[РЕШЕНО] Трояны Behavior:Win32/Execution.LR!ml, Trojan:Win32/Casur.A!cl, Trojan:Script/Wacatac.B,D,G!ml

[sxhwre]

Добрый вечер! Заметил недавно при проверке компьютера , что в разрешенных угрозах присутсвуют такие вирусы как: Trojan:Win32/Wacatac.D,G,B!ml, Trojan:Win32/Casur.A!cl, Behavior:Win32/Execution.LR!ml.

В диспетчере  наверно не отображается нагрузка системы, по производительности чувствуется что компльютер начал работать хуже, пару раз слетал проводник. Антивируса стороннего у меня не стояло. Прикрепил логи

CollectionLog-2025.07.07-00.29.zip

[safety]

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.

[sxhwre]

Сделал все как вы сказали

AV_block_remove_2025.07.07-04.25.log CollectionLog-2025.07.07-04.40.zip

[safety]

Сделайте дополнительно образ автозапуска в uVS:

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[sxhwre]

Извините но пишет что файл больше 5МБ, если конечно вам нужно скинуть этот файл .txt , за то оно пропускает WinRar вместе с этим текстовым файлом, подскажите что делать

[thyrex]

Заархивируйте и прикрепите к сообщению.

[sxhwre]

 

 

DESKTOP-GUOULEI_2025-07-07_11-29-15_v5.0.RC3.v x64.7z

[safety]

По очистке системы

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.RC3.v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\METATRADER 5\TERMINAL64.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\LDPLAYER9BOX\LD9BOXSUP.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\TS5GHDKOQ.DLL
delref WIN_MEDIAGET.COM
delref HTTPS://FIND-IT.PRO/?UTM_SOURCE=DISTR_M
delref HTTP://SEARCH-CDN.NET/FIP/?Q={SEARCHTERMS}
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAHKJPBEEOCNDDJKAKILOPMFDLNJDPCDM%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNNLJJFDCHFGODFGCGBCDAEDIMAKJEJJE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\PROGRAM FILES (X86)\UAOYJBNQSYAJSBFVLFR\ANNIXUG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\YTRCIEIBRVQMC\LBURIKQ.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\YHYUOVVYU\YLLUBS.DLL
apply

regt 27
regt 28
regt 29
deltmp
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\CUSTOMRP\CUSTOMRP.EXE
delref %SystemDrive%\PROGRAM FILES\RAINMETER\RAINMETER.EXE
delref D:\НОВАЯ ПАПКА\VOICEAI.EXE
delref %SystemRoot%\TEMP\HZVSIKFQJBMCEAQZ\DVITHKWLSDFOXDT\BIGYJNM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU\ATOM\APPLICATION\EVENTER.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA GX\LAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA GX\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\AUTOUPDATE\OPERA_AUTOUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\VELKAMEBPIE\KDKXFTFG1.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {AE81D5A2-A34B-4D93-8DF8-540DBCE48043}\[CLSID]
delref {AE776072-9FCA-48AF-941C-5759266BB644}\[CLSID]
delref {0F574355-9FBE-40DB-ACB8-81F6612BB909}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\BANDIMPEG1\BDFILTERS64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\BANDIMPEG1\BDFILTERS.DLL
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.68\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref D:\NODE.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\CYBERGHOST 8\DASHBOARD.SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EPIC GAMES\LAUNCHER\PORTAL\BINARIES\WIN64\EPICGAMESUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EPIC GAMES\EPIC ONLINE SERVICES\SERVICE\EPICONLINESERVICESHOST.EXE
delref %SystemDrive%\PROGRAMDATA\EQU8\TOTALLY ACCURATE BATTLEGROUNDS\BIN\ANTICHEAT.X64.EQU8.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\МОИ СВЕГ ПЕСНИ\FREEVPN\FREEVPN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LOGMEIN HAMACHI\X64\HAMACHI-2.EXE
delref %SystemDrive%\PROGRAM FILES\HITMANPRO\HMPSCHED.EXE
delref %SystemDrive%\PROGRAMDATA\KASPERSKY LAB\AVP21.21\BASES\KLIDS.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\LOGMEIN HAMACHI\X64\LMIGUARDIANSVC.EXE
delref %SystemDrive%\USERS\USER\MEDIAGET2\LUMINATI-M\NET_UPDATER32.EXE
delref F:\VPN\V3.0.5\PROTONVPNSERVICE.EXE
delref F:\VPN\V3.0.5\RESOURCES\PROTONVPN.CALLOUTDRIVER.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\TURBOVPN\TURBO_VPN-SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\RIOT VANGUARD\VGC.EXE
delref %SystemDrive%\PROGRAM FILES\RIOT VANGUARD\VGK.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\CLOUD_PRINT\CLOUD PRINT
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\87.0.4280.66\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\134.0.6998.89\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.61\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\132.0.6834.111\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\94.0.4606.71\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\116.0.5845.111\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\107.0.5304.88\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.1.928\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\20.12.0.966\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\21.5.1.330\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.1.0.2571\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.11.3.966\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\117.0.2045.60\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.62\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.41\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.92\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\124.0.2478.51\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\110.0.1587.63\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref G:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU\ATOM\APPLICATION\ATOM.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA GX\OPERA.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\OPERA\OPERA.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\МОИ СВЕГ ПЕСНИ\ASIO4ALL V2\ASIO4ALL WEB SITE.URL
delref D:\FL STUDIOO\FL64.EXE
delref D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
delref D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\NEW TECHNOLOGY STUDIO\APPS\OPENIV\OPENIV.EXE
delref %SystemDrive%\PROGRAMDATA\ABLETON\LIVE 11 TRIAL\PROGRAM\ABLETON LIVE 11 TRIAL.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\BLUESTACKS-SERVICES\BLUESTACKSSERVICES.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\BLUESTACKS\BLUESTACKSLAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\DOTA2MODS\DOTA2MODS V4.EXE
delref D:\EXBO\JAVA\BIN\EXBOLAUNCHER.EXE
delref D:\FL STUDIO\FLSTUDIOTLAUNCHER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\IGROUTKA-BROWSER\IGROUTKA-BROWSER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\MECHA-KEYS\MECHAKEYS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\OSU!\OSU!.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PLAY MACHINE\VKAPP.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\TORTUGA GAME CLUB\TORTUGA GAME CLUB.EXE
delref %SystemDrive%\USERS\USER\DESKTOP\МОИ СВЕГ ПЕСНИ\ASIO4ALL V2\UNINSTALL.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\CHIA-BLOCKCHAIN\CHIA.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\CUSTOMRP\UNINS000.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\FLAUNCHER\FLAUNCHER.EXE
delref %SystemDrive%\PROGRAM FILES\HIDEMY.NAME VPN 2.0\APP.EXE
delref D:\HOYOPLAY\LAUNCHER.EXE
delref D:\HOYOPLAY\UNINSTALL.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNPLAYER.EXE
delref %SystemDrive%\LDPLAYER\LDPLAYER4.0\DNUNINST.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\PYTHONW.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON311\PYTHON.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON312\PYTHONW.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON312\LIB\IDLELIB\IDLE.PYW
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON312\PYTHON.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\PYTHON\PYTHON39\PYTHON.EXE
delref D:\RADMIR LAUNCHER\RADMIR_LAUNCHER.EXE
delref D:\RADMIR LAUNCHER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\LAUNCHERPATCHER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAM.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\VK CALLS\BIN\VKCALLS.EXE
delref D:\GDPS 2.2 PC V1.7.1\DEFAULT SETTINGS PATCHER.EXE
delref D:\GDPS 2.2 PC V1.7.1\GDPS-2.2-BY-USER666.EXE
delref D:\GAMES\ALAWAR.RU\MASYANYA.4-IN-1\BUNDLE.EXE
delref D:\GAMES\ALAWAR.RU\MASYANYA.4-IN-1\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALAWAR\ДЕТСКИЙ САДИК\KINDERGARTEN_RUSSIAN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALAWAR\РОЖДЕСТВЕНСКИЕ ИСТОРИИ. ЩЕЛКУНЧИК. КОЛЛЕКЦИОННОЕ ИЗДАНИЕ\CHRISTMASSTORIES_NUTCRACKERCE.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\NEVOSOFT.GAMES\DRM.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\МОВАВИКА ВИДЕО 25\VIDEOEDITOR.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\МОВАВИКА ВИДЕО 25\МОВАВИКА ВИДЕО 25.URL
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\МОВАВИКА ВИДЕО 25\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ОСТРОВ. ЗАТЕРЯННЫЕ В ОКЕАНЕ\THEISLAND.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ОСТРОВ. ЗАТЕРЯННЫЕ В ОКЕАНЕ\DOWNLOAD MORE GAMES.URL
delref %SystemDrive%\PROGRAM FILES (X86)\ОСТРОВ. ЗАТЕРЯННЫЕ В ОКЕАНЕ\UNINSTALL.EXE
delref D:\VOICEMOD V3\VOICEMOD.EXE
delref D:\VOICEMOD DESKTOP\VOICEMODDESKTOP.EXE
delref D:\НОВАЯ ПАПКА\NETMARBLE LAUNCHER\NETMARBLE LAUNCHER.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[sxhwre]

Прикрепил логи дата_времяlog.txt, но не понял что значит новые логи frst, точнее не понял как пользоваться программой FRST

2025-07-07_13-47-00_log.txt

[safety]

Ссылка есть на пошаговую инструкцию в строке сообщения.

Цитата

добавьте новые логи FRST для контроля

Обычно, все справляются с ней.

Скачать - запустить программу -  нажать кнопку "сканировать" - ждать пока завершится процесс сбора логов - полученные файлы FRST.txt и Addition.txt добавить в ваше сообщение.

Изменено 7 июля пользователем safety

[sxhwre]

надеюсь скинул то

 

FRST.txt

[thyrex]

Addition.txt не хватает.

[sxhwre]

 

Вот

Addition.txt

[safety]

По очистке системы:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {C3E6C748-70CB-4CCB-8A58-30C365081102} - System32\Tasks\gKDeXCvGs => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [455680 2025-03-28]
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\ddppjphjahihociddnfpkoeofkmlphkj
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hjfhbdephncmhdmomijibpmfiodgjkmm
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\ceclkdhfmmdcookcafhafakpdnminfbd
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\glgemekgfjppocilabhlcbngobillcgf
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\hbefblnmnfhojjbobppmigppodgnakkg
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\eooeicnmpidhncifckijgbdignbfmfnd
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 3\Extensions\ooejfmkmdkilcbdcladepkaekbokjibg
AlternateDataStreams: C:\PerfLogs:err [1890]
AlternateDataStreams: C:\WINDOWS\system32\.crusader:F1EF9579D6 [2594]
AlternateDataStreams: C:\ProgramData\TEMP:C0E4282C [236]
AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [227]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Binance.lnk:DD5AD5ED02 [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks.lnk:6BCDFBBA1F [2594]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
AlternateDataStreams: C:\Users\Public\desktop.ini:WinDeviceId [64]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [7716]
AlternateDataStreams: C:\Users\User\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\User\Application Data:d0353b486a0f166ba47ab293d0b1004e [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\User\AppData\Roaming:d0353b486a0f166ba47ab293d0b1004e [394]
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Сделайте и добавьте новые логи FRST для контроля.

[sxhwre]

 

Вот

Fixlog.txt FRST.txt Addition.txt