Диспетчер окон рабочего стола пытается перейти по вредоносной ссылке.

[spivoron]

При старте компьютере KIS сигнализирует о блокировке открытия ссылки pastebin приложением dwm.exe

В диспетчере задач было обнаружено два экземпляра сервиса. При этом проверка ничего не дает, в том числе из Kaspersky Rescue Disk

Проблема аналогичная что и у пользователя Anross, Два экземпляра dwm.exe 

 

CollectionLog-2025.09.16-18.01.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[spivoron]

Пересылаю необходимые файлы

Файлы.rar

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
File: C:\Users\SPI\AppData\Roaming\Microsoft\Dism64\appcore\apps64.exe
HKU\S-1-5-21-1334641294-2030180941-2788842463-1000\Environment\\UserInitMprLogonScript: -> C:\Users\SPI\AppData\Roaming\Microsoft\Dism64\appcore\apps64.exe [2025-09-16] () [Файл не подписан]
Task: {4671B5C1-A383-4428-A45A-8D348E4CB873} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker -> Нет файла <==== ВНИМАНИЕ
Folder: C:\Users\SPI\AppData\Roaming\Microsoft\Dism64
Folder: C:\Users\SPI\AppData\Roaming\Microsoft\Dism
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[spivoron]

Проблема устранена.👌

Большое спасибо.👍

[thyrex]

1 час назад, thyrex сказал:

Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении

ждем

[spivoron]

Высылаю

Fixlog.txt

[thyrex]

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)
 

Start::
CreateRestorePoint:
C:\Users\SPI\AppData\Roaming\Microsoft\Dism64\appcore
C:\Users\SPI\AppData\Roaming\Microsoft\Dism\appcore
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

[spivoron]

Сделано

Fixlog.txt

[spivoron]

Сегодня заметил что дубликат процесса dwm.exe все же возникает после загрузки системы на пару секунд и исчезает. Антивирус при этом не регистрирует попыток перехода по вредоносной ссылке.

[thyrex]

Майнера мы убили. Поэтому это точно уже не вирус.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[spivoron]

Прикрепляю отчет Security Check.

SecurityCheck.txt

[thyrex]

По возможности исправьте:

 

Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Notepad++ (64-bit x64) v.8.7.5 Внимание! Скачать обновления
PDF-Viewer v.2.5.322.10 Данная программа больше не поддерживается разработчиком.
NVIDIA App 11.0.4.526 v.11.0.4.526 Внимание! Скачать обновления
AnyDesk v.ad 8.0.12 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
AIMP v.5.40.2691 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
K-Lite Mega Codec Pack 18.6.0 v.18.6.0 Внимание! Скачать обновления
Light Alloy 4.7.4 (build 370) v.4.7.4 (build 370) Данная программа больше не поддерживается разработчиком.

---------------------------- [ UnwantedApps ] -----------------------------
Кнопка "Яндекс" на панели задач v.2.2.1.54 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Wise Care 365 v6.6.4.634 v.6.6.4.634 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

 

На этом закончим.
 

[spivoron]

Подскажите что делать с папкой FRST на диске C:?

На дубликат процесса dwm.exe внимание не обращать?