[РЕШЕНО] Скрытая папка в C:\Windows\Fonts\Mysql

[SMyDer]

Здравствуйте. При запуске инженерного ПО вылетала ошибка (см. картинку).
Короче говоря, все свелось к тому, что был запущен .bat файл из корневой папки ПО, который выдал в консоли сообщение:
****ASSERTION****: Unknown error occured iterating C:\Windows\Fonts\Mysql
Прошерстил темы на форумах по данному вопросу, но везде понял, что подход индивидуальный. Помогите, пожалуйста. Вот мой лог.

CollectionLog-2025.05.30-04.47.zip

[Sandor]

Здравствуйте!

 

Эти файлы вам известны?

Цитата

 

C:\Program Files\Activation-Renewal\Activation_task.cmd

C:\Windows\Control_OSServices\UpdateCenter\Wub.exe

C:\Windows\Control_OSServices\UpdateCenter\Wub_x64.exe

 

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

[SMyDer]

AV_block_remove_2025.05.30-13.30.log CollectionLog-2025.05.30-13.39.zip

[thyrex]

29 минут назад, Sandor сказал:

Эти файлы вам известны?

Где ответ на вопрос?

[SMyDer]

Прошу прощения, не знакомы

 

Спасибо, вышеупомянутые действия помогли решить ошибку

[Sandor]

Не спешите, не все следы заражения ещё очищены.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Bonjour

Кнопки сервисов Яндекса на панели задач

 

 

Далее:

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('(C:\Windows\Control_OSServices\UpdateCenter\Wub.exe', '');
 QuarantineFile('(C:\Windows\Control_OSServices\UpdateCenter\Wub_x64.exe', '');
 QuarantineFile('C:\Program Files\Activation-Renewal\Activation_task.cmd', '');
 DeleteSchedulerTask('Activation-Renewal');
 DeleteSchedulerTask('Disable Update Center');
 DeleteFile('(C:\Windows\Control_OSServices\UpdateCenter\Wub.exe', '64');
 DeleteFile('(C:\Windows\Control_OSServices\UpdateCenter\Wub_x64.exe', '64');
 DeleteFile('C:\Program Files\Activation-Renewal\Activation_task.cmd', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteRepair(19);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

 

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyOverride] = *.local
O27 - Account: (Bad profile) Folder is not referenced by any of user SIDs: C:\Users\John
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0

Перезагрузите компьютер вручную.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

[SMyDer]

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {17A407C3-386B-4872-9EEE-AF1620A60C41} - System32\Tasks\CCleanerSkipUAC - User => "C:\Program Files\CCleaner\CCleaner.exe"  $(Arg0) (Нет файла)
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-1340012262-2861622876-2721129260-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bgnodfikjoihkcjjnefbjkeclamhipak
  C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
  CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=818410
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmefpcfbbpehgpjplddkoniljddldkho
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfemannmahbkgneloogjhjbnmhbdcemm
  C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\nfalmdiicbbhklkllkaipaiegnamaeon
  CHR HKLM\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp]
  CHR HKU\S-1-5-21-1340012262-2861622876-2721129260-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
  CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
  CHR HKLM-x32\...\Chrome\Extension: [joiapjkjgbcljoopaenlplkfapolkdhp]
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
  FCheck: C:\Users\User\AppData\Roaming\Google\Libs\WR64.sys [2022-11-06] <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\hhlztlzv.mwb:6E8F4FB449 [4298]
  AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [4298]
  AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [4298]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [4298]
  AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [4298]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{e72b314c-464a-11ed-b6ae-c85acf46de64}.TM.blf:3640CA025B [4298]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{e72b314c-464a-11ed-b6ae-c85acf46de64}.TMContainer00000000000000000001.regtrans-ms:D771996D17 [4298]
  AlternateDataStreams: C:\ProgramData\ntuser.dat{e72b314c-464a-11ed-b6ae-c85acf46de64}.TMContainer00000000000000000002.regtrans-ms:BB799D272B [4298]
  AlternateDataStreams: C:\ProgramData\system.conf:0F57F3FDE6 [4298]
  AlternateDataStreams: C:\ProgramData\system.conf:422D4106AB [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\AllFusion Process Modeler.lnk:C7399978EF [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe After Effects 2024.lnk:CE5D2E4A72 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Password Manager.lnk:25FB69C60A [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\O&O ShutUp10.lnk:F164787E66 [4298]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [4298]
  FirewallRules: [{A5BE23AA-09F0-4AA1-A3E7-9F0A9E4765F5}] => (Allow) LPort=57048
  FirewallRules: [{6408EF64-A8C2-4C75-AF50-50D776A83A66}] => (Allow) LPort=57048
  startbatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  endbatch:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[SMyDer]

Fixlog.txt

[Sandor]

Цитата

Запущено с помощью Not User (02-06-2025 14:46:30) Run:4

Вы четырежды запускали скрипт? Достаточно одного раза, последующие перезаписывают результат выполнения. Но не страшно.

 

Ещё один небольшой скрипт выполните.

 

Отключите до перезагрузки антивирус.

• Выделите следующий код:

  Start::
  StartPowerShell:
  Remove-MpPreference -ExclusionPath "C:\Users\User"
  Remove-MpPreference -ExclusionPath "C:\Program Files"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Сообщите что сейчас с проблемой.

[SMyDer]

Запускал скрипт 4 раза, каждый раз забывал выполнить один изпунктов, выключить антивирус, запустить от имени администратора или вовсе ввести код.
Ошибка больше не появляется, ПО открывается и все работает, спасибо большое

 

Fixlog.txt

[Sandor]

1 минуту назад, SMyDer сказал:

или вовсе ввести код

Вводить его никуда и не нужно. Скрипт программа берёт прямо из буфера обмена.

 

Хорошо, в завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[SMyDer]

 

 

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20345 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
AnyDesk v.ad 9.0.6 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft OneDrive v.19.043.0304.0013 Внимание! Скачать обновления
7-Zip 22.01 (x64) v.22.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 6.21 (64-bit) v.6.21.0 Внимание! Скачать обновления
WinRAR 6.11 v.6.11 Внимание! Скачать обновления
Discord v.1.0.9006 Внимание! Скачать обновления
Microsoft Teams v.1.5.00.21668 Внимание! Скачать обновления
Zoom v.5.16.2 (22807) Внимание! Скачать обновления
Viber v.18.4.0.6 Внимание! Скачать обновления
µTorrent v.3.6.0.46900 Внимание! Клиент сети P2P с рекламным модулем!.
uTorrent Web v.1.3.0 Внимание! Клиент сети P2P с рекламным модулем!.
µTorrent 3.5.5.46348 v.3.5.5.46348 Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 381 (64-bit) v.8.0.3810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 381 v.8.0.3810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u451-windows-i586.exe - Windows Offline)^
AIMP v.5.30.2531 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
K-Lite Mega Codec Pack 17.1.0 v.17.1.0 Внимание! Скачать обновления
Adobe Acrobat (64-bit) v.24.005.20399 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Adobe AIR v.16.0.0.245 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
Mozilla Firefox (x64 ru) v.111.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Opera GX Stable 118.0.5461.133 v.118.0.5461.133 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
Yandex v.25.4.1.1055 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.136.0.7103.114 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.136.0.3240.92 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
GearUP Booster v.2.31.0.356 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
The KMPlayer RePack by CUTA v.4.2.2.63 - (build 2) Внимание! Нелицензионное ПО, репак, утилита активации, кряк или кейген.

 

(Дополнительные сканирования не нужны, просто удалите нежелательное ПО).
 

 

Читайте Рекомендации после удаления вредоносного ПО

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".