Активность

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: Task: {B0DD27DC-37AD-4184-A3C4-6C0A8D64D494} - \iTopVPN_Scheduler_admin -> Нет файла <==== ВНИМАНИЕ Task: {CA6CBCED-72B7-4659-864F-5BB122C3E72D} - \iTopVPN_SkipUAC_admin -> Нет файла <==== ВНИМАНИЕ Task: {F9B04E0E-87CF-4A22-8DA2-72F151963AAA} - \iTopVPN_Update_admin -> Нет файла <==== ВНИМАНИЕ Task: {549D2A01-5D47-4BE3-BFA9-E33C5938696A} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_270_pepper.exe [1453112 2019-11-11] (Adobe Inc. -> Adobe) Task: {88BF5720-BA5A-447F-9AE6-A2C2D09A068F} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [335416 2019-11-11] (Adobe Inc. -> Adobe) Task: {E6C55DAE-C74D-4D74-B099-75C51C63EAD2} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem140.0.7272.0{C630BF64-556D-4331-BD51-7E60C62F49D3} => "C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe" --wake --system (Нет файла) Task: {DDD375A1-CC13-4A95-B665-76496BCA55DA} - System32\Tasks\iTop JunSale Task (One-Time) => "C:\Program Files (x86)\iTop VPN\Pub\iTopJunSale2025.exe" -> C:\Program Files (x86)\iTop VPN\Pub\\/rpop Edge StartupUrls: Default -> "hxxps://www.google.com/","hxxp://www.yandex.ru/?win=87&clid=1992445","hxxps://www.google.com/","hxxp://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/" C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp CHR StartupUrls: Default -> "hxxps://www.google.com/","hxxp://www.yandex.ru/?win=87&clid=1992445","hxxps://www.google.com/","hxxp://www.google.com","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/","hxxps://www.google.com/" C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\laddjijkcfpakbbnnedbhnnciecidncp S2 GoogleUpdaterInternalService140.0.7272.0; "C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe" --system --windows-service --service=update-internal [X] S3 aswTap; C:\Windows\System32\drivers\aswTap.sys [53904 2018-09-05] (AVAST Software s.r.o. -> The OpenVPN Project) S3 GridinSoftInetSecurityDriver; C:\Windows\system32\DRIVERS\gsInetSecurity.sys [107784 2024-04-25] (GridinSoft, LLC -> GridinSoft LLC) S3 hitmanpro37; C:\Windows\system32\drivers\hitmanpro37.sys [40976 2025-04-02] (Microsoft Windows Hardware Compatibility Publisher -> ) S3 TrojanKillerDriver; C:\Windows\System32\DRIVERS\gtkdrv.sys [38216 2020-11-16] (GridinSoft, LLC -> GridinSoft LLC) AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [154] ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.

Addition.txt FRST.txt

А программу av_z.exe вы запускали из этой папки? Хорошо, сделаем по-другому. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Всем привет! Постепенно возвращаемся в цивилизацию. Пешком пройдено примерно 65км (точные цифры будут позже) с набором (и сбросом) высоты более 2000м, а по воде прошли более 500км, преодолели около десятка порогов (включая Аккемский прорыв, Ильгумень и Шабаш на Катуни, а также Турбину и Горизонт на Чуе) - фотки-видео и рассказы будут чуть позже. Ура!

скрин по 1 пункту. нет такоего-должен появиться архив с именем quarantine.7z третий пункт сделать не могу это очень сложно сидеть и выбирать там столько пунктови сверять каждую строчку, мне ж не 15 лет а 65

В результате этого скрипта в папке: C:\Users\admin\Downloads\AutoLogger\AutoLogger\AV\ должен появиться архив с именем quarantine.7z Его нужно отправить по указанному адресу. Будьте внимательны, третий пункт следовало выполнить в другой программе: Фраза является ссылкой на инструкцию. После "фикса" перезагрузите компьютер и ещё раз соберите новый CollectionLog

Друзья! Kaspersky Club скоро отметит свое 19-летие! По традиции, мы собираем самых активных участников нашего клуба и отправляемся вместе в новое яркое путешествие. На карте клуба уже множество маршрутов - от морских побережий до высоких гор и не только, и за каждым - незабываемые эмоции и воспоминания. В этом году нас ждет Дагестан! А пока приключение только на горизонте, приглашаем вас в обзорную викторину. Сегодня мы заглянем в историю, природу и культуру региона, чтобы начать путешествие уже сейчас. Удачи всем, и пусть любопытство победит! НАГРАЖДЕНИЕ Без ошибок — 1000 баллов Одна ошибка — 700 баллов Две ошибки — 400 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. ПРАВИЛА ПРОВЕДЕНИЯ Викторина проводится до 20:00 17 августа 2024 года (время московское). Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины. Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователям @zell и @alexandra (пользователя @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает. Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений. Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки. Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса. Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено. Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.

Первый скрипт выполнил Второй скрипт. Ничего не распаковывалось а просто написано скрипт выполнен без ошибок Третий скрипт также пишет -ошибка - БЕГИН експеслед в позиции 1:12 CollectionLog-2025.08.12-14.22.zip

Хорошо, проверьте ЛС.

Понятно. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Windows\winstart.bat', ''); DeleteFile('C:\Windows\winstart.bat', '32'); DeleteFile('C:\Windows\winstart.bat', '64'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteRepair(19); ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. После перезагрузки, выполните такой скрипт: begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false); end. Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. "Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0DD27DC-37AD-4184-A3C4-6C0A8D64D494} - \iTopVPN_Scheduler_admin (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CA6CBCED-72B7-4659-864F-5BB122C3E72D} - \iTopVPN_SkipUAC_admin (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F9B04E0E-87CF-4A22-8DA2-72F151963AAA} - \iTopVPN_Update_admin (no xml) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Avast Software (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Mozilla (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking\Spybot - Search and Destroy (empty) O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WiseCleaner (empty) O22 - Tasks: (disabled) Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_270_pepper.exe -check pepperplugin (sign: 'Adobe Inc.') O22 - Tasks: (disabled) Adobe Flash Player Updater - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (sign: 'Adobe Inc.') O22 - Tasks: iTop JunSale Task (One-Time) - C:\Program Files (x86)\iTop VPN\Pub\iTopJunSale2025.exe /rpop (file missing) O22 - Tasks_Migrated: (disabled) Adobe Flash Player NPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_156_Plugin.exe -check plugin (file missing) O22 - Tasks_Migrated: (disabled) Adobe Flash Player PPAPI Notifier - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashUtil32_32_0_0_270_pepper.exe -check pepperplugin (sign: 'Adobe Inc.') O22 - Tasks_Migrated: (disabled) Adobe Flash Player Updater - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (sign: 'Adobe Inc.') O22 - Tasks_Migrated: (disabled) CCleaner Update - C:\Program Files\CCleaner\CCUpdate.exe (file missing) O22 - Tasks_Migrated: (disabled) CCleanerSkipUAC - C:\Program Files\CCleaner\CCleaner.exe $(Arg0) (file missing) O22 - Tasks_Migrated: \Avast Software\Overseer - C:\Program Files\Common Files\Avast Software\Overseer\overseer.exe /from_scheduler:1 (file missing) O23 - Service S3: Adobe Flash Player Update Service - (AdobeFlashPlayerUpdateSvc) - C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe (sign: 'Adobe Inc.') O23 - Driver S3: avast! SecureLine TAP Adapter v3 - (aswTap) - C:\Windows\System32\drivers\aswTap.sys (+safe mode) (sign: 'AVAST Software s.r.o.') O23 - Driver S3: GridinSoft Internet Security Driver - (GridinSoftInetSecurityDriver) - C:\Windows\system32\DRIVERS\gsInetSecurity.sys (+safe mode) (sign: 'GridinSoft, LLC') O23 - Driver S3: GridinSoft Mini-Filter service - (GSDriver) - C:\Windows\System32\drivers\GSDriver64.sys (sign: 'Microsoft' - no company) O23 - Driver S3: GridinSoft Trojan Killer Driver - (TrojanKillerDriver) - C:\Windows\system32\DRIVERS\gtkdrv.sys (sign: 'GridinSoft, LLC') O23 - Driver S3: HitmanPro 3.7 Support Driver - (hitmanpro37) - C:\Windows\system32\drivers\hitmanpro37.sys (sign: 'Microsoft' - no company) Ещё раз перезагрузите компьютер. Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

Я не могу найти такой файл в Виндовс по указанному вами пути, нет такого файла

Здравствуйте, обратитесь за помощью к Вашему администратору антивирусной защиты.

Поправка, они генерятся при запуске шифровальщика, то есть уникальны для сервера, где стартует. Так что наши не актуальны. Мы в песочнице запускали его.

Здравствуйте! Пожалуйста, аккуратно упакуйте в архив файл C:\Windows\winstart.bat и прикрепите к следующему сообщению.

проверьте ЛС,

Добавьте, пожалуйста, в файл текстовые фразы. Скорее всего используются при запуске сэмпла.

Вчера рабочий стол после перезагрузки стал черным но все значки остались, что делать я не знал и попробовал восстановить систему из точки восстановления, часа 4 или больше система востановлмвалась. После восстановления экран все также был черным, значки браузеров хром и Яндекс не реагировали. Сегодня переустановил Яндекс, скачал по новому хром- в течении 10-15 минут шла инициализация Хром. Хотел бы узнать в чем причина неожижанного действия. И еще каждый раз когда открываю Хром, открывается окошко с - Что нового в 1ClickVPN. zip-архив с собранными логами - CollectionLog приложил CollectionLog-2025.08.12-10.28.zip

Нет. Но для верности сделайте дополнительно проверку с помощью CureIt. Результат сообщите.

Удалил приложение и срабатываний больше не было. Подскажите, по остальным проверкам, какае-то явные признаки заражения есть?

Вы вообще читать умеете не через строчку?

Всё также

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Что сейчас с проблемой?

Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

AV_block_remove_2025.08.12-10.08.logFixlog.txt