Активность

Fixlog_31-07-2025 10.47.26.txt

Addition & FRST 2.zip

Все делать, как и в прежней инструкции.

За безопасный режим прошу прощения, затупил. В буфер скапировал. Фикс сделал. Фикслог приложил. Сейчас в Фабаре просто нужно нажать Сканировать? Без каких-то дополнительных галочек на Доп.сканировании? Fixlog.txt

Здравствуйте! Деинсталлируйте нежелательное ПО -> App Explorer Антивирус RAV Endpoint Protection устанавливали самостоятельно? Если нет, тоже удалите. После удаления перезагрузите компьютер. Упакуйте в архив папку C:\KVRT2020_Data\Reports и прикрепите к следующему сообщению. Далее: Файл Check_Browser_Lnk.log из папки перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Итого, жду четыре отчёта: 1. KVRT 2. ClearLNK 3. FRST.txt 4. Addition.txt

Я разве просил собирать эти логи в безопасном режиме? Майнер уже должен быть побежден. Потому все действия выполняем в обычном режиме. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ HKU\S-1-5-21-4085775789-1960969427-1928536659-1002\...\MountPoints2: {9e0a746f-3f45-11ea-a5be-806e6f6e6963} - "E:\setup.exe" Task: {B29AC110-CB5A-4098-8182-AF32514F0044} - System32\Tasks\Opera scheduled Autoupdate 1725858406 => C:\Program Files\Opera\autoupdate\opera_autoupdate.exe --scheduledtask --bypasslauncher $(Arg0) (Нет файла) CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb] S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1396224 2023-12-31] (Microsoft Windows -> Microsoft Corporation) S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1567744 2023-12-31] (Microsoft Windows -> Microsoft Corporation) S4 UsoSvc_bkp; C:\Windows\system32\usocore.dll [906752 2023-12-31] (Microsoft Windows -> Microsoft Corporation) S4 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3042816 2023-12-31] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; %systemroot%\system32\WaasMedicSvc.dll [X] Folder: C:\Users\Admin\AppData\Roaming\Microsoft\Network 2025-07-31 09:37 - 2025-07-31 10:00 - 000001182 _____ C:\Users\Admin\Desktop\scr.txt 2025-07-31 08:43 - 2025-07-31 08:43 - 000000050 _____ C:\Users\Admin\Desktop\addd.txt FirewallRules: [{DD7A5A31-9971-41A6-8294-4C7D532DE1E6}] => (Allow) F:\Games\Steame1\steamapps\common\World of Goo\Win64\WorldOfGoo.exe => Нет файла FirewallRules: [{B5F9EBB1-317F-43F1-8DA9-477CE9A54469}] => (Allow) F:\Games\Steame1\steamapps\common\World of Goo\Win64\WorldOfGoo.exe => Нет файла FirewallRules: [{7800B3A5-730B-4C6A-AC22-D95B39E535B2}] => (Allow) C:\Program Files\Opera\opera.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. После этого сделайте новые логи Farbar в обычном режиме.

Здравствуйте! Поймал в интернете указанный MEM:Trojan.Win64.Shellcode.gen. Удалить с помощью не выходит KVRT. Он его видит предлагает вылечить или пропустить (варианта удалить нет). Работает, а после перезагрузки компа все остается на своих местах. Подскажите, пожалуйста, что с ним делать. CollectionLog-2025.07.31-10.14.zip

Пофиксил. Засканил. Логи прикладываю. Addition & FRST.zip

Сеть подверглась атаке шифровальщика ZEPPELIN. Все файлы зашифрованы, в том числе многие системные (на некоторых компах перестали работать Офисы, слетели профили аккаунтов почтовых программ). Есть ли какие-нибудь инструменты для восстановления.. и надежда? В архиве файл с требованиями и пара зашифрованных файлов. files2.zip

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) O26 - Debugger: HKLM\..\KMmpeg.exe: [Debugger] = 0 (file missing) O26 - Debugger: HKLM\..\KMPlayer.exe: [Debugger] = 0 (file missing) O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file) Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Вроде бы всё верно сделал. Карантин был отправлен через форму. Логи через Autologger в приложении, там же скриншот после выполнение скрипта в AVZ. CollectionLog-2025.07.31-09.48.zip

Здравствуйте. Загрузитесь в безопасном режиме. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe',''); SetServiceStart('GoogleUpdateTaskMachineQC', 4); DeleteService('GoogleUpdateTaskMachineQC'); DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Загрузитесь в обычном режиме. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Здравствуйте. Заранее искреннее прошу прощения за возможные затупы, я полнейший ноль в этой теме и с пк в натянутых отношениях, могу везде быть неправ. В течении месяца были небольшие подозрения на майнер, но ничего не находило и через афтербернер вроде скачков прямо необычных нет, как я увидел. Сегодня решил просканировал пк Malwarebytes и нашёл Trojan.Hijacker по c:\ProgramData\Google\Chrome\ - отправлен в карантин. Пошёл смотреть что в этой папке и там exe файл - updater.exe, который явно маскируется под Хром, но на него не возмущалось. Далее просканировал уже KVRT и так же нашёл Trojan.Win64.DllHijack.gen, но на тот updater так же ничего. Закинув этот updater.exe на VirusTotal, понял по неймингу, что похоже это вирус с флибусты о котором писали ЦК F6. Меня очень волнует этот файл, удалять и трогать я его боюсь, вдруг сделаю сложнее всё. Результаты двух сканов и логи AutoLogger сделанные по вашему гайду в прикрепленном приложении. От всего сердца надеюсь на компетентных умных людей, постараюсь содействовать как смогу. С ув. CollectionLog-2025.07.31-09.10.zip

Попробуйте удалить версию 21.21 с помощью утилиты, ссылка на которую дана в Вашей теме в разделе Помощь по персональным продуктам. Также отмените все настройки, сделанные при помощи BoosterX. После чего соберите новые логи Farbar.

https://support.kaspersky.ru/common/uninstall/1464#block1

С Днём Рождения!

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Женечка (33)VomaK (39)HABAR (32)MuslixYar --KingComp (38)

тогда, если можно попробовать удалить старую версию, дайте ссылку на ремувер

Извиняюсь что так поздно отвечаю просто готовил ужин) Fixlog.txt

Да. Возможно антивирус пытался обновиться до последней версии (с 21.21 до 21.22). При автоматическом обновлении новая версия устанавливается параллельно старой и старая потом удаляется. Возможно ему помешали это сделать. Очень может быть, что для завершения обновления нужно просто перезагрузить компьютер. Что касается BoosterX, я тут почитал отзывы, вещь очень мутная. Там несколько режимов. В агрессивном режиме можно запросто убить систему. Она не устанавливается.

Пока проведем очистку мусора. А еще мне не нравится некий оптимизатор BoosterX, с помощью которого тоже могли внести какие-то изменения в настройки системы. У программы нет нормального сайта, она не прописывается в установленные программы. Не исключено, что эта ошибка в том числе имеет отношение к настройкам этого оптимизатора. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;windowsupdate; HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {D60EE95F-E130-4E25-B137-BEA9F0EE27AB} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe (Нет файла) Task: {68F8F1F1-BC67-4E13-BB24-3D8675F80623} - System32\Tasks\Opera scheduled Autoupdate 1717394667 => C:\Users\azoor\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe --scheduledtask --bypasslauncher $(Arg0) (Нет файла) Task: {BDBFA96C-3873-429C-9E90-C470826599AC} - System32\Tasks\Opera scheduled Autoupdate 1717421859 => C:\Users\azoor\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe --scheduledtask --bypasslauncher $(Arg0) (Нет файла) Task: {2DD925D8-2C97-4FB7-8F89-20952A90317D} - System32\Tasks\Opera scheduled Autoupdate 1717422018 => C:\Users\azoor\AppData\Local\Programs\Opera\autoupdate\opera_autoupdate.exe --scheduledtask --bypasslauncher $(Arg0) (Нет файла) Task: {DBEBAE7A-C69F-43FE-A739-EE89DE88BDDA} - System32\Tasks\SystemInformerTaskAdmin => "C:\Users\azoor\OneDrive\Рабочий стол\Новая папка\amd64\SystemInformer.exe" (Нет файла) Task: {99077966-103D-4B75-BEA5-94D0693A689A} - System32\Tasks\TaskbarX DESKTOP-NGUN30Nazoor => "C:\TaskbarX\TaskbarX.exe" -tbs=0 -color=0;0;0;50 -tpop=100 -tsop=100 -as=cubiceaseinout -obas=cubiceaseinout -tbr=0 -asp=300 -ptbo=0 -stbo=0 -lr=400 -oblr=400 -sr=0 -sr2=0 -sr3=0 -ftotc=1 -rzbt=1 (Нет файла) Task: {ABCAAE48-00FE-4B60-A997-B865876498C3} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack2016 => C:\Program Files\Microsoft Office\root\Office16\msoia.exe scan upload mininterval:2880 (Нет файла) Task: {01ADE480-D61F-4332-BFAB-4664D18F558E} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn2016 => C:\Program Files\Microsoft Office\root\Office16\msoia.exe scan upload (Нет файла) FolderExtensions: [ExplorerBlurMica DLL] -> {887D3A6A-502E-4AF5-9CE6-D515E12AFE89} => C:\Users\azoor\OneDrive\F0A5~1\Новая папка\4. Glass Effect\ExplorerBlurMica.dll -> Нет файла C:\Users\azoor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameCenter\MY.GAMES Игровой центр.lnk C:\Users\azoor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameCenter\Игровой центр.lnk FirewallRules: [{905B95B8-3427-4DF1-9FE1-DA6A867EE5A8}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла FirewallRules: [{1F89D42E-8EA5-4B36-BD34-1A4DADBA1D9A}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer.exe => Нет файла FirewallRules: [{52800423-BDD2-443B-A6EB-A77A0A77EB78}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла FirewallRules: [{8676B4B3-1C0D-4C0C-8B80-CDA90B7EB457}] => (Allow) C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe => Нет файла FirewallRules: [{B2D73B4E-0B0C-4B43-AAC4-84C5182538EA}] => (Allow) D:\SteamLibrary\steamapps\common\Skyrim Special Edition\SkyrimSELauncher.exe => Нет файла FirewallRules: [{CCE76EF4-B133-4D11-9092-DF74A8B2E565}] => (Allow) D:\SteamLibrary\steamapps\common\Skyrim Special Edition\SkyrimSELauncher.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Параллельно буду консультироваться здесь у тех, кто знаком с последними версиями. Автор темы не в счет. Я правильно понимаю, что имеются два комплекта драйверов от разных версий? При этом одни отключены, а вторые работают. И еще эта ошибка смущает

Хорошо вот файлы которые вы просили 😁 логи AV block remover.rar файлы FRST.txt и Addition.txt.rar

Судя по первоначальной теме, Вы скачивали и запускали AV block remover. Его лог прикрепите к с сообщению. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению. P.S. И выделять текст пожирнее или увеличивать размер шрифта тоже не стоит, это никак не ускорит процесс.

мне что делать то?