Активность

2025-09-21_19-02-20_log.txt FRST.txt Addition.txt

По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c OFFSGNSAVE setdns ПОДКЛЮЧЕНИЕ ПО ЛОКАЛЬНОЙ СЕТИ\4\{BB0DAFD0-243A-49AD-90F9-652558380FDC}\8.8.8.8,8.8.4.4 ;------------------------autoscript--------------------------- delref WDE:\.EXE delref %SystemDrive%\PROGRAMDATA delref %Sys32%\CONFIG\SYSTEMPROFILE delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\24.1.3.809\SERVICE_UPDATE.EXE delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE delref %SystemDrive%\PROGRAM FILES\MICROSOFT ONEDRIVE\25.015.0126.0002\ONEDRIVELAUNCHER.EXE delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY ANTI-VIRUS 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\140.0.7339.128\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\YANDEX/BOOK_READER\BOOKREADER delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\PROGRAM FILES\YANDEX\YANDEXBROWSER\APPLICATION\24.1.3.809\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS ;------------------------------------------------------------- restart regt 40 После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля

Если защитник сам не отключается при установке стороннего антивируса, то что-то не то с системой.

Посмотрите эту статью https://support.kaspersky.ru/common/windows/13341 или эту https://www.comss.ru/page.php?id=2698

DESKTOP-DNAP0UE_2025-09-21_16-38-51_v5.0.1v x64.7z

Доброе утро! FRST.zip

Скриншот.

Подробнее опишу так : 1) Качаешь с кабинета Касперского 2) Windows 10 последняя билд 3) Microsoft Windows Defender не трогаем , включено все по умолчанию 4) Установливаем и качаем Касперского и процесс активации 5) Конфигурация AMSI которая связян с антивирусной сканером - по умолчанию не трогаем 6) Качаем любой вирус - полно в интернете 7) Архивируем вирусы где нибудь 8 . Запустить сканером или реальной времени - открываешь папку с вирусом , сразу же появляется Детекты от Microsoft в уведомлении что сканер обнаружено сторонным антивирусом , а не самом Касперского Premium . В этом причина .

В каком? Скриншот покахите.

При обнаружении угроз , в таком сканировании - выдается уведомление . По этому не отключается по умолчанию - Win10 .

Как вы это понимаетет?

Меня просто бесит эта Windows Defender и пытаюсь отключить AMSI , Я несколько раз пробовал и мешает - обнаружение в два в одном , какой смысл это? При установке Microsoft Defender не отключается .

Windows Defender отключается при установке Касперского и ничем ему не мешает. AMSI тоже не надо отключать. Касперский умеет его использовать. https://support.kaspersky.ru/help/Kaspersky/Win21.22/ru-RU/185854.htm

Каким образом? При установке Kaspersky проверка Microsoft Defender отключается. Главное окно KPremium > Слева внизу кнопка настроек > Настройки Безопасности > AMSI-защита.

Как вообще снести сторонный антивирус Windows Defender ? Эта мешает функционировать антивирусу Kaspersky , а еще как понять и оключить AMSI? Сторонный сканер , чтобы не мешали во время проверки .

С Днём Рождения!

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: SystemRestore: On CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ Task: {d9e72a18-0250-42e4-b6e3-87c84971d16a} - отсутствует путь к файлу. <==== ВНИМАНИЕ Task: {6275CFBE-A460-4C85-B343-A265BB210CB5} - System32\Tasks\Meta\Messenger-WSP-Helper-S-1-5-21-3232060545-993575694-1912932013-1001 => MessengerHelper.exe --lassie (Нет файла) Task: {077BA067-7C15-40F0-B22E-C9DC2A54B4A2} - System32\Tasks\Microsoft\Windows\Location\Notifications => %windir%\System32\LocationNotificationWindows.exe (Нет файла) Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe (Нет файла) C:\Users\dflbv\AppData\Local\Microsoft\Edge\User Data\Profile 2\Extensions\mkmmbdcjmkngacdcmmjdfeapfmbncpfk C:\Users\dflbv\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\mkmmbdcjmkngacdcmmjdfeapfmbncpfk C:\Users\dflbv\AppData\Local\Microsoft\Edge\User Data\Profile 1\Extensions\gandigjpilmchbomlpmfogigbjapofnc 2023-11-28 21:21 - 2024-01-14 18:51 - 000000004 ____H () C:\ProgramData\rc.dat 2023-11-28 21:20 - 2023-11-28 21:20 - 000000064 ____H () C:\ProgramData\resource.dat 2023-11-28 21:20 - 2023-11-28 21:20 - 000000008 ____H () C:\ProgramData\ts.dat CustomCLSID: HKU\S-1-5-21-3232060545-993575694-1912932013-1001_Classes\CLSID\{8D422533-936A-4A82-B15C-BD5319AB0026}\InprocServer32 -> C:\Users\dflbv\AppData\Local\Google\Update\1.3.36.332\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-3232060545-993575694-1912932013-1001_Classes\CLSID\{AE9899FA-E21F-4D91-BD1F-59BC10E56CA1}\InprocServer32 -> C:\Users\dflbv\AppData\Local\Google\Update\1.3.36.292\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-3232060545-993575694-1912932013-1001_Classes\CLSID\{E4949BE6-C9FF-4AFA-8672-6127D857418B}\InprocServer32 -> C:\Users\dflbv\AppData\Local\Google\Update\1.3.36.312\psuser_64.dll => Нет файла CustomCLSID: HKU\S-1-5-21-3232060545-993575694-1912932013-1001_Classes\CLSID\{ED0BC9DB-3CE6-49E5-9B2F-590DCEF8C016}\InprocServer32 -> C:\Users\dflbv\AppData\Local\Google\Update\1.3.36.342\psuser_64.dll => Нет файла ContextMenuHandlers1: [ FileSyncEx] -> {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B} => C:\Program Files\Microsoft OneDrive\23.199.0924.0001\FileSyncShell64.dll [2023-10-15] (Microsoft Corporation -> Microsoft Corporation) ContextMenuHandlers2: [DaemonShellExtDriveLite] -> [CC]{C06369D6-E77D-4626-9656-1256312BD576} => -> Нет файла ContextMenuHandlers2: [UltraISO] -> {AD392E40-428C-459F-961E-9B147782D099} => C:\Program Files (x86)\UltraISO\isoshl64.dll [2020-07-13] (SHENZHEN YIBO DIGITAL SYSTEMS DEVELOPMENT CO. LTD. -> EZB Systems, Inc.) ContextMenuHandlers3: [DaemonShellExtImageLite] -> [CC]{1D1B5D7B-0FC9-452E-902C-12BACD4FBC20} => -> Нет файла StartPowershell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\Users\dflbv\AppData\Local\Temp\dControl.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe" Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe" Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper" Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe" Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile" EndPowerShell: FirewallRules: [UDP Query User{BF9A2B72-E49E-4E44-BCDE-553F4D0E0071}C:\users\dflbv\appdata\local\temp\scoped_dir12844_349457136\anydesk.exe] => (Allow) C:\users\dflbv\appdata\local\temp\scoped_dir12844_349457136\anydesk.exe => Нет файла FirewallRules: [TCP Query User{8E42A9DD-05DD-428D-AF39-8651D44021FF}C:\users\dflbv\appdata\local\temp\scoped_dir12844_349457136\anydesk.exe] => (Allow) C:\users\dflbv\appdata\local\temp\scoped_dir12844_349457136\anydesk.exe => Нет файла FirewallRules: [UDP Query User{76B0AAF1-24AF-47BE-BF7A-9F7492E377AA}C:\games\command and conquer - red alert 3\data\ra3_1.12.game] => (Allow) C:\games\command and conquer - red alert 3\data\ra3_1.12.game => Нет файла FirewallRules: [TCP Query User{D651F09C-97ED-4DFE-8147-C42A5BDB9F51}C:\games\command and conquer - red alert 3\data\ra3_1.12.game] => (Allow) C:\games\command and conquer - red alert 3\data\ra3_1.12.game => Нет файла FirewallRules: [UDP Query User{20F7F5D1-669C-459F-90DF-68A4FB414389}C:\program files\image-line\fl studio 20\fl64.exe] => (Allow) C:\program files\image-line\fl studio 20\fl64.exe => Нет файла FirewallRules: [TCP Query User{7656BC50-E2C1-492D-B736-720D62D3870B}C:\program files\image-line\fl studio 20\fl64.exe] => (Allow) C:\program files\image-line\fl studio 20\fl64.exe => Нет файла FirewallRules: [UDP Query User{CC564599-85EB-4AB0-AFAE-3CFB26EE0F73}C:\program files\image-line\fl studio 20\system\tools\bridge\64bit\ilbridge.exe] => (Allow) C:\program files\image-line\fl studio 20\system\tools\bridge\64bit\ilbridge.exe => Нет файла FirewallRules: [TCP Query User{F2720C5C-BFF8-4C39-88E1-69DB4E08A1F9}C:\program files\image-line\fl studio 20\system\tools\bridge\64bit\ilbridge.exe] => (Allow) C:\program files\image-line\fl studio 20\system\tools\bridge\64bit\ilbridge.exe => Нет файла FirewallRules: [TCP Query User{512CD3E2-803C-4FB7-83EA-9EC12BB17C91}C:\users\dflbv\appdata\local\google\chrome\application\chrome.exe] => (Allow) C:\users\dflbv\appdata\local\google\chrome\application\chrome.exe => Нет файла FirewallRules: [UDP Query User{3C56E2F9-15BF-4F7D-9B10-8423A23A416D}C:\users\dflbv\appdata\local\google\chrome\application\chrome.exe] => (Allow) C:\users\dflbv\appdata\local\google\chrome\application\chrome.exe => Нет файла FirewallRules: [TCP Query User{A97FBB04-F3A3-4C8B-9A55-27DE0A3AF28C}C:\program files\image-line\fl studio 20\fl64.exe] => (Allow) C:\program files\image-line\fl studio 20\fl64.exe => Нет файла FirewallRules: [UDP Query User{68B59449-D3A4-4D6B-AC98-0C9ABE5953F3}C:\program files\image-line\fl studio 20\fl64.exe] => (Allow) C:\program files\image-line\fl studio 20\fl64.exe => Нет файла FirewallRules: [{BCE0A7A4-A7B6-4D7D-8CFA-1D6B676EA143}] => (Allow) C:\Users\dflbv\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла FirewallRules: [{4F2ED185-716B-495F-AC35-BA224291010D}] => (Allow) C:\Users\dflbv\AppData\Local\Temp\EpInsNav\DL\3013\Network\EpsonNetSetup\Data\ENEasyApp.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе. Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;Прикрепите этот файл в своем следующем сообщении.

Kaspersky Club | Клуб «Лаборатории Касперского» поздравляет всех празднующих сегодня день рождения юзеров. Sim (33)SPIgor (47)Olga Yashutina (42)ninzya --Макc89035218111 (37)Александр Комаров (35)

По очистке системы: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\...\Run: [browser.exe] => C:\Users\admin\AppData\Local\HowToRestoreFiles.txt [4062 2025-09-17] () [Файл не подписан] HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\...\Policies\system: [legalnoticetext] All your files have been stolen! You still have the original files, but they have been encrypted. GroupPolicy: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ Task: {0C3830BD-FDBF-4005-A5B0-B75BBDF1D100} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ CHR HKU\S-1-5-21-2818620433-374405529-3521301990-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh] CHR HKU\S-1-5-21-2818620433-374405529-3521301990-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] CHR HKU\S-1-5-21-2818620433-374405529-3521301990-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjmpfdkmpojoeemjmfiddlhkkndcdpno] CHR HKU\S-1-5-21-2818620433-374405529-3521301990-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbefkdcndngodfeigfdgiodgnmbgcfha] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] CHR HKLM-x32\...\Chrome\Extension: [gjaojbkkfpedgefidkagjeibcbfnakke] - hxxps://fastproxy.app/service/update2/crx?partner=02 CHR HKLM-x32\...\Chrome\Extension: [glcimepnljoholdmjchkloafkggfoijh] CHR HKLM-x32\...\Chrome\Extension: [iifchhfnnmpdbibifmljnfjhpififfog] CHR HKLM-x32\...\Chrome\Extension: [pbcgcpeifkdjijdjambaakmhhpkfgoec] 2025-09-17 12:29 - 2025-09-17 12:29 - 000000000 ____D C:\temp 2025-09-17 12:29 - 2024-09-19 04:29 - 000000000 __SHD C:\Users\admin\AppData\Local\3F24CCE5-EADD-79FD-541C-45594CF2EC25 Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Папку C:\FRST\Quarantine заархивируйте с паролем virus, архив загрузите на облачный диск и дайте ссылку на скачивание в вашем сообщении. + Если сохранилось письмо от злоумышленников с архивным вложением, сохраните сообщение в файл в формате EML. заархивируйте файл с паролем virus, добавьте в ваше сообщение.

С Днём Рождения!

С Днём Рождения!

И кажется, к сожалению, его не планируют ремонтировать

Работает под учеткой .\KL-AK-* Что значит сервер в иерархии? В AD он есть в ветках серверов.