Активность

Майнер ушел, но множество потоков в системных файлах остается, и непонятно, через какой процесс их внедряют. Еще раз выполним очистку в uVS, скрипт включит отслеживание процессов и задач. Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы ;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE hide %SystemDrive%\USERS\EGORI\DOWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE ;------------------------autoscript--------------------------- apply deltmp delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %Sys32%\ZAPRET.EXE delref %SystemDrive%\USERS\EGORI\DOWNLOADS\KVRT.EXE ;------------------------------------------------------------- regt 39 restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новый образ для анализа и поиска источника потоков. + сделайте логи FRST.

Общие рекомендации: Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. filo (55)akoK --Радлнеакс (38)akeler (35)Blackvova (51)Lemon9161 (26)Mopps --Cyber_cotleta (20)atkyr (42)

По возможности исправьте: Запрос на повышение прав для администраторов отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Unchecky v1.2 v.1.2 Данная программа больше не поддерживается разработчиком. Используйте другое защитное ПО. AMD Software v.25.8.1 Внимание! Скачать обновления AnyDesk v.ad 6.0.8 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления Microsoft OneDrive v.25.222.1112.0002 Внимание! Скачать обновления WinRAR 7.11 v.7.11 Внимание! Скачать обновления Telegram Desktop 5.13.1 v.5.13.1 Внимание! Скачать обновления VLC media player v.3.0.21 Внимание! Скачать обновления K-Lite Mega Codec Pack 18.8.5 v.18.8.5 Внимание! Скачать обновления ---------------------------- [ UnwantedApps ] ----------------------------- CCleaner 6.34.11482 v.6.34.11482 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы. Кнопки сервисов Яндекса на панели задач v.3.7.10.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. На этом закончим.

SecurityCheck.txt

Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

Здравствуйте, заметил просадки фпс и вылеты в играх, впервые сталкиваюсь с майнером. пытался в удаление через Cureit, проблем с его запуском не было но, файлы которые он находил bin файл в utorrent директории и файл в директории chrome, оба отказались лечиться. один из них был назван просто Trojan а другой Trojan.Siggen31.34463 три проверки, drcureit хотя бы их находил, на последней и вовсе пустая проверка, не знаю что делать.

На самом деле надо было указывать габариты места для ноутбука, а не дюймы. У ноутбука в 14 дюймов от эпл могут быть компактные габариты, а у древней машины с толстыми рамками те же 14 дюймов будут как 15 или 16 актуальных эпловских. Аналогично с маками в 11.6 дюймов, которые сейчас сопоставимы с 13 дюймовыми актуальными моделями (просто рамки тоньше).

Здравствуйте. Загрузитесь в безопасном режиме. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; SetServiceStart('GoogleUpdateTaskMachineQC', 4); QuarantineFile('C:\ProgramData\google\chrome\updater.exe',''); QuarantineFile('C:\Users\Piven\AppData\Roaming\Sandboxie\sandboxie.exe',''); QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe',''); DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64'); DeleteFile('C:\Users\Piven\AppData\Roaming\Sandboxie\sandboxie.exe','64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleUpdateTaskMachineQC','x64'); DeleteService('GoogleUpdateTaskMachineQC'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Загрузитесь в нормальном режиме. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end. Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Поймал вирусы типа: VirTool:PowerShell/WDAVTamper Trojan:Win32Vigof.A были и ещё трояны не запомнил Повредился Центр обновления Windows. Постоянно висят кнопки: «Обновить и завершить работу» и «Обновить и перезагрузить» при перезагрузки установка не выполняется. Также пустой экран в Центре обновлений Windows. В реестре появились записи wuauserv_bkp, UsoSvc_bkp, WaaSMedicService_bkp, BITS_bkp и Dosvc_bkp, а старые (wuauserv, UsoSvс, WaaSMedicService и т.д.) с ошибками. В сервисах/Службах записи сервисов wuauserv, UsoSvс, WaaSMedicService и т.д. дублируются с wuauserv_bkp, UsoSvc_bkp, WaaSMedicService_bkp и т.д.. Вирусы удалил с помощью Dr.Web CureIt!. Потом ещё раз прошел Dr.Web CureIt!, Kaspersky Virus Removal Tool, MS Defender они сказали вирусов нет. Записи в реестре и в сервисах остались, кнопки также висят. Подскажите как можно это исправить. CollectionLog-2026.01.04-20.52.zip

Fixlog.zip

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKU\S-1-5-21-4177982261-2433090845-2058421828-1000\...\Run: [AMDNoiseSuppression] => "C:\Windows\system32\AMD\ANR\AMDNoiseSuppression.exe" (Нет файла) Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Нет файла) 2025-12-27 12:18 - 2026-01-04 19:17 - 000000000 ____D C:\ProgramData\WinAIIService StartPowershell: Remove-MpPreference -ExclusionPath "C:\ProgramData\WinAIIService\" Remove-MpPreference -ExclusionProcess "powershell.exe" EndPowerShell: FirewallRules: [{0495bb6a-7826-4d0b-a015-b3f455802c04}] => (Allow) C:\ProgramData\WinAIIService\WinAIIService.exe => Нет файла FirewallRules: [{ef12a276-1521-4648-91d4-6543b60d6406}] => (Allow) C:\ProgramData\WinAIIService\WinAIIService.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

FIRST & Addition.zip

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Нвверняка и сумка в сообщении Ирины другая.

Отправлено CollectionLog-2026.01.04-19.55.zip

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Новый образ DESKTOP_EG_2026-01-04_17-48-31_v5.0.3v x64.7z

CollectionLog-2026.01.04-17.47.zip 2026.01.04_quarantine_82eaf698b0fdc9c80ee147ca4f5eda22.7z CollectionLog-2026.01.04-17.47.zip

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; TerminateProcessByName('c:\programdata\winaiiservice\winservicenetworking.exe'); QuarantineFile('c:\programdata\winaiiservice\winservicenetworking.exe',''); TerminateProcessByName('c:\programdata\winaiiservice\winaiiservice.exe'); QuarantineFile('c:\programdata\winaiiservice\winaiiservice.exe',''); DeleteFile('c:\programdata\winaiiservice\winaiiservice.exe','32'); DeleteFile('c:\programdata\winaiiservice\winservicenetworking.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AII Service','x64'); DeleteSchedulerTask('PauseWindowsUpdate'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Windows\System32\u483316.dll',''); TerminateProcessByName('c:\windows\system32\wsvcz\u322623.exe'); QuarantineFile('c:\windows\system32\wsvcz\u322623.exe',''); DeleteFile('c:\windows\system32\wsvcz\u322623.exe','32'); DeleteFile('C:\Windows\System32\u483316.dll','64'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\u483316\Parameters','ServiceDll','x64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Последнее, что я скачивал - это Amnezia VPN с их офф. сайта. Майнер сам возвращается после перезагрузки CollectionLog-2026.01.04-16.58.zip

CollectionLog-2026.01.04-16.46.zipМайнер восстанавливается после удаления

Да, сделать и добавить так же как и предыдущий образ в ваше сообщение