Активность

В данном случае да.

Скачайте AV block remover. Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя). Если и так не запускается, запустите его в безопасном режиме с поддержкой сети. В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

AV_Z?

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\ProgramData\AccountPicturesetu\winlogonnc.exe',''); TerminateProcessByName('c:\users\public\libraries\5ed2e28f-96e4-49d2-a89c-790f6865df52\fmsvchost.exe'); QuarantineFile('c:\users\public\libraries\5ed2e28f-96e4-49d2-a89c-790f6865df52\fmsvchost.exe',''); DeleteFile('c:\users\public\libraries\5ed2e28f-96e4-49d2-a89c-790f6865df52\fmsvchost.exe','32'); DeleteSchedulerTask('76a318b4-f8bb-40c3-922f-9750ac929ead'); DeleteFile('C:\ProgramData\AccountPicturesetu\winlogonnc.exe','64'); DeleteSchedulerTask('a841e49b-e27b-4613-afbb-7058091cab58'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Проблему примерно появилась примерно в 21-22 часа, в 21 часа касперский запускался спокойно а где-то в 22 часа не запустился без переименования

CollectionLog-2025.08.08-01.42.zipВот

CollectionLog-2025.08.08-02.39.zip

Здравствуйте. Выполните Порядок оформления запроса о помощи. Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

Ссылка на reg-файлы не работает. Остальное сделаноFixlog.txt

Касперский несколько раз подряд находит эти вирусы и как я поняла не удаляет их почему-то. Смогла запустить этот антиварь только переименовав его.

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Program Files\Client Helper\Client Helper.exe',''); QuarantineFile('C:\Program Files (x86)\ivRRmnqPqsFU2\OGMFiVYzIdaDm.dll',''); QuarantineFile('C:\Program Files (x86)\jzRLSjxbU\GFVzdD.dll',''); QuarantineFile('C:\ProgramData\Microsoft\wext.vbs',''); QuarantineFile('c:\windows\System32\wizchain.dll',''); DeleteFile('c:\windows\System32\wizchain.dll','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\WizAgntSvc_2c16d6\Parameters','ServiceDll','x64'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','utweb','x32'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Web Companion','x32'); DeleteFile('C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe','32'); DeleteSchedulerTask('jeurissen-search-S-1-5-21-4065516865-2121949012-638206861-1001'); DeleteSchedulerTask('faPChbBCmlptvinIDvc2'); DeleteFile('C:\ProgramData\Microsoft\wext.vbs','64'); DeleteSchedulerTask('EdgeUpdate'); DeleteSchedulerTask('EdgeUpdateTaskUser'); DeleteSchedulerTask('opfStGQsmIlmE2'); DeleteFile('C:\Program Files (x86)\jzRLSjxbU\GFVzdD.dll','64'); DeleteFile('C:\Program Files (x86)\ivRRmnqPqsFU2\OGMFiVYzIdaDm.dll','64'); DeleteFile('C:\Program Files\Client Helper\Client Helper.exe','64'); DeleteSchedulerTask('russian-steeple'); DeleteSchedulerTask('RunGame'); DeleteSchedulerTask('rQiuYLTxdmPQku'); DeleteSchedulerTask('oqtaRxtDxqdWicQ2'); DeleteSchedulerTask('uyDpYhhkFtOxxvTBi2'); DeleteSchedulerTask('Seelen\Seelen UI Service'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end. Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. После скрипта удалите через Панель управления – Программы и компоненты или принудительно с помощью Geek Uninstaller Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

CollectionLog-2025.08.08-01.03.zip

С расшифровкой файлов по данному типу шифровальщика не сможем помочь без приватного ключа. Восстановление данных возможно из бэкапов. Теперь, когда ваши файлы были зашифрованы, примите серьезные меры безопасности: 1. создание бэкапов данных на отдельном устройстве, которое не должно быть постоянно доступным; 2. установка актуальных обновлений для операционной системы; 3. установка надежной актуальной антивирусной защиты с регулярным обновлением антивирусных баз; 4. установка надежных паролей для аккаунтов из группы RDP; 5. настройка нестандартного порта (вместо стандартного 3389) для сервиса RDP; 6. настройки безопасности, которые защищают пароль к аккаунту от удаленного брутфорсинга 7. если есть такая возможность, настройте двухфакторную аутентификацию для доступа к рабочему столу 8. доступ к рабочему столу из внешней сети (если необходим для работы), либо через VPN подключение, либо только с доверенных IP (белый лист);

Отчет KVRT размещен на устройстве откуда вы его запускали, в папке KVRT_DATA C:\KVRT2020_Data\

С Днём Рождения!

Дубль 2 Строгое предупреждение от модератора thyrex При отсутствии логов по правилам тема будет закрыта. Все сообщения без логов будут удаляться.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ScpToolkit Tray Notifications.lnk [2023-10-14] ShortcutTarget: ScpToolkit Tray Notifications.lnk -> D:\scp\ScpTrayApp.exe (Нет файла) GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {161E1631-24AA-4C02-8E47-5DD199B89AEA} - System32\Tasks\updater => D:\scp\ScpUpdater.exe S2 Ds3Service; D:\scp\ScpService.exe [X] S2 NTKDaemonService; C:\Program Files\Common Files\Native Instruments\NTK\NTKDaemon.exe [X] S3 Origin Client Service; "C:\Program Files (x86)\Origin\OriginClientService.exe" [X] S2 Origin Web Helper Service; "C:\Program Files (x86)\Origin\OriginWebHelperService.exe" [X] S3 uncheater_bgl; "C:\Program Files\Common Files\Uncheater\uncheater_bgl.exe" [X] S3 updater; D:\scp\ScpUpdater.exe /runservice [X] 2024-08-20 23:00 - 2025-07-15 16:16 - 000000599 _____ () C:\Users\User\uTorrentPro.dat C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Enlisted\Деинсталлировать Enlisted.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Enlisted\Скриншоты.lnk C:\Users\Public\Desktop\Goat Simulator 3.lnk -> D:\Goat Simulator 3\Launcher.bat C:\Users\Public\Desktop\Смена языка No Mans Sky.lnk C:\Users\Public\Desktop\Смена языка Spore.lnk C:\Users\Public\Desktop\Торрент Игрухa.lnk AlternateDataStreams: C:\ProgramData:err [1308] AlternateDataStreams: C:\Users\All Users:err [1308] AlternateDataStreams: C:\Users\Все пользователи:err [1308] AlternateDataStreams: C:\ProgramData\Application Data:err [1308] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log:F107EE40EF [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer1.log_backup1:2DD1EC5C91 [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log:CCB2353F35 [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer2.log_backup1:0544EFE2DB [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log:8A1F56CED6 [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer3.log_backup1:A473474DD2 [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer4.log:3B2EC2BDEF [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer4.log_backup1:DC5D04D24A [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer5.log:84BD5AAA09 [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer5.log_backup1:038079845B [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer6.log:4C1811BCCA [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer6.log_backup1:AC11A713EE [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer7.log:2C973AF0F1 [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer7.log_backup1:C43B6DA342 [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer8.log:9D656E437C [3442] AlternateDataStreams: C:\ProgramData\DisplaySessionContainer8.log_backup1:3EF19F9EA5 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC Beats.lnk:FCF905613E [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Streamlabs OBS.lnk:5BF9B01493 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Videoder.lnk:C9AE68D1E8 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Waves Central.lnk:0645AF50E9 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Помощник по обновлению до Windows 10.lnk:ACE144A8A7 [3442] AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [472] AlternateDataStreams: C:\Users\User\Application Data:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] AlternateDataStreams: C:\Users\User\Application Data:fd585b8e864cc41e70aa800112186ec8 [394] AlternateDataStreams: C:\Users\User\AppData\Roaming:fbd50e2f7662a5c33287ddc6e65ab5a1 [394] AlternateDataStreams: C:\Users\User\AppData\Roaming:fd585b8e864cc41e70aa800112186ec8 [394] Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб dosvc, UsoSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

и пальцем не пошевелю, пока не сделаете так, как написано в правилах. Тем более после ранее выданного предупреждения. Тем более в правилах написано

+ скриншот информации из расшифрованных файлов

В А Ж Н О ! Ознакомьтесь внимательно с нижеизложенной инструкцией и выполните все её пункты. 1. Проведите проверку ПК, воспользовавшись одним из следующих продуктов: Kaspersky Virus Removal Tool; Dr.Web CureIt!. 2. Скачайте актуальную версию автоматического сборщика логов, необходимого для анализа ОС и распакуйте полученный архив в любую удобную для Вас папку. Обязательно выгрузите защитное ПО (антивирус, фаерволл, брандмауэр) во избежание конфликтов при работе утилит автоматического сборщика логов, т.к. иначе возможно значительное снижение производительности ОС, её зависание и/или отказ (появление BSOD, т. е. синего экрана смерти). Запустите файл AutoLogger.exe и следуйте выводимым рекомендациям. Дождитесь окончания работы автоматического сборщика логов. В папке AutoLogger, расположенной там же, куда Вы ранее распаковали архив, будет находиться zip-архив с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip. Если у вас возникнут вопросы/проблемы связанные с AutoLogger-ом, то прочитайте FAQ. При недоступности Safezone.сс используйте зеркало для скачивания автоматического сборщика логов.

Не игнорьте пожалуйста

А что делает скрипт в AVZ? Так вы мне поможете с майнером?

Читать и выполнять написанное в правилах. Строгое предупреждение от модератора thyrex Еще одно написанное не по делу сообщение - и Ваша тема будет просто закрыта.

я установил его что дальше

Все ссылки рабочие.