Активность

scannow молчит. Reg-файл добавил, не перезагружался. Сейчас всё поставлю. Да, был момент, когда он создавал в загрузках и в декстопе папку "Av_Block_remover", Не обратил на это внимание пока вручную менял безопасность папок и удалял.

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS. Запустите reg файл и подтвердите внесение информации в реестр. Сделайте проверку системы на ошибки с исправлением ошибок chkdsk сделайте проверку целостности системы. sfc /scannow Возможно есть какая проблема с Windef Windows Defender: Error #0x80070002 Наличие ссылок на этот файл указывает на то, что было заражение майнером Jhon FirewallRules: [{E276A868-D312-4A72-8D23-8AE47D664E1A}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла попробуйте это лекарство. Скачайте AV block remover (или с зеркала). Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем. Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads). В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

А, до этого запускал отслеживание. Случайно вышло. Удалил.

Этот файл удалите вручную C:\Windows\system32\rfxvmt.dll отслеживание зачем запустили. запросили обычный образ автозапуска. без отслеживания. Отслеживание задач: 1 Отслеживание запуска процессов: 1 Отслеживание завершения процессов: 1 Отслеживание командной строки процессов: 0

Прикрепляю SecurityCheck. SecurityCheck.txt

Защита системы все ещё не работает.

Доброй ночи! Остановился на удалении ссылок на DLL (сервисы не тронуты), удалил. Готово. 2025-08-24_03-45-10_log.txt FRST.txt

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Роман2550 (56)Гуля Наильевна Бурлакова (34)

Aida64 зачем у вас в автозапуске, тем более без цифровой Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.exe [2025-07-13] (FinalWire Ltd.) [Файл не подписан] Startup: C:\Users\Specter\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\aida64.ini [2025-08-21] () [Файл не подписан] ---------------- выполните очистку системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу без перезагрузки системы. Архив ZOO*** из папки, откуда запускаете uVS загрузите на облачный диск и дайте ссылку на скачивание. здесь.

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы HKLM-x32\...\Run: [] => [X] HKLM\...\RunOnce: [39e74cf6-55fa-4ef5-8891-52b7d423d803] => "C:\Users\logout\AppData\Local\Temp\{c343837d-a2f4-4073-83b8-bc371587bb2a}\39e74cf6-55fa-4ef5-8891-52b7d423d803.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [fd2222d5-356a-4c71-8488-12a615617cf9] => "C:\Users\logout\AppData\Local\Temp\{cabda475-14dc-4a60-a390-5d9dbd8848c2}\fd2222d5-356a-4c71-8488-12a615617cf9.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [06657843-f143-4718-8ab0-d72327c12f3f] => "C:\Users\logout\AppData\Local\Temp\{25b928a8-f41e-4f3a-b0e2-73a6725a843a}\06657843-f143-4718-8ab0-d72327c12f3f.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [f406c3d8-1b49-48a5-856f-68cc6d91e24f] => "C:\Users\logout\AppData\Local\Temp\{588f5803-fecf-4cf0-b768-c1548b36d3d2}\f406c3d8-1b49-48a5-856f-68cc6d91e24f.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [ed11e0b7-12fd-4d64-8c57-52c0655bf5db] => "C:\Users\logout\AppData\Local\Temp\{aa4d5a3e-d028-461a-8a0b-e1c2647c20a3}\ed11e0b7-12fd-4d64-8c57-52c0655bf5db.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\...\RunOnce: [6e0a54ee-1056-4236-939c-e2c090a9c082] => "C:\Users\logout\AppData\Local\Temp\{15c0d5a5-7a0d-48d0-9ed5-97bbba1573ee}\6e0a54ee-1056-4236-939c-e2c090a9c082.cmd" (Нет файла) <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {44BB9BAB-DAB1-47FC-B21B-9FBB2D7D6897} - System32\Tasks\DuJlWwvV => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C powershell.exe -noni -nop -w 1 -enc IABjAC4AZQB4AGUAIAAtAGYAdQBsAGwAaQBuAHMAdABhAGwAbAA= > \Windows\Temp\tvOuZI 2>&1 <==== ВНИМАНИЕ Task: {FFCF7671-8203-4365-82CB-A21FD88F4D68} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {63F8B78C-978E-4C0B-805D-4421EDDF56DB} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {BF32F856-2799-45CE-9044-866C666919E8} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {76667198-4A30-4B9A-AA44-0B6B48BEAF56} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-1104 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {B940DB65-16D4-4BDC-9918-A3D415B83E16} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1945624045-1199837794-592266151-3389 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {CC2228A3-19A5-4366-A828-5E40E3E9467F} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-2898191034-3396799920-1222824162-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {2521FB41-73E2-4A3E-8F54-50BC95489C7D} - System32\Tasks\OneDrive Startup Task-S-1-5-21-1945624045-1199837794-592266151-1104 => C:\Users\logout\AppData\Local\Microsoft\OneDrive\25.140.0720.0001\OneDriveLauncher.exe /startInstances (Нет файла) Task: {AF025E4C-7165-43BE-980B-D1237E5BEB78} - System32\Tasks\WymQbhCl => C:\Windows\system32\cmd.exe [289792 2024-09-03] (Microsoft Windows -> Microsoft Corporation) -> /C c.exe -fullinstall > \Windows\Temp\CKnGAJ 2>&1 <==== ВНИМАНИЕ 2025-08-22 14:19 - 2025-08-22 14:22 - 000000000 ____D C:\Users\logout\Desktop\1 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

С Днём Рождения!

Но ведь это не государственное ПО. Оно такое же государственное, как РуСтор или антивирус Касперского. https://t.me/mydaybug/518 В общем, подпишитесь, будет полезно. Приеду из Дагестана, напишу вторую часть.

Здесь есть шифрование. Проверьте ЛС.

Поздравляю!

Переделанные файлы. crypt.rar FRST.rar KVRT2020_Data.rar

По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL apply regt 27 deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {1FD49718-1D00-4B19-AF5F-070AF6D5D54C}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\22.11.5.709\INSTALLER\YNDXSTP.EXE delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\VMBUSR.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\PDFPREVIEW\PDFPREVIEWHANDLER.DLL delref {21E17C2F-AD3A-4B89-841F-09CFE02D16B7}\[CLSID] delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MAPDATA\UR24F8FUOO\GLOBALDATAJ.BAT delref %Sys32%\TASKS\MICROSOFT\WINDOWS\GLOBALDATAJ\RECOVERYHOSTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\INSTALLER\SETUP.EXE delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\ELEVATION_SERVICE.EXE delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\DEFAULT\MPKSL77CCBEB0.SYS delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\USERS\PROFESSIONAL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BLPCFGOKAKMGNKCOJHHKBFBLDKACNBEO\4.2.8_0\YOUTUBE delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\BOOKMARK_MANAGER\BOOKMARK MANAGER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.51\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\FEEDBACK\FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\CLOUD_PRINT\CLOUD PRINT delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref %SystemDrive%\USERS\PROFESSIONAL\APPDATA\LOCALLOW\IGDUMP\SEC\IG.EXE delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA APP\CEF\NVIDIA APP.EXE delref F:\RISK OF RAIN 2\RISK OF RAIN 2.EXE ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Да, процесс лечения здесь не мгновенный, занимает определенное время, так что смело ложитесь спать, образ проверю, скрипт очистки напишу, если что-то будет найдено. К тому же здесь у всех разные часовые пояса.

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Это немного настораживает. Но в любом случае спасибо за помощь и потраченное время! Если время покажет что проблема вернулась, я ещё открою новую тему. А пока что ещё раз спасибо и думаю эту можно закрывать если добавить нечего.

USER-PC_2025-08-23_14-33-15_v5.0.RC2.v x64.7z

Время покажет. Защита установлена и работает корректно. По возможности обновите данное ПО. Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

Как я понимаю, проблем быть больше не должно и у меня просто разыгралась паранойя? Лог: SecurityCheck.txt

Если образ автозапуска уже создали Добавьте, так же образ автозапуска из uVS.

Сделал. С первого раза не вышло - заругался Касперский, забыл приостановить. Со второго раза всё прошло хорошо - машина перезагрузилась штатно. 2025-08-23_14-08-18_log.txt Addition.txt FRST.txt

Хорошо. завершающие шаги: Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению.