"ошибка 0xc0000017", скорее всего вирус-майнер

[Taker1993]

Добрый день. Борюсь с этим майнером уже приличное время, пробовал разные антивирусы и думал что он пропал, так как используя несколько разных антивирусов от основной части майнера я вроде избавился, но заметил ещё тогда что много ошибок в системе 0xc0000017 при исполнении команд dism в командной строке (которую я вчера исправил), при обновлении всех компонентов windows и т.п. (пробовал откатывать удаляя по гайдам папку с апдейтами используя утилиты для активации обнов - но безрезультатно), также есть ошибка с безопасностью, в начале была проблема с целостностью ядра и я удалил два мешающих файла исправив проблему, но ошибка с этим так до конца и  не решилась и он пишет про отсутствие TPM - а конкретно NET HELPMSG 2182 Problem with BITS; также есть проблема с невозможностью запуска диспетчера устройств и других подобных окон и некоторых команд в комбинации Win+R. Почему я думал, что избавился от майнера полностью: грузить систему перестало на постоянке и сильных нагрузок не было, а с остальным думал уже ничего не сделаешь и нужно переустанавливать Windows, оставил на потом, так как есть немало сторонних лицензионных программ,, которые шли вместе с ноутбуком и я боялся к ним потерять доступ, ну и так как не было точек восстановления и если даже они были я не могу к ним получить доступ, а оказывается всё-таки нет майнер на месте.

Несколько месяцев спустя заметил, а конкретно вчера: что изменилась возможность администрирования и я не могу получить доступ к системным файлам, не мог удалить, изменять, переименовывать файлы которые вызывали нарушение целостности ядра (xusb21.sys и STTub30.sys), но по итогу через стороннюю утилиту я их удалил (один из них STTub30.sys я потом воcстановил найдя на github). Вернул также сегодня в ночь через реестр доступ к DISM и сделал успешный запуск и восстановление по команде Dism /Online /Cleanup-Image /RestoreHealth, а SFC и прежде работала, но это ничего не поменяло; вообще все последние именно операции делал по одному гайду и там после восстановления DISM советовали воспользоваться Farbar Recovery Scan Tool 64-бит, но наткнулся поздновато и это не помогло, так как нужен составленный fixlist.txt, да и Fabar раз 6 выдал ошибку при сканировании bcdedit.exe (в процессе написания текста сделал повторное сканирование c Fabar и ошибок было уже штуки 3-4 bcdedit.exe, а результаты этого сканирования прикрепил в качестве файлов Addition.txt и FRST.txt вдруг пригодятся).

Сегодня заметил, что даже с включённым лицензионным Касперычем майнер снова поменял и ограничил что-то там в брандмауэре Windows - было уведомление (понимаю, что он уже давно в исключениях, но всё же). Ни Kaspersky Virus Removal Tool, ни Dr.Web Cruelt! ни нашли ничего, вероятно майнер добавил их уже в исключения, так как при удалении основных компонентов майнера я уже пользовался ими раньше, но до этого я пользовался AV block Remover и он удалял майнер, но спустя время он появляется снова. 

Был бы очень рад если бы получилось решить данную проблему, Windows лицензионный шедший вместе с ноутом переустанавливать всё же не хочется и я не уверен что и там не будет ошибок в процессе.

Заранее всем откликвнушимся большое спасибо и с пасхой!

CollectionLog-2025.04.20-14.19.zip Addition.txt FRST.txt

[safety]

Пофиксите эти строки в HJ

 

O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GlassWire.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GlassWireSetup.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mmc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\MRT.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\wuapihost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\wuauclt.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887

+

Создайте дополнительно образ автозапуска в uVS:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.
2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

[Taker1993]

6 минут назад, safety сказал:

Пофиксите эти строки в HJ

 

O26 - Debugger (Stack Rumbling): HKLM\..\autoruns.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\autorunsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\bcdedit.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GlassWire.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\GlassWireSetup.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\MediaCreationTool22H2.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mmc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\MRT.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\mstsc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\PowerTool64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\ReAgentc.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\recoverydrive.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\rstrui.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\systemreset.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\SystemSettingsAdminFlows.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\tcpview64.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\vssadmin.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\Wireshark.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\wuapihost.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\wuauclt.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x32dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\x64dbg.exe: [MinimumStackCommitInBytes] = 0x41888887
O26 - Debugger (Stack Rumbling): HKLM\..\xcopy.exe: [MinimumStackCommitInBytes] = 0x41888887

 

Я не понял как именно это сделать, но файл образа с автозапуском сделал - вот прикрепляю

MSI93_2025-04-20_17-29-31_v4.99.12v x64.7z

[safety]

Выполните очистку системы в uVS

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v4.99.12v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
hide D:\DAWNLOADS\AUTOLOGGER\AUTOLOGGER\RSIT\RSITX64.EXE
regt 35
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC
apply


deltmp
delref %SystemRoot%\SYSWOW64\PRINTDISP.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAMDATA\MSI\DRAGON
delref %SystemDrive%\PROGRAM FILES (X86)\F-SECURE\FREEDOME\FHELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\INTEL\INTEL(R) UPDATE MANAGER\BIN\IUMSVC.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\MBAEPARSERTASK.EXE
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVESTANDALONEUPDATER.EXE
delref %Sys32%\DATAUSAGELIVETILETASK.EXE
delref %SystemDrive%\PROGRAM
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\MEGASYNC\SHELLEXTX64.DLL
delref {967B2D40-8B7D-4127-9049-61EA0C2C6DCE}\[CLSID]
delref {C885AA15-1764-4293-B82A-0586ADD46B35}\[CLSID]
delref %Sys32%\MSPAINT.EXE
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\IDLISTEN.DLL
delref %Sys32%\WINJSON.DLL
delref %Sys32%\SETTINGSYNC.DLL
delref %Sys32%\PACKAGESTATEROAMING.DLL
delref %Sys32%\DRIVERS\IALPSS2_GPIO2_CNL.SYS
delref %Sys32%\CELLULARAPI.DLL
delref %Sys32%\NETWORKSTATUS.DLL
delref %Sys32%\DRIVERS\RFXVMT.SYS
delref %Sys32%\SETTINGSYNCCORE.DLL
delref %Sys32%\PERFCTRS.DLL
delref %Sys32%\NETCELLCORECELLMANAGERPROVIDERRESOURCES.DLL
delref %Sys32%\AZURESETTINGSYNCPROVIDER.DLL
delref %Sys32%\CLOUDSTORAGEWIZARD.EXE
delref %Sys32%\LISTSVC.DLL
delref %Sys32%\DRIVERS\WCNFS.SYS
delref %Sys32%\PERFTRACK.DLL
delref %Sys32%\DRIVERS\IALPSS2_I2C_CNL.SYS
delref %Sys32%\PROVSVC.DLL
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\DAL.INF_AMD64_FFC75848A6342FDF\JHI_SERVICE.EXE
delref %Sys32%\ONEDRIVESETTINGSYNCPROVIDER.DLL
delref %Sys32%\SMSROUTER.DLL
delref %SystemDrive%\PROGRAMDATA\DIRECTX\GRAPHICS\DIRECTXUTIL.EXE
delref %Sys32%\TASKS\DIRECTXUTILTASK
delref %SystemDrive%\USERS\PUBLIC\LIBRARIES\DIRECTX\DXCACHE\DDXDIAG.EXE
delref %Sys32%\TASKS\WINAMDTWEAK
delref PDISHELLEXT EXTENSION\[CLSID]
delref {C568C78A-652C-425B-8E6B-FFA73043302D}\[CLSID]
delref {2A6FE247-5DA3-4732-9626-77820518FD77}\[CLSID]
delref {FF895810-293B-464A-93F2-82D11E07EEC8}\[CLSID]
delref %Sys32%\DRIVERS\BNTAP.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\WINPCAP\RPCAPD.INI
delref %Sys32%\DRIVERS\WINSETUPMON.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.93\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.93\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.93\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.93\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\90.0.4430.93\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.89\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.0.1343\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.0.1343\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.0.1343\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.0.1343\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.0.1343\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\19.9.0.1343\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\96.0.1054.62\RESOURCES\EDGE_SHARE\EDGE SHARE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.55\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\85.0.564.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.37\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.51\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref F:\CMADOWNLOADER.EXE
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.723\NPAPIKD.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.645\KDAXAPI-3.0.27.645.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.541\KDAXAPI-3.0.27.541.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.611\KDAXAPI-3.0.27.611.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.691\KDAXAPI-3.0.27.691.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.623\KDAXAPI-3.0.27.623.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.589\KDAXAPI-3.0.27.589.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.759\KDAXAPI-3.0.27.759.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.737\KDAXAPI-3.0.27.737.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.773\KDAXAPI-3.0.27.773.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.723\KDAXAPI-3.0.27.723.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.659\KDAXAPI-3.0.27.659.DLL
delref %SystemDrive%\USERS\ТАХИР\APPDATA\LOCAL\WHATSAPP\WHATSAPP.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено вчера в 12:54 пользователем safety

[Taker1993]

В HJ я исправил строки, сейчас сделаю то, что вы написали выше, спасибо

[safety]

хорошо, жду отчет о выполнении скрипта дата_времяlog.txt+ новые логи FRST.

Изменено вчера в 13:07 пользователем safety

[Taker1993]

Вроде сделал всё как вы написали, ошибок при сканировании не было в этот через FRST (на свякий случай скачал новый по вашей ссылке)

2025-04-20_18-10-47_log.txt Addition.txt FRST.txt

Изменено вчера в 13:23 пользователем Taker1993

[Taker1993]

А я выключал Касперский при сканировании в процессе написания обращения на форум и все его компоненты защиты и не включил заново, надо ли мне его включить или оставить пока как есть?

[safety]

Можно включить защиту Касперского. Логи сейчас проверю.

[safety]

По очистке системы в FRST:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {01f7dac6-a358-476e-a451-6e08d7b13a45} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {09e36669-9198-4a9e-ae26-710e421eb059} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {181b22db-d5ab-4e1c-899d-98df2b96a7e8} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {18a8638e-8ead-4b3d-bdbc-64cc03f38f0e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {1ce407f1-a58e-4380-b223-da9ab7b90115} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {1d4871d5-8101-446d-b7f0-8f8ec8e00294} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {1fac185f-71ed-4c54-9786-4286b63cfcc0} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {27b25dfa-3e99-4bdd-9f11-bae9f2c6be52} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {2c2001ab-2acf-4ef7-982a-6e95f3be9283} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {2d55526d-ec6b-4d7f-bd4e-478267cc1f0e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {301404ca-5e7a-4942-a92b-02a0211531c0} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {33c7aa89-f124-4f37-88ef-a4a199e42b63} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {341f03d6-bcff-4482-bb3e-3ba4e7e9cc9a} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {34806d55-8075-4810-b0af-5783c15fd1d7} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {36b3f98a-0034-448c-8db9-284f8a45b263} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {39b51eed-4f08-4536-b6ee-eef4671409ae} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {3a751a06-5b93-4865-ae7b-72e831bf30de} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {3fa0403e-a1a8-4d93-ae60-f4aedbe71588} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {42c9f7c9-aef6-4e1e-8898-e35eb7fe34d0} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {42f9222a-09f1-4af4-bde5-71f69db03cf2} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {45cb903f-6e63-4229-9555-97a03bdcd06a} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {47b3882b-136d-4e82-99c5-b10c298e034c} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {4b80a382-9461-4c6e-b9e4-b79c24b11a95} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {4edee47e-1dfb-48d9-821f-ece5f520e72c} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {5509c6d3-9941-4783-9e11-44b5621cb0c0} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {572d3822-fdde-4bf3-9403-41a092e4ce02} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {57317da8-e206-4742-b1a8-75d17fcc4134} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {5c23cfa4-e4e0-455a-8950-4da907e07976} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {5dfb5c60-179f-442d-a458-3fe8fa360baf} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {5e7b4635-a2cd-4c94-a0b4-e9f9b073cc91} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {5ea2e0d7-c1a1-4478-a75f-70b9b08a829c} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {5f5ac674-8272-45c1-8923-846c93c81693} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {60ee80ee-1b36-4547-925e-8779e48e1bd8} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {610af14d-a1e9-4659-905e-d01a09407a68} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {61496ef6-a739-4234-b251-5f6f11f0316f} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {62985e8c-9187-4f6c-b903-9219ab621afd} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {63c3548d-ac94-47dc-bbe6-591a0553a8e1} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {67108171-a8ea-4433-b76b-6cb6a03fcff2} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6938f917-cec6-48c0-80db-a1975aba3915} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {698fd689-5236-4c36-9322-5c6dbe958b22} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6a1e9366-7a99-4e4f-99a9-9208d1715bc1} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6b67d30c-d02f-44cf-95c2-97c486b6055f} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6b6a82b9-3394-4f92-9172-7df7639f3de3} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6cbd9c2a-b519-4d38-8c6d-bd3c929339e3} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6da2aea0-16fb-4669-ae6a-ffdebb256909} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6dc1ea0f-8c94-4326-96fb-f8534a737047} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6e10b575-6ba5-476a-a3f4-ccf3ede23338} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {6ef288b7-9f27-41e1-8217-3fe2359dd2e7} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {743b404b-840e-497e-9a77-080b8a7e6f45} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {7744e354-98ec-4ed0-ade8-46e5b71b0fe8} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {78dea792-63f6-46fa-a0d4-c754aa36c502} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {7e17e7cf-3f4d-4277-8826-4d6e4d347a2e} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {82c1a0a4-8cdb-40b3-9318-b67f8dd97b85} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {82f29d89-5542-4223-b3f5-a0eaf84245aa} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {8977b2a0-7a2d-4e1a-a287-0611c656c7a2} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {8c3c528d-56c4-4066-9b63-8e77621bd58f} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {9032a5f3-e2b2-4d11-a011-ca9b46fdcbf6} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {94b1ce9e-c291-4424-bd06-9c14d634b111} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {961b9c00-f7e7-4217-abb7-e2cb9c7efa4f} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {9930ebb2-11de-4bfb-9459-3ad0f3b9be46} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {a301d792-797a-4f94-92d0-05b27dd2783f} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {a9c30da4-0cad-4b8c-baec-9acf2181aca8} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {aa6c3050-b1be-44b3-badd-fd610f1deec2} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {acbd7087-5a6f-4f18-93a4-aa497acad2a5} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {ad2d305f-8ddc-4d25-b4d8-ca56db1d6780} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {b05069a2-cf46-4b21-9af6-31e563871ad8} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {b425db46-acd9-4dc4-ab2b-f0887fe7b87a} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {b6349fcb-b18e-45b4-abdc-9f61ec133161} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {b853eb07-9d4f-4bcf-821f-10481023daf9} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {c03dcfed-772e-497b-9e1f-949f8cd2e4fe} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {cff00e79-9443-4818-a76c-428767a992ea} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {dad98c93-f27e-4b8f-852a-534d34ab94b9} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {deba71b6-921f-4944-a9fa-a14fb32f0c00} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {e0a92906-7e77-418f-abce-2cbe667606ec} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {e0da2f65-4572-4fa5-bd85-693092fd7c97} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {e1cd1703-89f1-4c40-b510-b4a3fb895716} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {e4ace116-07eb-4f37-9365-17e40a818788} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {e92607e7-01c5-49b5-8824-a0c45de21cd1} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {e95c6874-2e32-485e-89a7-af832f012a32} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {ea410ceb-77c5-484b-92b8-65df19e09828} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {ea985dee-0e81-4fe3-93c3-913d6d6275b1} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {eacf1e6d-99d1-41c0-b5f4-b6d5592b204d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {ec11573c-2b22-42d1-8348-15ab495426ad} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {ecb3b5b2-1dc4-4e24-88a8-00e84cc205d0} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {ef5a55e9-e4b9-404e-83f1-f7d58565e8c6} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {f293fbb9-078c-4479-b2be-da29dc7e2ce4} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {f33a2f26-0d96-406b-8be5-bde2da926332} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {fb1edb77-dd66-466e-9159-4d7b543d554a} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {ff4aedaf-542a-496f-bb17-2b625f10f70d} - отсутствует путь к файлу. <==== ВНИМАНИЕ
Task: {3193232D-D9AE-41D8-9895-791DE3E3EA86} - System32\Tasks\Outbyte\PC Repair\Start PC Repair оn logon => C:\Program Files (x86)\Outbyte\PC Repair\PCRepair.exe [14971552 2024-12-03] (Outbyte Computing Pty Ltd -> Outbyte) -> C:\Program Files (x86)\Outbyte\PC Repair\/Schedule <==== ВНИМАНИЕ
Task: {CC02A8DE-6252-4C85-8708-717764860099} - System32\Tasks\TMPSYSUPD => C:\ProgramData\Pictures_Temp\Desktop_Upd\SgrmBroker.exe [718274560 2024-12-11] () [Файл не подписан] <==== ВНИМАНИЕ
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
FirewallRules: [{B1507228-2ECF-44FA-92CC-1C04CB665223}] => (Allow) D:\Dark Messiah Of Might And Magic\mm.exe => Нет файла
FirewallRules: [{A2D7F3A1-C5B4-44E4-A5BD-487AD8608C32}] => (Allow) D:\Dark Messiah Of Might And Magic\mm.exe => Нет файла
FirewallRules: [{234172CF-6400-470F-A4A4-781A6F332ED1}] => (Allow) C:\Program Files\Achievement Watcher\node\node.exe => Нет файла
FirewallRules: [{2E7E69E6-1E0F-4E29-AAF7-0E3B1CDBCF82}] => (Allow) C:\Program Files\Achievement Watcher\node\node.exe => Нет файла
FirewallRules: [{5723415F-158C-4E20-B393-C4F6120A246E}] => (Allow) C:\Program Files\Achievement Watcher\node\node.exe => Нет файла
FirewallRules: [{C0D2C285-E4E2-4656-833C-898772BC3BBF}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{0029587E-9BD0-4AC2-B8EA-5B4866DB4C2A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{A492A107-D614-4098-9B30-11EB02DD5F21}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{12CEF48D-577B-485F-BFA4-84B3CE280A06}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{067373B9-C1EF-478C-A513-E2BB582BAFCE}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
FirewallRules: [{6ACD5AE9-F394-4919-96E0-B7AFB4E2B26D}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

Напишите по результату.

[Taker1993]

Знаете в этот раз при добавлении скрипта в FRST я закрыл браузер, а вот когда добавлял скрипт в uVS я забыл закрыть браузер, прошу прощение за невнимательность - надеюсь это сильно не повлияло, впредь буду внимательнее.

 

Fixlog.txt

Изменено вчера в 13:48 пользователем Taker1993

[safety]

Хорошо, судя по логам очистка прошла успешно,

можно для контроля очистки собрать новые логи FRST.

Проверяем работоспособность системы.

Напишите по результату.

[Taker1993]

Спасибо. Новые логи FRST добавил. Так нашёл три проблемных момента: 1) все обновы скаачались и успешно установились, но предупреждение не исчезло от системы по поводу нарушения безопасности: стрелочки с красным кругом внизу (1-й скрин);

2) Касперский выключил две службы нужно ли мне их включить прямо сейчас? (1-й скрин);

3) В безопасности Windows в пункте Защита от вирусов и угроз стоит восклицательный знак в Параметрах Защиты как это исправить? (1-й скрин) Может это потому что в Журнале Защиты обнаружена одна критическая угроза, что с ней делать, нажать по ней и удалить? (последний скрин)

Addition.txt FRST.txt

Изменено вчера в 14:22 пользователем Taker1993

[Taker1993]

+Со второй учётной записью Гость я ничего не могу сделать, что делать чтобы он исчез?

[safety]

Цитата

Гость (S-1-5-21-2686895928-2273379959-70137571-501 - Limited - Enabled)

 

Гость у вас включен, можно отключить данную учетную запись.

 

по детектированию в WindowsDefender:

Цитата

 

Антивирусная программа Microsoft Defender has detected malware or other potentially unwanted software.
Name: Trojan:Win32/Pomal!rfn
Severity: Severe
Category: Trojan
Path: file:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Club\The Club.lnk; file:_D:\The Club\Launcher.exe; startup:_C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Club\The Club.lnk
Detection Origin: Local machine

 

Нажмите - удалить.

+

Добавьте пожалуйста, отчет по обнаружениям и сканированию из антивируса Касперского.

 

Изменено 13 часов назад пользователем safety