Приветствую, словил майнер по названием: tool.btcmine.2782

[Антон321]

Приветствую, словил майнер по названием: tool.btcmine.2782, уже всем подрят пытался удалить и никак не выходит, касперский вообще не запускаеться, WEb находит говорит что удалил но через 2 минуты снова вылазит!! Помогите

CollectionLog-2025.03.24-17.26.zip

Изменено 24 марта пользователем Антон321

[safety]

Добавьте основные логи, согласно правилам

«Порядок оформления запроса о помощи».

+

 

Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

[Антон321]

6 минут назад, safety сказал:

Добавьте основные логи, согласно правилам

«Порядок оформления запроса о помощи».

+

 

Создайте в uVS дополнительно образ автозапуска с отслеживанием процессов и задач.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

не переходит! не открывает зерколо!

 

[safety]

зеркало рабочее.

не цитируйте больше, пожалуйста, просто пишите ваш ответ.

отсюда еще проверьте.

Изменено 24 марта пользователем safety

[Антон321]

Вроде смог

 

DESKTOP-BO1D3TG_2025-03-24_17-42-31_v4.99.10v x64.7z DESKTOP-BO1D3TG_2025-03-24_17-47-40_v4.99.10v x64.7z

[safety]

Выполните очистку системы

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу c перезагрузкой системы.

;uVS v4.99.10v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide %SystemDrive%\USERS\HOME\DESKTOP\AUTOLOGGER\RSIT\RSITX64.EXE
;------------------------autoscript---------------------------

delref WDE:\.EXE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\360EXTREMEBROWSER.EXE
delref HTTPS://CAT-LGC.LSTPROD.NET
delref %SystemDrive%\PROGRAMDATA
delref %SystemDrive%\USERS\PUBLIC
delref %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY\QHSAFEMAIN.EXE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\360EXTREMEBROWSER\CHROME\APPLICATION\22.3.5080.64\INSTALLER\SETUP.EXE
zoo %SystemDrive%\PROGRAMDATA\OVERWOLFRVY\REGISTRYAC.EXE
addsgn BA6F9BB2BD9149720B9C2D754C2160FBDA75303A4536D3B4490FA3DA5FC9F54C2317C35776D67159670990BB0A9F15DE7592DBA91957E408353B8FFF8A0960A0 15 Generik.MQIKGBW 7

zoo %SystemDrive%\USERS\PUBLIC\LIBRARIES\ELECTRONIC ARTSTIJ\WININITAP.EXE
zoo %SystemDrive%\PROGRAM FILES\EQUALIZERAPO\CONFIG\PEACE.EXE
addsgn 1A24A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A5558A86BE75BB59416982846BF61301E7202725D807155DABF96088BE563C7075174 8 Win32/CoinMiner.CFA [ESET-NOD32] 7

chklst
delvir

apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINERTELEMETRYAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\SYNAPSE3\SERVICE\..\USERPROCESS\RAZER SYNAPSE SERVICE PROCESS.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref %SystemDrive%\MSI\MSI CENTER\SETUP\SYSTEM DIAGNOSIS_1.0.0.29.EXE
delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\K7 COMPUTING\K7TSECURITY\K7SR\K7WEBPROTECTION.XPI
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref {2962565E-CA75-4BF1-B282-AE912144D3DA}\[CLSID]
delref {05E95079-6931-45C1-AC05-4CC75DB1A236}\[CLSID]
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref %Sys32%\MSPAINT.EXE
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\IDLISTEN.DLL
delref %Sys32%\WINJSON.DLL
delref %Sys32%\SETTINGSYNC.DLL
delref %Sys32%\PACKAGESTATEROAMING.DLL
delref %Sys32%\CELLULARAPI.DLL
delref %Sys32%\NETWORKSTATUS.DLL
delref %Sys32%\DRIVERS\RFXVMT.SYS
delref %Sys32%\SETTINGSYNCCORE.DLL
delref %Sys32%\PERFCTRS.DLL
delref %Sys32%\NETCELLCORECELLMANAGERPROVIDERRESOURCES.DLL
delref %Sys32%\AZURESETTINGSYNCPROVIDER.DLL
delref %Sys32%\LISTSVC.DLL
delref %Sys32%\DRIVERS\WCNFS.SYS
delref %Sys32%\PERFTRACK.DLL
delref %Sys32%\PROVSVC.DLL
delref %Sys32%\ONEDRIVESETTINGSYNCPROVIDER.DLL
delref %Sys32%\DRIVERS\CDD.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\AUTODESK SHARED\NETWORK LICENSE MANAGER\LMGRD.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\119.0.6045.124\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\119.0.6045.124\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\119.0.6045.124\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\131.0.6778.205\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\119.0.2151.58\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\119.0.2151.58\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.72\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\K7 COMPUTING\K7TSECURITY\K7TSECURITY.EXE
;-------------------------------------------------------------
REGT 35
restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

Добавьте логи FRST для контроля очистки.

Изменено 24 марта пользователем safety

[Антон321]

2025-03-24_18-38-26_log.txt

не запускает FRST, выдаёт ошибку     Х много нулей 17

[safety]

в HJ пофиксите эти строки:

 

O26 - Debugger (Stack Rumbling): HKLM\..\a2service.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\acnamagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\acnamlogonagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AnVir.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\anvir64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\anvirlauncher.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\aswidsagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AvastSvc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AvastUI.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AvastUI.p.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avgnt.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avgsvc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avguard.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\AVKService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avp.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avpui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bdagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bdservicehost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\BullGuardSvc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ccSvcHst.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\clientcommunicationservice.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\cmdagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\CybereasonRansomFreeService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\DeepInstinctService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\dism.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\dwservice.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\egui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ekrn.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\EPConsole.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\FRST64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\F-Secure.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GDataAVK.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GlassWire.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GlassWireSetup.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\HeimdalClientHost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\kldw.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\klwtblfs.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\KVRT.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mbamagent.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mbamservice.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mbamtray.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mcshield.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mfeesp.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mfetp.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mmc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\n360.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\nortonsecurity.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ntrtscan.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\OpenHardwareMonitor.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\panda_url_filtering.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\pavfnsvr.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\pavsrv.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\pccntmon.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PSANHost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PSUAService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SAVAdminService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SAVService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SBAMSvc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SecureAPlus.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\shstat.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\Smc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophosav.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophosclean.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophoshealth.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophossps.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\sophosui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\TMASOAgent.exe.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\TrustwaveService.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\V3Svc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\VirusTotalUpload.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\vsserv.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\WRSA.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\wuapihost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\wuauclt.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ZAPrivacyService.exe: [MinimumStackCommitInBytes] = 0x41888887

и еще раз пробуйте сделать логи FRST

Изменено 24 марта пользователем safety

[Антон321]

Addition.txt FRST.txt

[safety]

По очистке в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

 

Start::
IFEO\a2service.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avp.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\avpui.exe: [MinimumStackCommitInBytes] 1099466887
IFEO\kldw.exe: [MinimumStackCommitInBytes] 1099466887
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Напишите, что с проблемой в работе системы на текущий момент.

[Антон321]

За последние 1,5 часа как начали с вами , не наблюдал активности вируса

 

Fixlog.txt

[safety]

Хорошо, сделайте, пожалуйста, новые логи с помощью Автологера.

 

Цитата

2. Скачайте актуальную версию автоматического сборщика логов, необходимого для анализа ОС и распакуйте полученный архив в любую удобную для Вас папку. Обязательно выгрузите защитное ПО (антивирус, фаерволл, брандмауэр) во избежание конфликтов при работе утилит автоматического сборщика логов, т.к. иначе возможно значительное снижение производительности ОС, её зависание и/или отказ (появление BSOD, т. е. синего экрана смерти). Запустите файл AutoLogger.exe и следуйте выводимым рекомендациям. Дождитесь окончания работы автоматического сборщика логов. В папке AutoLogger, расположенной там же, куда Вы ранее распаковали архив, будет находиться zip-архив с собранными логами - CollectionLog-yyyy.mm.dd-hh.mm.zip, где yyyy.mm.dd-hh.mm - дата и время запуска сканирования. Например: CollectionLog-2014.07.14-21.04.zip. Если у вас возникнут вопросы/проблемы связанные с AutoLogger-ом, то прочитайте FAQ.

При недоступности Safezone.сс используйте зеркало для скачивания автоматического сборщика логов. (Второе зеркало временно)

 

[Антон321]

CollectionLog-2025.03.24-19.36.zip

[safety]

Пробуйте эти строки пофикстить в HJ

 

O26 - Debugger (Stack Rumbling): HKLM\..\avp.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\avpui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\kldw.exe: [MinimumStackCommitInBytes] = 0x41888887

 

Если будут ошибки при очистке, эти же строки пробуйте фиксить в HJ из безопасного режима системы.

[Антон321]

Выдаёт выполнено, нажимаешь сканировать и они опять есть! В безопасном идти  пробовать?