaskMachineQC', 4); DeleteService('GoogleUpdateTaskMachineQC'); DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Загрузитесь в обычном режиме. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Здравствуйте. Заранее искреннее прошу прощения за возможные затупы, я полнейший ноль в этой теме и с пк в натянутых отношениях, могу везде быть неправ. В течении месяца были небольшие подозрения на майнер, но ничего не находило и через афтербернер вроде скачков прямо необычных нет, как я увидел. Сегодня решил просканировал пк Malwarebytes и нашёл Trojan.Hijacker по c:\ProgramData\Google\Chrome\ - отправлен в карантин. Пошёл смотреть что в этой папке и там exe файл - updater.exe, который явно маскируется под Хром, но на него не возмущалось. Далее просканировал уже KVRT и так же нашёл Trojan.Win64.DllHijack.gen, но на тот updater так же ничего. Закинув этот updater.exe на VirusTotal, понял по неймингу, что похоже это вирус с флибусты о котором писали ЦК F6. Меня очень волнует этот файл, удалять и трогать я его боюсь, вдруг сделаю сложнее всё. Результаты двух сканов и логи AutoLogger сделанные по вашему гайду в прикрепленном приложении. От всего сердца надеюсь на компетентных умных людей, постараюсь содействовать как смогу. С ув. CollectionLog-2025.07.31-09.10.zip

Попробуйте удалить версию 21.21 с помощью утилиты, ссылка на которую дана в Вашей теме в разделе Помощь по персональным продуктам. Также отмените все настройки, сделанные при помощи BoosterX. После чего соберите новые логи Farbar.

https://support.kaspersky.ru/common/uninstall/1464#block1