Перейти к содержанию

Активность

Лента обновляется автоматически

  1. Последний час
  2. За все время участия в викторинах впервые заметил повтор вопроса. Год назад в викторине, посвященной ДР компании, уже задавался вопрос про девиз празднования десятилетия.
  3. Он у Вас и так установлен. Скорее всего антивирус блокирует доступ к файлу, который нужно заархивировать.
  4. Очистку загрузила, а вот заархивировать не могу, похоже, Винрар нужно установить. Сделаю завтра Fixlog.txt
  5. Друзья! 🎓 Публикуем правильные ответы на все вопросы викторины.🌀 Благодарим за участие в викторине и поздравляем призёров!💗
  6. Сегодня
  7. После установки винды где то в начале года я поставил кмс авто для активации винды. Позже я начался пользоваться авторансом что бы убирать с автозапуска все ненужные мне программы. И я заметил во вкладке сервисах сервис гугла(я гуглом не пользуюсь, хромом тем более. онли майкрософт edge) фото я прикреплю. и дело в том что его отключаешь, а он обратно включается. я просто не замечал этого и каждый раз отключал его. Сейчас руки дошли и я все таки решил чекнуть что за файл. Он находится в ProgramData\Google\Chrome и там этот файл updater.exe. Я удалял файл, удалял эту папку, но через пару секунд она возвращалась. Закинул этот файл на вирустотал, а там 56 из 72 показатель. Я увидел там и надписи про майнеры, и трояны... Позже я нашел уже такое же обсуждение на эту же тему но она мне никак не помогла. Позже я полез в диспетчер задач и в монитор ресурсов и когда я удаляю папку то через пару секунд запускается powershell вместе с comhost. В общем и целом мне нужна ваша помощь удалить этот вирус. Все фотографии я прикрепил:
  8. По очистке системы в FRST Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m" CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m" [2025-06-25] [UpdateUrl:hxxps://clients65.google.com/service/update2/crx] <==== ВНИМАНИЕ CHR Extension: (Xfinder.pro) - C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem [2025-06-25] CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m" CHR DefaultSearchURL: System Profile -> hxxps://xfinder.pro/q?q={searchTerms} CHR DefaultSearchKeyword: System Profile -> xfinder.pro CHR DefaultSuggestURL: System Profile -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms} Profile\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe [2025-06-25] [UpdateUrl:hxxps://clients47.google.com/service/update2/crx] <==== ВНИМАНИЕ CHR Extension: (Xfinder.pro) - C:\Users\USKdmin\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms} YAN DefaultSearchKeyword: Default -> find-it.pro YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms} YAN Extension: (Find-it.Pro Search) - C:\Users\USKdmin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne 2025-07-01 12:14 - 2025-07-01 16:57 - 000000000 __SHD C:\ProgramData\PictureComposer-6215f525-19fd-407e-9248-c9dd3e91e43c 2025-07-01 12:14 - 2025-07-01 12:14 - 001214770 _____ C:\Windows\SysWOW64\crisp383.dat 2025-06-29 21:30 C:\Program Files\RDP Wrapper 2025-06-29 21:30 C:\Program Files (x86)\360 2025-06-29 21:30 C:\ProgramData\RDP Wrapper 2025-06-29 21:30 C:\ProgramData\ReaItekHD 2025-06-29 21:30 C:\ProgramData\Setup 2025-06-29 21:30 C:\ProgramData\Windows Tasks Service 2025-06-29 21:30 C:\ProgramData\WindowsTask Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении.
  9. Друзья, делюсь музыкальной составляющей на празднике: Тематика этого года - Дача. Вы можете подобрать праздничный костюм (толстовка и треники, например), чтоб максимально проникнуться корпоративным дачным духом
  10. Прикрепляю файлы, спасибо FRST.txt Addition.txt
  11. Судя по последнему образу, цепочку запуска майнера мы разрушили. детект вредоносной dll (CSAMSP.vDLL) https://www.virustotal.com/gui/file/68ae1ab1afd6763669df74f6a9e8c99380dce89d1bb8f59a8bc7c5db637cd8e6?nocache=1 ESET-NOD32 A Variant Of Win32/ShellcodeRunner.PI DrWeb Trojan.Loader.1907 Kaspersky Undetected Для контроля сделайте пожалуйста, логи FRST.
  12. Спасибо за помощь, уведомление от Антивируса не выскочило после перезагрузки. Прикрепляю файлы CollectionLog-2025.07.01-17.03.zip ZOO_2025-07-01_16-57-05.7z 2025-07-01_16-57-05_log.txt DESKTOP-JNC05F1_2025-07-01_17-09-12_v5.0.RC3.v x64.7z
  13. Выполните очистку системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE zoo %SystemRoot%\SYSWOW64\CSAMSP.DLL zoo %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\81CD665E\D1CB110983.MSI ;------------------------autoscript--------------------------- delref %SystemRoot%\SYSWOW64\CSAMSP.DLL del %SystemRoot%\SYSWOW64\CSAMSP.DLL delall %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\81CD665E\D1CB110983.MSI apply regt 27 deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\NPGOOGLEUPDATE3.DLL delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %Sys32%\DRIVERS\VMBUSR.SYS delref %Sys32%\DRIVERS\IALPSS2_SPI.SYS delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL delref %Sys32%\DRIVERS\IALPSS2_UART2_CNL.SYS delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\OFFICE16\MSO.DLL delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\126.0.6478.183\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\130.0.6723.92\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\USKDMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.2.2.836\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\126.0.2592.113\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.50\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION ;------------------------------------------------------------- restart czoo После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS Добавьте файл ZOO****.7z из папки с uVS в ваше сообщение + добавьте новые логи FRST для контроля
  14. Friend

    проблема на андроид

    Каким образом? Сделали полный сброс или нашли приложение которое выдавало подобное уведомление?
  15. Сейчас все ок. Эта задача интересовала Ждем скрипт очистки.
  16. Переделала, надеюсь получилось. я зашла заново в п.2, запустила под текущим пользователем, потом зашла в твики, нажала 39й, обновила список и сохранила образ DESKTOP-JNC05F1_2025-07-01_16-26-56_v5.0.RC3.v x64.7z
  17. Окончания сканирования Вы не дождались. При сканировании Другие области программа не зависает, как Вы подумали, а продолжает работу. 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ Edge HKLM-x32\...\Edge\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-05-13] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2024-10-08] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [143360 2025-06-14] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-06-14] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [181176 2025-06-14] (Microsoft Windows -> Корпорация Майкрософт) S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] File: C:\WINDOWS\MediumAqua.exe Folder: C:\Program Files\Microsoft Office\DOCRECRYPT C:\Users\sloda\AppData\Roaming\Microsoft\Word\Бейджиг%20-%20образец311890162146355716\Бейджиг%20-%20образец.docx.lnk Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-24H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр. Соберите новый комплект логов Farbar, сделав все, как положено.
  18. Сергей1202

    проблема на андроид

    вопрос решил сам, тему можно закрыть
  19. По образу: есть поток, внедренный в syswow64\svchost.exe Образ сейчас проверю, напишу скрипт очистки. Отслеживание процессов и задач не включено Написано: 3.1 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню uVS выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, (3.1 пропускаем) 4, 5, 6. Надо переделать образ, чтобы было включено отслеживание.
  1. Загрузить ещё активность
×
×
  • Создать...