Активность

По возможности исправьте: Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ NVIDIA GeForce Experience 3.28.0.417 v.3.28.0.417 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Приложение NVIDIA. Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления 7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления ^Удалите старую версию, скачайте и установите новую.^ WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления Discord v.1.0.9162 Внимание! Скачать обновления Telegram Desktop v.5.16.4 Внимание! Скачать обновления Proton VPN v.4.1.10 Внимание! Скачать обновления OpenVPN 2.6.8-I001 amd64 v.2.6.801 Внимание! Скачать обновления Microsoft Edge v.138.0.3351.95 Внимание! Скачать обновления ^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^ ---------------------------- [ UnwantedApps ] ----------------------------- Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. На этом закончим.

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe',''); QuarantineFile('C:\Users\Sasha\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe',''); TerminateProcessByName('c:\users\sasha\appdata\local\microsoft\edge\system\updater.exe'); QuarantineFile('c:\users\sasha\appdata\local\microsoft\edge\system\updater.exe',''); TerminateProcessByName('c:\users\sasha\appdata\local\microsoft\edge\system\update.exe'); QuarantineFile('c:\users\sasha\appdata\local\microsoft\edge\system\update.exe',''); TerminateProcessByName('c:\users\sasha\appdata\roaming\driversupdate\runtimebroker.exe'); QuarantineFile('c:\users\sasha\appdata\roaming\driversupdate\runtimebroker.exe',''); DeleteFile('c:\users\sasha\appdata\roaming\driversupdate\runtimebroker.exe','32'); DeleteFile('c:\users\sasha\appdata\local\microsoft\edge\system\update.exe','32'); DeleteFile('c:\users\sasha\appdata\local\microsoft\edge\system\updater.exe','32'); DeleteSchedulerTask('Microsoft\Windows\applicationdata\CleanupTemporaryStaticFiles'); DeleteSchedulerTask('Microsoft\Windows\MUI\FPRemove'); DeleteFile('C:\Users\Sasha\AppData\Roaming\Microsoft\Crypto\CRC\Runtime.exe','64'); DeleteSchedulerTask('Microsoft\Windows\MUI\RPRemove'); DeleteSchedulerTask('Microsoft\Windows\Shell\FamilySafetyRefreshingTask'); DeleteFile('C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe','64'); DeleteSchedulerTask('Microsoft\Windows\USB\Usb-Notification'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям. находит он по путям: C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe CollectionLog-2025.07.27-13.21.zip

С Днём Рождения!

Нам была бы интересна дата шифрования. Да, room155 нам хорошо известен. Если вы обратили внимание, в статье от специалистов F6 в том числе есть ссылки на материал нашего форума. Декриптор с Nomoreransom вам (и нам) не поможет, так как room155 использует LockbitV3Black, созданный на базе утекшего билдера Lockbit v3, и ключи, которые используются этой группой, никак не попадают на сервера оф. группы Lockbit, т.е. многие, кто использует билдер, в том числе и room155, работают автономно, и не зависят от оф. группы Lockbit. Единственный шанс - атаковать сервера room155, чтобы был шанс получить хранимые ими приватные ключи.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Avatar-Lion (38)Nastya Frank (27)astusha8 --

Ладно, спасибо. Это не паранойя, просто предостережение SecurityCheck.txt

Тогда удалите через Установку программ. Остальное зачистим вручную. Если вдруг окажется нужным, установите заново. Свободного места совсем не осталось. После выполнения скрипта удалите папку FRST в корне системного диска. А дальше сами ищите, что съедает место. Не так давно удалял на работе Google Chrome и разом освободилось около гигабайта места. Сам был в шоке. Вообще для Windows 10 диск объемом 70 гигабайт маловат. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: Task: {32967C7B-08E2-47A6-AB54-A7796D107D6D} - System32\Tasks\Avast Software\Overseer => C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe [2564904 2024-11-19] (Avast Software s.r.o. -> Gen Digital Inc.) C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\syzae8da.default-release\Extensions\acewebextension_unlisted@acestream.org.xpi C:\Users\user\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi FF HKU\S-1-5-21-1620678558-2258639916-848331216-1002\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\user\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo AV: Avast Antivirus (Enabled - Up to date) {EB19B86E-3998-C706-90EF-92B41EB091AF} AV: 360 Total Security (Enabled - Up to date) {FFDC234A-CE9B-08F9-406B-F876951CE066} HKU\S-1-5-21-1620678558-2258639916-848331216-1002\...\StartupApproved\Run: => "uTorrentPro" Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.

С Днём Рождения!

Не помню. Сомневаюсь. FRST+Addition.7z

Удалите старые логи FRST.txt и Addition.txt, затем сделайте новые по той же инструкции. Ace Stream Media 3.1.32 сами устанавливали?

Спасибо! Прикрепляю файл. Fixlog.txt

тогда с этим разберемся вторым заходом Продолжение инструкции написано под скриптом

Не понял, что значит эта фраза. У меня нет ни одного антивируса. В какой буфер обмена? В "AutoLogger"?

из двух антивирусов оставьте только один во избежание конфликтов. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: HKU\S-1-5-21-1620678558-2258639916-848331216-1002\...\Run: [electron.app.MTS Link] => C:\Users\user\AppData\Local\Programs\@wbnrwebinar-electron\MTS Link.exe --hidden (Нет файла) HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {319BF10E-105D-419C-9B99-441932DAFD2B} - System32\Tasks\Avast Emergency Update => C:\Program Files\Avast Software\Avast\AvEmUpdate.exe (Нет файла) Task: {6B3D00D1-7C06-4D64-A818-9143E5F6577C} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.9.1.1095\service_update.exe --repair (Нет файла) C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bcipdipcaokfddddbnodminkeapkhfej C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\jfjnlmgomgichmpcheepagecapohgljg C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oheapobgkdokkjkcinmokkokplnfllih C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\bbfdbhldligpbiemcjflmmfnlelgmnbh C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\dkbopgpkphnpbalnfnbmmaaclkjaohlo C:\Users\user\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\meocogcmdidmjfmdpjgecmeiombmjnaf C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\syzae8da.default-release\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bhlndgeopieobppgnlomnoipgckacocm C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\eefpfcmbikalkacbjaphfebbljnebcgk C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\hknedgaaoacninfkakmnlnmndggndgdd C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\lhcncokkifjmdfkknbmpedbpdjfmdaeb C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\pklfagacedohkbnbobfaiagkgdcghnpc CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\inonklleoibglnknjchgmokhojadgpei C:\Users\user\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\moajlgddknkmmkjmpdcidagegpmbeajc 2025-07-26 20:29 - 2024-05-01 14:45 - 000000000 ____D C:\Users\user\AppData\Roaming\uTorrentPro 2025-07-26 20:29 - 2024-05-01 14:45 - 000000000 ____D C:\Program Files\uTorrentPro 2025-07-26 19:39 - 2024-10-19 11:55 - 000020707 _____ C:\Users\user\ex-list2.json 2025-07-24 14:30 - 2025-03-21 21:58 - 000000411 _____ C:\Users\user\bs-list.json 2025-07-23 20:00 - 2024-08-16 22:37 - 000000599 _____ C:\Users\user\uTorrentPro.dat CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{1108FD1C-492F-4251-B9DB-77F0274267B2}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.187.37\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{2ABD6384-2E18-40E8-8439-F06D21E0B03D}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{2FDB3305-19B8-4FE2-972B-ED5E97CBBD6E}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.39\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{41B09861-5409-4D44-8CA4-D49FBFAA2E6F}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.49\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{4FFB4BD8-A109-4F25-A4DB-313678B19417}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.31\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.187.41\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.187.39\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.183.29\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{79F05C14-E714-4C12-9924-93C812894CB0}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.57\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{7EFB4924-4B93-4C43-9832-9C3D05E85214}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.59\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{A087E49F-1F8E-4603-A200-55537B737421}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.25\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{AE1542A7-3989-481B-93A9-1500C5F56B14}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.185.27\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{BC4C72EF-3055-4A6D-86E1-AE4D24DB63CA}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.35\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{CAE1760A-CB07-481B-8F9A-BC65510AF5D5}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.185.21\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.185.29\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.185.17\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-1620678558-2258639916-848331216-1002_Classes\CLSID\{F46A78BD-06FC-442C-88DF-0500F08F2379}\InprocServer32 -> C:\Users\user\AppData\Local\Microsoft\EdgeUpdate\1.3.195.45\psuser_64.dll => Нет файла 2025-07-26 20:39 - 2024-10-19 11:55 - 000000000 ____D C:\Program Files\Client Helper Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Всё сделал! FRST.7z

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Спасибо, всё сделал, что Вы написали. Прикрепляю новый архив. CollectionLog-2025.07.26-20.49.zip

Ландо Норрис выиграл квалификацию в Спа В этом году кубок конструкторов будет за McLaren, если ничего не измениться.

Теперь в обычном режиме ещё раз сделайте новый лог FRST.txt

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe',''); QuarantineFile('C:\ProgramData\Microsoft\wext.vbs',''); DeleteService('WinRing0_1_2_0'); TerminateProcessByName('c:\users\user\appdata\roaming\utorrent\pro\utorrentpro.exe'); DeleteFile('c:\users\user\appdata\roaming\utorrent\pro\utorrentpro.exe','32'); DeleteFile('C:\Users\user\AppData\Local\Temp\tmp868C.tmp','64'); DeleteFile('C:\Program Files\uTorrentPro\uTorrentPro.exe','32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','uTorrentPro','x64'); DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64'); DeleteSchedulerTask('EdgeUpdateTaskUser'); DeleteSchedulerTask('EdgeUpdate'); DeleteSchedulerTask('OperaUpdate'); DeleteSchedulerTask('OperaUpdateTask'); DeleteFile('C:\Program Files\Client Helper\Client Helper.exe','64'); DeleteSchedulerTask('RunGame'); DeleteSchedulerTask('uTorrentProUpdaterV5_t1729328441691'); DeleteSchedulerTask('uTorrentProUpdaterV6_t1729328444023'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end. Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Здравствуйте! Пожалуйста, помогите с удалением вируса. После проверки диска "С" программой Kaspersky Virus Removal Tool были найдены 32 вируса, большая часть уничтожена, остались три трояна, которые никак не удаляются. Проверял KVRT пять или шесть раз. (Есть другие жёсткие диски, но их пока проверить не успел). Установить, откуда и когда появились трояны, сложно. Никакие сайты автоматически не запускаются, в работе компьютера ничто напрямую не говорит о наличии вирусов, из необычного - потеря свободного места на диске "С" (за последние два месяца "пропали" около 4 гигов). CollectionLog-2025.07.26-19.55.zip

Вы правы, он пришел по почте, но на ней ничего не осталось к сожалению, так как заражение произошло около года назад, логов KRD также нет, по этой причине.Данные с диска попали ко мне только сейчас. Если судить по информации из публичных источников по тексту письма требования, это продукт группы room155. И если судить по той же информации они используют LockBit 3 Black. Вот статья по теме с HABRа - https://habr.com/ru/companies/F6/articles/920920/ . Я попробовал взять с сайта nomoreransom.org декриптор для LockBit 3 Ransom, но вероятно неправильно что-то делаю, он не нашел информацию по идентификатору указанному в письме требовании. Буду признателен за любую помощь