DPC:PowerShell.AVKILL.10

24 сентября

Здравствуйте, dr.web начал находить каждые 10-15 секунд угрозу под названием DPC:PowerShell.AVKILL.10, при этом иногда в уведомлении появляется некий троян и сразу же исчезает. Дополнительно было замечено, что подгрузка при включении аппарата увеличилась, так и с ОЗУ.CollectionLog-2025.09.25-00.00.zip

Изменено 24 сентября пользователем EvgeniyPoluchil

24 сентября

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

25 сентября

Получился только файл FRST.txt, программа подвисла на 30 минут и не даёт доступа к Addition.txt

Логи.7z

Дополняю.

Addition.7z

25 сентября

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
2025-09-24 22:04 - 2025-04-01 17:46 - 000000000 ____D C:\ProgramData\ctfnnewzeiqi
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-02-20] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-02-20] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-03-27] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2025-03-27] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-03-13] (Microsoft Windows -> Microsoft Corporation)
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{2C6B176E-A8C2-4C04-BCFB-A7F8F4DFE2CF}C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe] => (Block) C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{EEAADB8A-F348-4199-AE92-E3BA3777527D}C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe] => (Block) C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{BC70BFE7-BAFE-4000-93D4-FEF9F4881E28}C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{AFB4819A-BCCE-4EF5-9A60-E43CF13CD937}C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{22A5015C-238E-42C5-A0B8-C731AD8D65DE}D:\games\call of duty - world at war\codwaw.exe] => (Block) D:\games\call of duty - world at war\codwaw.exe => Нет файла
FirewallRules: [UDP Query User{545BE924-78A4-48A4-95D5-1027DBA6E17F}D:\games\call of duty - world at war\codwaw.exe] => (Block) D:\games\call of duty - world at war\codwaw.exe => Нет файла
FirewallRules: [{EC84B73E-C812-4081-98F8-341ACE175840}] => (Allow) C:\Program Files\EaseUS\EaseUS Data Recovery Wizard\DRWUI.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, TermService, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

25 сентября

Благодарю, какие могут быть мои дальнейшие действия? Полгода назад обращался к вам на форум с майнером, ноутбуком пользуюсь редко, раз в 3 месяца, складываются ощущения, что есть какой-то подгрузчик в системе. Есть ли такая вероятность?

Изменено 25 сентября пользователем EvgeniyPoluchil

25 сентября

Лог после скрипта где?

4 минуты назад, EvgeniyPoluchil сказал:

есть какой-то подгрузчик в системе. Есть ли такая вероятность?

нулевая. В прошлый раз у Вас был совершенно иной майнер.

26 сентября

8 часов назад, thyrex сказал:

Лог после скрипта где?

Прошу прощения, невнимательно прочитал.

Fixlog.txt

26 сентября

Проблема решена?

26 сентября

2 часа назад, thyrex сказал:

Проблема решена?

Да, спасибо большое!

27 сентября

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

27 сентября

SecurityCheck.txt

27 сентября

По возможности исправьте:

CrystalDiskInfo 8.17.14 v.8.17.14 Внимание! Скачать обновления
Git v.2.39.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.6 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14334.20136 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
VMware Workstation v.17.0.0 Внимание! Скачать обновления
Oracle VM VirtualBox 7.0.8 v.7.0.8 Внимание! Скачать обновления
PDF-Viewer v.2.5.322.10 Данная программа больше не поддерживается разработчиком.
Figma v.125.4.7 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.123.0.2420.97 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^
KMPlayer 64X (remove only) v.2025.1.21.12 Внимание! Скачать обновления

На этом закончим.

DPC:PowerShell.AVKILL.10

Рекомендуемые сообщения

EvgeniyPoluchil

thyrex

EvgeniyPoluchil

thyrex

EvgeniyPoluchil

thyrex

EvgeniyPoluchil

thyrex

EvgeniyPoluchil

thyrex

EvgeniyPoluchil

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum