Активность

все сделал, обновил, даже некоторые программы ненужные удалил

Malwarebytes Отчет о проверке 2025-10-10 141711.txt

Исправьте по возможности: Контроль учётных записей пользователя включен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Node.js v.16.16.0 Внимание! Скачать обновления AIDA64 Extreme v7.65 v.7.65 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления 7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 7.11 (64-bit) v.7.11.0 Внимание! Скачать обновления Discord v.1.0.9059 Внимание! Скачать обновления Telegram Desktop v.6.1.3 Внимание! Скачать обновления AdGuardVPN v.2.6.1782.0 Внимание! Скачать обновления Outline 1.10.1 v.1.10.1 Внимание! Скачать обновления µTorrent v.3.6.0.47222 Внимание! Клиент сети P2P с рекламным модулем! Spotify v.1.2.73.474.g7b30bb2b Внимание! Скачать обновления Opera Stable 120.0.5543.93 v.120.0.5543.93 Внимание! Скачать обновления ^Проверьте обновления через меню Обновление и восстановление!^ Google Chrome v.140.0.7339.208 Внимание! Скачать обновления ^Проверьте обновления через меню Справка - О браузере Google Chrome!^ ---------------------------- [ UnwantedApps ] ----------------------------- VideoAdsBlocker v.2.0.0.3661 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!! Последнюю просто удалите, дополнительные сканирования не нужны. Читайте Рекомендации после удаления вредоносного ПО

включил, обновления снова работают))) системе сейчас намного лучше! Спасибо большое за помощь!) SecurityCheck.txt

Залил на облако.

Отлично! В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.

Сайт не открывает. Крутится загрузка и все.

Понятно. Это из-за санкций. Полную офлайн версию установщика можете скачать с нашего "зеркала".

включил, обновления снова работают))) системе сейчас намного лучше! Спасибо большое за помощь!)

Fixlog.txt

Включите защиту от подделки в Защитнике Windows по этой инструкции. В остальном - порядок. Как себя сейчас ведёт система?

AV_block_remove_2025.10.10-13.52.log

Для верности выполните следующее: Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Fixlog.txt

Выполните скрипт, прикрепите отчёт и сообщите какую ошибку выдаёт Malwarebytes при установке. Можно скриншотом.

Cкачивал с офф. сайта. Да. пробовал сам переименовать

Тогда удалите принудительно (через ПКМ) с помощью Geek Uninstaller

нету кнопки удалить у программы pheasant tell в панеле управления

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: C:\Users\ZULU\AppData\Local\Google\Chrome\User Data\Default\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec CHR HKU\S-1-5-21-3510537044-3606839638-589609950-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec] FirewallRules: [{43744BFD-5F89-46A7-A1AC-9AA86CFC9A7F}] => (Allow) LPort=32683 FirewallRules: [{3AC6A388-386D-4815-A56A-075F4FF2700C}] => (Allow) LPort=33683 FirewallRules: [{8849030B-86EF-4CBD-A559-69DCBD409A11}] => (Allow) LPort=26822 EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Откуда скачивали инсталляцию? Переименовывали самостоятельно? -> C:\Users\ZULU\Downloads\grtj.exe

Addition.txtFRST.txt

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: HKLM\...\Run: [AdGuardVpn] => "C:\Program Files\AdGuardVpn\AdGuardVpn.exe" /nosplash (Нет файла) HKLM\...\Run: [Connectify Hotspot] => C:\Program Files (x86)\Connectify\Connectify.exe autorun (Нет файла) HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [MediaGet2] => "C:\Users\admin\MediaGet2\mediaget.exe" --minimized (Нет файла) HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [uFiler] => "C:\Program Files (x86)\uFiler\uFiler.exe" -autorun (Нет файла) HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Voicemod] => "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" (Нет файла) HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [EADM] => "C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALauncher.exe" -silent (Нет файла) HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Arizona Games Launcher] => "C:\Users\admin\AppData\Local\Programs\Arizona Games Launcher\Arizona Games Launcher.exe" (Нет файла) GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {1BE90DFA-8866-4208-8062-7CDEB265CF6F} - \FQNzQgsDZdglobCyiTm2 -> Нет файла <==== ВНИМАНИЕ Task: {333CB496-B8EA-4CFE-A83C-47DED0435D10} - \tmTytgrOditDEYEwM2 -> Нет файла <==== ВНИМАНИЕ Task: {4CDB1812-8368-4EB9-90EA-394FCEE3313C} - \MAnrEVOPXhcbgmY2 -> Нет файла <==== ВНИМАНИЕ Task: {8C1828BF-80BE-4F88-B211-37366A70A804} - System32\Tasks\SoundBot => "C:\Program Files (x86)\WooTechy SoundBot\SoundBot.exe" (Нет файла) Edge DefaultSearchURL: Default -> hxxps://xfinder.pro/q?q={searchTerms} Edge DefaultSearchKeyword: Default -> xfinder.pro Edge DefaultSuggestURL: Default -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms} C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bnpmkmcamoacddcnjkobopobelfpopih C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms} CHR DefaultSearchKeyword: Default -> cdn C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibelonnacmgoaladeghmbimpakocfpdi C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe CHR HKU\S-1-5-21-3664989130-564431745-468995213-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf] YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms} YAN DefaultSearchKeyword: Default -> find-it.pro YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms} C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\gkkmabhigonoldnhaegcehdlolfeldfe C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-08-30] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-08-30] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [114688 2025-08-30] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-08-30] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184720 2025-08-30] (Microsoft Windows -> Корпорация Майкрософт) S3 AtiDCM; \??\C:\Users\admin\AppData\Local\Temp\atdcm64a.sys [X] <==== ВНИМАНИЕ 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\WindowsTask 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Setup 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\ReaItekHD 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\RDP Wrapper 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files\RDP Wrapper 2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files (x86)\360 2025-06-07 09:54 - 2025-07-25 12:45 - 000000599 _____ () C:\Users\admin\setup.dat 2025-08-05 12:03 C:\Program Files\RDP Wrapper 2025-08-05 12:03 C:\Program Files (x86)\360 2025-08-05 12:03 C:\ProgramData\RDP Wrapper 2025-08-05 12:03 C:\ProgramData\ReaItekHD 2025-08-05 12:03 C:\ProgramData\Setup 2025-08-05 12:03 C:\ProgramData\Windows Tasks Service 2025-08-05 12:03 C:\ProgramData\WindowsTask pheasant tell 5.9.98.566 (HKLM-x32\...\{0228f8dc-3cb8-4fba-bc91-f71265d6efef}) (Version: 5.9.98.566 - Coppola SPA SPA) Hidden AlternateDataStreams: C:\ProgramData:1826335c [1198] AlternateDataStreams: C:\ProgramData:DNS [40] AlternateDataStreams: C:\Users\All Users:1826335c [1198] AlternateDataStreams: C:\Users\All Users:DNS [40] AlternateDataStreams: C:\Users\Все пользователи:1826335c [1198] AlternateDataStreams: C:\Users\Все пользователи:DNS [40] AlternateDataStreams: C:\Users\admin\Application Data:1826335c [1198] AlternateDataStreams: C:\Users\admin\Application Data:DNS [40] AlternateDataStreams: C:\Users\admin\AppData\Roaming:1826335c [1198] AlternateDataStreams: C:\Users\admin\AppData\Roaming:DNS [40] AlternateDataStreams: C:\Users\admin\Documents\GTA San Andreas User Files:1826335c [1198] AlternateDataStreams: C:\ProgramData\Application Data:1826335c [1198] AlternateDataStreams: C:\ProgramData\Application Data:DNS [40] AlternateDataStreams: C:\ProgramData\MTA San Andreas All:1826335c [1198] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5356] FirewallRules: [{4C7DAEC7-E05B-4E22-B4FA-6CE6DB2463ED}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла FirewallRules: [{49CD62EF-45EA-41C1-B95A-0B1D0ED7750B}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{9A07DC71-22F0-4CBF-A92E-959865C00CB8}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла FirewallRules: [{0BA9DDD4-28E1-46A5-89DE-CFA92EB4CCC4}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{A4997928-382E-4779-B18E-58753C1DC911}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла FirewallRules: [{3A900BBA-B983-4EBB-92EE-662D35729CC6}] => (Allow) C:\Users\admin\AppData\Local\proxy-sdk\proxy-sdk.exe => Нет файла FirewallRules: [TCP Query User{B6C32156-72CA-4D85-B09B-8AF19E060934}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла FirewallRules: [UDP Query User{D221D020-6EE7-4826-897D-02B44808A647}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. В перечне установленных программ должна появиться скрытая ранее Деинсталлируйте. Скачайте архив с твиками реестра, извлеките их и последовательно запустите каждый, соглашаясь с внесением изменений.

С расшифровкой файлов не сможем помочь без приватного ключа. Как избежать новых ситуаций с шифрованием: Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Addition.txt FRST.txt Shortcut.txt

Здравствуйте! Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', ''); QuarantineFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', ''); DeleteSchedulerTask('kIcTmBftZcXrpb'); DeleteSchedulerTask('UpdateTorrent'); DeleteFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', '64'); DeleteFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', '64'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(22); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

+ проверьте ЛС.