[РЕШЕНО] Защита системы выдаёт ошибку 0x81000203, SU выдавал необрабатываемое исключение после майнера

[Adowne]

Решил поиграть в игрульки. Скачал через установщик и мне жёстко захотелось включить сканер, появляется чудо, которое:
Выносит этот сканировщик с прекращением процесса
Создаёт папки почти всех антивирусов, сделала скрытными и запретила туда заходить, в том числе AutoLogger воткнул в декстоп и в загрузки. (убрал все папки ручками)
Заносит групповые политики (сбросил)
Перебрасывает KernelMode (убил AVZ)
Заносит сверху мышей, которые не детектились AVZ (https://www.virustotal.com/gui/file/58ac22a286cae5b293ff5ebb87f06ec106e0b2c0ae0318e7c5faa5e329b210ce и https://www.virustotal.com/gui/file/189a142a9a113258c6f8c51e54003ce71892d32dfde0c6c2c561a347f217798f) Либо они уже создались когда работал malwarebytes и после AVZ, а вычистил уже самостоятельно через everything (были в ProgramFiles/x86/Data и в подпапках Appdata)
Потыкал манифесты и планировщик (убил второе, а манифесты ещё нет, будто не надо)
Потрогал сервисы на подключение к удал. столу (хотя были удалены, можно на уровне иммунизации запретить её установку?)
И наконец потрогал Prefetch-файлы.
Почти всё прогонял через AVZ, через UvS проверял файлы на активность и удалял не особо критичные для системы.
Потом поковырялся в созданном майнере файлах, парочку из них были раскиданы где куда.

По итогу, система не может создать точки восстановления и работать с приложениями из-за необрабатываемого исключения, пишет мол "файл "С/....." не найден"
Я боюсь перезагружаться. Подскажите, что дальше делать и что присылать?

Прикрепляю лог после этого мордобоя вместе с FRST (если он нужен) + скрин остатков, начиная с 9:49

Спойлер

 

 

CollectionLog-2025.08.23-13.29.zip FRST.txt Addition.txt

[safety]

Если образ автозапуска уже создали

Цитата

() [Файл не подписан] C:\Users\Professional\Desktop\uvs\iuzmcc

Добавьте, так же образ автозапуска из uVS.

 

Изменено 23 августа пользователем safety

[Adowne]

2 часа назад, safety сказал:

Если образ автозапуска уже создали

Добавьте, так же образ автозапуска из uVS.

 

USER-PC_2025-08-23_14-33-15_v5.0.RC2.v x64.7z
 

 

 

Дико извиняюсь, но меня ужасно клонит спать. Отвечу Вам цитатой когда проснусь и всё сделаю.

[safety]

Да, процесс лечения здесь не мгновенный, занимает определенное время, так что смело ложитесь спать, 

образ проверю, скрипт очистки напишу, если что-то будет найдено.

К тому же здесь у всех разные часовые пояса.

Изменено 23 августа пользователем safety

[safety]

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES\RDP WRAPPER\RDPWRAP.DLL
apply

regt 27
deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {1FD49718-1D00-4B19-AF5F-070AF6D5D54C}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\APPLICATION\22.11.5.709\INSTALLER\YNDXSTP.EXE
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\PDFPREVIEW\PDFPREVIEWHANDLER.DLL
delref {21E17C2F-AD3A-4B89-841F-09CFE02D16B7}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MAPDATA\UR24F8FUOO\GLOBALDATAJ.BAT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\GLOBALDATAJ\RECOVERYHOSTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\INSTALLER\SETUP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\ELEVATION_SERVICE.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\DEFAULT\MPKSL77CCBEB0.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\USERS\PROFESSIONAL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BLPCFGOKAKMGNKCOJHHKBFBLDKACNBEO\4.2.8_0\YOUTUBE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\BOOKMARK_MANAGER\BOOKMARK MANAGER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.51\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\FEEDBACK\FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\CLOUD_PRINT\CLOUD PRINT
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\56.0.2924.87\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\136.0.3240.76\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\USERS\PROFESSIONAL\APPDATA\LOCALLOW\IGDUMP\SEC\IG.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\NVIDIA APP\CEF\NVIDIA APP.EXE
delref F:\RISK OF RAIN 2\RISK OF RAIN 2.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

[Adowne]

Доброй ночи!
Остановился на удалении ссылок на DLL (сервисы не тронуты), удалил.
Готово.

 

2025-08-24_03-45-10_log.txt FRST.txt

 

Защита системы все ещё не работает.

 

Прикрепляю SecurityCheck.

SecurityCheck.txt

[safety]

Этот файл удалите вручную

C:\Windows\system32\rfxvmt.dll

 

отслеживание зачем запустили. запросили обычный образ автозапуска. без отслеживания.

Отслеживание задач: 1
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1
Отслеживание командной строки процессов: 0

 

 

 

Изменено 24 августа пользователем safety

[Adowne]

А, до этого запускал отслеживание. Случайно вышло.
Удалил.
 

[safety]

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS. Запустите reg файл и подтвердите внесение информации в реестр.

 

Сделайте проверку системы на ошибки с исправлением ошибок

chkdsk

 

сделайте проверку целостности системы.

sfc /scannow

 

Возможно есть какая проблема с Windef

Windows Defender: Error #0x80070002

 

Цитата

Создаёт папки почти всех антивирусов, сделала скрытными и запретила туда заходить, в том числе AutoLogger воткнул в декстоп и в загрузки. (убрал все папки ручками)

Наличие ссылок на этот файл указывает на то, что было заражение майнером Jhon

FirewallRules: [{E276A868-D312-4A72-8D23-8AE47D664E1A}] => (Allow) C:\ProgramData\Windows Tasks Service\winserv.exe => Нет файла

 

попробуйте это лекарство.

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

Изменено 24 августа пользователем safety

[Adowne]

scannow молчит. Reg-файл добавил, не перезагружался.

Сейчас всё поставлю.
Да, был момент, когда он создавал в загрузках и в декстопе папку "Av_Block_remover", Не обратил на это внимание пока вручную менял безопасность папок и удалял.

 

Прикрепляю, со второго раза создал папку с логами, запустив лекарство во второй раз.

AV_block_remove_2025.08.24-05.10.log

 

Служба BITS работает, теперь не работает дискорд, на долю секунды выкидывает ошибку и самоуничтожается. с SU могу смириться, может и не работать под моей системой.
В целом, проблемы почти не вижу.

[safety]

Выполнитк очистку  в FRST

 

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
AlternateDataStreams: C:\Users\Professional\Application Data:f1110d733c8939dcd961030d636e45d3 [394]
AlternateDataStreams: C:\Users\Professional\AppData\Roaming:f1110d733c8939dcd961030d636e45d3 [394]
2025-08-23 09:50 - 2025-08-23 09:50 - 000037376 _____ (Microsoft Corporation) C:\Windows\system32\rfxvmt.dll
R3 cpuz158; C:\Windows\temp\cpuz158\cpuz158_x64.sys [44592 2025-08-24] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

[Adowne]

Готово.

Fixlog.txt

[safety]

Как интерпретировать ошибку, можно погуглить решения в сети.

 

Ошибка 0x81000203 в Windows означает, что произошел сбой или отключение функции "Системное восстановление" или службы "Теневое копирование тома", что мешает созданию точек восстановления или выполнению восстановления системы

 

Ошибки приложения:
==================
Error: (08/23/2025 12:38:50 PM) (Source: VSS) (EventID: 12292) (User: )
Description: Ошибка теневого копирования тома: Ошибка при создании класса поставщика теневого копирования COM с CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070424, Указанная служба не установлена.
].

 

Изменено 24 августа пользователем safety

[Adowne]

16 часов назад, safety сказал:

Как интерпретировать ошибку, можно погуглить решения в сети.

Так.. По поводу последствий вируса, всё решено?

[safety]

Все что было найдено по логам утилит  мы зачистили скриптами.

Теперь уже вам на месте надо провести проверку что в системе осталось живое после экспериментов, а что повреждено.