Активность

За все время участия в викторинах впервые заметил повтор вопроса. Год назад в викторине, посвященной ДР компании, уже задавался вопрос про девиз празднования десятилетия.

Он у Вас и так установлен. Скорее всего антивирус блокирует доступ к файлу, который нужно заархивировать.

Очистку загрузила, а вот заархивировать не могу, похоже, Винрар нужно установить. Сделаю завтра Fixlog.txt

Addition.txt

С Днём Рождения!

Друзья! 🎓 Публикуем правильные ответы на все вопросы викторины.🌀 Благодарим за участие в викторине и поздравляем призёров!💗

Порядок оформления запроса о помощи

После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил:

Второй файл из логов FRST так же нужен. Addition.txt

По очистке системы в FRST Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m" CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m" [2025-06-25] [UpdateUrl:hxxps://clients65.google.com/service/update2/crx] <==== ВНИМАНИЕ CHR Extension: (Xfinder.pro) - C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2025-06-25] CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" CHR DefaultSearchURL: System Profile -> hxxps://xfinder.pro/q?q={searchTerms} CHR DefaultSearchKeyword: System Profile -> xfinder.pro CHR DefaultSuggestURL: System Profile -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms} Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2025-06-25] [UpdateUrl:hxxps://clients47.google.com/service/update2/crx] <==== ВНИМАНИЕ CHR Extension: (Xfinder.pro) - C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms} YAN DefaultSearchKeyword: Default -> find-it.pro YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms} YAN Extension: (Find-it.Pro Search) - C:\Users\USKdmin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne 2025-07-01 12:14 - 2025-07-01 16:57 - 000000000 __SHD C:\ProgramData\PictureComposer-6215f525-19fd-407e-9248-c9dd3e91e43c 2025-07-01 12:14 - 2025-07-01 12:14 - 001214770 _____ C:\Windows\SysWOW64\crisp383.dat 2025-06-29 21:30 C:\Program Files\RDP Wrapper 2025-06-29 21:30 C:\Program Files (x86)\360 2025-06-29 21:30 C:\ProgramData\RDP Wrapper 2025-06-29 21:30 C:\ProgramData\ReaItekHD 2025-06-29 21:30 C:\ProgramData\Setup 2025-06-29 21:30 C:\ProgramData\Windows Tasks Service 2025-06-29 21:30 C:\ProgramData\WindowsTask Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.

Готово ZOO_2025-07-01_19-45-43.7z FRST.txt

Друзья, делюсь музыкальной составляющей на празднике: Тематика этого года - Дача. Вы можете подобрать праздничный костюм (толстовка и треники, например), чтоб максимально проникнуться корпоративным дачным духом

Поздравляю!

Прикрепляю файлы, спасибо FRST.txt Addition.txt

Проверьте по ссылке

а как их делать?

Судя по последнему образу, цепочку запуска майнера мы разрушили. детект вредоносной dll (CSAMSP.vDLL) https://www.virustotal.com/gui/file/68ae1ab1afd6763669df74f6a9e8c99380dce89d1bb8f59a8bc7c5db637cd8e6?nocache=1 ESET-NOD32 A Variant Of Win32/ShellcodeRunner.PI DrWeb Trojan.Loader.1907 Kaspersky Undetected Для контроля сделайте пожалуйста, логи FRST.

Спасибо за помощь, уведомление от Антивируса не выскочило после перезагрузки. Прикрепляю файлы CollectionLog-2025.07.01-17.03.zip ZOO_2025-07-01_16-57-05.7z 2025-07-01_16-57-05_log.txt DESKTOP-JNC05F1_2025-07-01_17-09-12_v5.0.RC3.v x64.7z

Выполните очистку системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemRoot%\SYSWOW64\CSAMSP.DLL zoo %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\81CD665E\D1CB110983.MSI ;------------------------autoscript--------------------------- delref %SystemRoot%\SYSWOW64\CSAMSP.DLL del %SystemRoot%\SYSWOW64\CSAMSP.DLL delall %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\81CD665E\D1CB110983.MSI apply regt 27 deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\NPGOOGLEUPDATE3.DLL delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\IALPSS2_SPI.SYS delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL delref %Sys32%\DRIVERS\IALPSS2_UART2_CNL.SYS delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.113\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION ;------------------------------------------------------------- restart czoo После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Добавьте файл ZOO****.7z из папки с uVS в ваше сообщение + добавьте новые логи FRST для контроля

Каким образом? Сделали полный сброс или нашли приложение которое выдавало подобное уведомление?

Сейчас все ок. Эта задача интересовала Ждем скрипт очистки.

Переделала, надеюсь получилось. я зашла заново в п.2, запустила под текущим пользователем, потом зашла в твики, нажала 39й, обновила список и сохранила образ DESKTOP-JNC05F1_2025-07-01_16-26-56_v5.0.RC3.v x64.7z

Окончания сканирования Вы не дождались. При сканировании Другие области программа не зависает, как Вы подумали, а продолжает работу. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-05-13] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2024-10-08] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [143360 2025-06-14] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-06-14] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [181176 2025-06-14] (Microsoft Windows -> Корпорация Майкрософт) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] File: C:\WINDOWS\MediumAqua.exe Folder: C:\Program Files\Microsoft Office\DOCRECRYPT C:\Users\sloda\AppData\Roaming\Microsoft\Word\Бейджиг%20-%20образец311890162146355716\Бейджиг%20-%20образец.docx.lnk Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр. Соберите новый комплект логов Farbar, сделав все, как положено.

вопрос решил сам, тему можно закрыть

По образу: есть поток, внедренный в syswow64\svchost.exe Образ сейчас проверю, напишу скрипт очистки. Отслеживание процессов и задач не включено Написано: 3.1 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню uVS выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6. Надо переделать образ, чтобы было включено отслеживание.