Активность

Готово.Fixlog.7z

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Все пароли смените. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: Task: {E031E4E3-63D4-4766-A517-0A086C7F945C} - System32\Tasks\OneDrive Reporting Task-S-1-5-21-1983496138-3791155819-1600097845-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe /reporting (Нет файла) <==== ВНИМАНИЕ Task: {654AB854-C592-4BB0-ADD5-4A1401B8A7F9} - System32\Tasks\OneDrive Standalone Update Task-S-1-5-21-1983496138-3791155819-1600097845-1002 => %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe (Нет файла) <==== ВНИМАНИЕ Task: {F67A4A0E-5415-4FFA-987D-635F8608918B} - System32\Tasks\OneDrive Startup Task-S-1-5-21-1983496138-3791155819-1600097845-1002 => C:\Users\Jemm\AppData\Local\Microsoft\OneDrive\25.060.0330.0003\OneDriveLauncher.exe /startInstances (Нет файла) ProxyServer: [S-1-5-21-1983496138-3791155819-1600097845-1001] => hxxp://127.0.0.1:12334 C:\Users\MAN-MADE\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom S3 HWiNFO_204; \??\C:\Users\MAN-MADE\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ StartPowershell: Remove-MpPreference -ExclusionProcess "powershell.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\ProgramData\WinAIHService" EndPowerShell: FirewallRules: [{60ee7bec-7985-474d-ab1d-b2733c58582b}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{c3971643-a074-4001-bac3-a6162188893e}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла C:\ProgramData\WinAIHService FirewallRules: [TCP Query User{D7BA02A3-5E12-40AF-8F6C-7F4B47146E01}C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe => Нет файла FirewallRules: [UDP Query User{33386CB2-8228-4699-9A0E-9EAE9CC89DD6}C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\dark hours playtest\darkhours\binaries\win64\darkhours-win64-shipping.exe => Нет файла FirewallRules: [TCP Query User{7C71350B-E396-4B48-833D-CBA9FE153C1F}C:\games\house flipper 2\houseflipper2.exe] => (Block) C:\games\house flipper 2\houseflipper2.exe => Нет файла FirewallRules: [UDP Query User{02AEB187-7252-4548-8F85-C1D0D9434C44}C:\games\house flipper 2\houseflipper2.exe] => (Block) C:\games\house flipper 2\houseflipper2.exe => Нет файла FirewallRules: [{98f46afb-c1d1-4bb7-80f9-c0405afbb4e2}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{1ff2a4b6-0128-4e58-adae-7d3c23738bb5}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{6e8545b3-53e8-42d7-9223-1eee01049bc1}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла FirewallRules: [{471836aa-0736-4c70-adf2-b5673aaec0a8}] => (Allow) C:\ProgramData\WinAIHService\WinAIHService.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Сделала, прикладываю архив. Addition.7z

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

хорошо,спасибо

Готово. quarantine.7z отправила, новые логи во вложении. CollectionLog-2025.07.13-23.38.zip

По возможности исправьте: NVIDIA App 11.0.4.159 v.11.0.4.159 Внимание! Скачать обновления Discord v.1.0.9198 Внимание! Скачать обновления Spotify v.1.2.67.560.g46a15f6b Внимание! Скачать обновления На этом закончим.

SecurityCheck.txt

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); TerminateProcessByName('c:\programdata\winaihservice\winaihservice.exe'); QuarantineFile('c:\programdata\winaihservice\winaihservice.exe',''); DeleteFile('c:\programdata\winaihservice\winaihservice.exe','32'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Win AIH Service','x64'); DeleteSchedulerTask('Microsoft\Office\Office Persistent Activation'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Доброго дня! Сложно сказать, когда система заразилась, но после внезапного отключения интернета (исключительно в браузерах) решила проверить систему через CureIt. После "лечения" и "удаления", и следующей перезагрузки трояны все равно на своих местах. Логи прикладываю и заранее спасибо за помощь! CollectionLog-2025.07.13-23.24.zip

да,спасибо. папка в темп перестала создаваться заново , сетап не запускается при каждой перезагрузке.

Проблема решена?

Fixlog.txt

ZJX заблокирован за нарушение пункта 1 правил форума.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (No File) HKU\S-1-5-21-353977208-2752175538-3857167896-1001\...\Run: [ut] => "C:\Users\giner\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED (No File) C:\Users\giner\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ojbkmjpffonabcfbjdfefgignlemhmla 2025-07-13 14:23 - 2025-07-13 14:23 - 000000509 _____ C:\Users\giner\setup.dat AlternateDataStreams: C:\Users\giner\Downloads\ChromeSetup.exe:MBAM.Zone.Identifier [384] AlternateDataStreams: C:\Users\giner\Downloads\cpu-z_2.16-en.exe:MBAM.Zone.Identifier [122] AlternateDataStreams: C:\Users\giner\Downloads\GPU-Z.2.66.0.exe:MBAM.Zone.Identifier [165] AlternateDataStreams: C:\Users\giner\Downloads\HitmanPro_x64.exe:MBAM.Zone.Identifier [138] AlternateDataStreams: C:\Users\giner\Downloads\hwi64_828.exe:MBAM.Zone.Identifier [159] AlternateDataStreams: C:\Users\giner\Downloads\memreduct-3.5.2-setup.exe:MBAM.Zone.Identifier [145] AlternateDataStreams: C:\Users\giner\Downloads\SpotifySetup.exe:MBAM.Zone.Identifier [115] AlternateDataStreams: C:\Users\giner\Downloads\tsetup-x64.5.16.3.exe:MBAM.Zone.Identifier [129] FirewallRules: [{97733558-C8C4-43D0-84FE-5428F4789BB3}] => (Allow) C:\Users\giner\AppData\Roaming\uTorrent\uTorrent.exe => No File FirewallRules: [{7DEFB9EE-91E2-48CA-9C6A-BEF9B32BF589}] => (Allow) C:\Users\giner\AppData\Roaming\uTorrent\uTorrent.exe => No File FirewallRules: [{33F0F999-5216-409C-9AD6-A236C29E1082}] => (Allow) C:\Users\giner\AppData\Roaming\utorrent\uTorrent.exe => No File FirewallRules: [{16250598-87E8-4283-A1A0-F2F4BA5BA448}] => (Allow) C:\Users\giner\AppData\Roaming\utorrent\uTorrent.exe => No File Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

тем более странно, что появление вируса происходит после запуска именно ее. Версия, которая без проблем должна работать на семерке безо всяких манипуляций с той программой, о которой шла речь с первого ответа. Еще кое-что почистим. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\":: WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99] WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate] CustomCLSID: HKU\S-1-5-21-132998593-215092634-831248143-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\DirectConnect2016 (64-bit)\bin\Aruba\Inventor Server\Bin\TestServer.dll => Нет файла CustomCLSID: HKU\S-1-5-21-132998593-215092634-831248143-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\DirectConnect2016 (64-bit)\bin\Aruba\Inventor Server\Bin\TestServer.dll => Нет файла CustomCLSID: HKU\S-1-5-21-132998593-215092634-831248143-1000_Classes\CLSID\{D45F043D-F17F-4e8a-8435-70971D9FA46D}\InprocServer32 -> D:\Blender 2.81\BlendThumb.dll => Нет файла CustomCLSID: HKU\S-1-5-21-132998593-215092634-831248143-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Common Files\Autodesk Shared\DirectConnect2016 (64-bit)\bin\Aruba\Inventor Server\Bin\TestServer.dll => Нет файла Toolbar: HKU\S-1-5-21-132998593-215092634-831248143-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} - Нет файла Toolbar: HKU\S-1-5-21-132998593-215092634-831248143-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} - Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

AdditionFRST.7z

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

CollectionLog-2025.07.14-00.41.zip

Дорогие друзья! Квест, как и предполагалось, оказался весьма сложным. К нашей радости многие участники успешно справились с заданием, с чем мы их от души поздравляем.🤗 Прошли квест без подсказок (45 баллов квеста) и должны были получить по 2 000 баллов следующие участники: @Sapfira, @D1mbl. За выдающиеся результаты прохождения без единой ошибки по согласованию с администрацией им будет начислено по 2 750 баллов.👍 @steppe_wolf и @sail0n набрали 44 балла квеста, поэтому получат по 1 800 баллов.🙃 За активность в попытках пройти квест, несмотря на все трудности, с результатом в 40 баллов квеста @jobe получает утешительный приз в 500 баллов.💥 Благодарим за активность!

Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\giner\AppData\Roaming\utorrent\UtorrentWeb.exe',''); DeleteFile('C:\Users\giner\AppData\Roaming\utorrent\UtorrentWeb.exe','64'); DeleteSchedulerTask('UpdateTorrent'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end. Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

скачал программу с торрента. после этого начали запускаться три процесса "setup", которые пытаются отправить файлы на левый сайт,нагружают компьютер. папка с этим процессом создается по пути Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC. CollectionLog-2025.07.13-21.57.zip