Перейти к содержанию
Правила раздела
Интервью с экспертом: задай вопрос Евгению Козлову, руководителю направления подбора персонала

DPC:PowerShell.AVKILL.10

EvgeniyPoluchil

Автор EvgeniyPoluchil
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

EvgeniyPoluchil

EvgeniyPoluchil

Опубликовано
Опубликовано (изменено)

Здравствуйте, dr.web начал находить каждые 10-15 секунд угрозу под названием DPC:PowerShell.AVKILL.10, при этом иногда в уведомлении появляется некий троян и сразу же исчезает. Дополнительно было замечено, что подгрузка при включении аппарата увеличилась, так и с ОЗУ.CollectionLog-2025.09.25-00.00.zip

Изменено пользователем EvgeniyPoluchil
thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

EvgeniyPoluchil

EvgeniyPoluchil

Опубликовано
  • Автор
Опубликовано

Получился только файл FRST.txt, программа подвисла на 30 минут и не даёт доступа к Addition.txt

Логи.7z

Дополняю.

Addition.7z

thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
2025-09-24 22:04 - 2025-04-01 17:46 - 000000000 ____D C:\ProgramData\ctfnnewzeiqi
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-02-20] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-02-20] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-03-27] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2025-03-27] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-03-13] (Microsoft Windows -> Microsoft Corporation)
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{2C6B176E-A8C2-4C04-BCFB-A7F8F4DFE2CF}C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe] => (Block) C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe => Нет файла
FirewallRules: [UDP Query User{EEAADB8A-F348-4199-AE92-E3BA3777527D}C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe] => (Block) C:\users\user\appdata\roaming\.tlauncher\starter\jre_default\jre-17.0.10-windows-x64\bin\java.exe => Нет файла
FirewallRules: [TCP Query User{BC70BFE7-BAFE-4000-93D4-FEF9F4881E28}C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [UDP Query User{AFB4819A-BCCE-4EF5-9A60-E43CF13CD937}C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe] => (Block) C:\users\user\appdata\roaming\.minecraft\runtime\java-runtime-gamma\windows\java-runtime-gamma\bin\javaw.exe => Нет файла
FirewallRules: [TCP Query User{22A5015C-238E-42C5-A0B8-C731AD8D65DE}D:\games\call of duty - world at war\codwaw.exe] => (Block) D:\games\call of duty - world at war\codwaw.exe => Нет файла
FirewallRules: [UDP Query User{545BE924-78A4-48A4-95D5-1027DBA6E17F}D:\games\call of duty - world at war\codwaw.exe] => (Block) D:\games\call of duty - world at war\codwaw.exe => Нет файла
FirewallRules: [{EC84B73E-C812-4081-98F8-341ACE175840}] => (Allow) C:\Program Files\EaseUS\EaseUS Data Recovery Wizard\DRWUI.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, TermService, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

EvgeniyPoluchil

EvgeniyPoluchil

Опубликовано
  • Автор
Опубликовано (изменено)

Благодарю, какие могут быть мои дальнейшие действия? Полгода назад обращался к вам на форум с майнером, ноутбуком пользуюсь редко, раз в 3 месяца, складываются ощущения, что есть какой-то подгрузчик в системе. Есть ли такая вероятность?

Изменено пользователем EvgeniyPoluchil
thyrex

thyrex

Опубликовано
Опубликовано

Лог после скрипта где?

 

4 минуты назад, EvgeniyPoluchil сказал:

есть какой-то подгрузчик в системе. Есть ли такая вероятность?

нулевая. В прошлый раз у Вас был совершенно иной майнер.

EvgeniyPoluchil

EvgeniyPoluchil

Опубликовано
  • Автор
Опубликовано
8 часов назад, thyrex сказал:

Лог после скрипта где?

Прошу прощения, невнимательно прочитал.

Fixlog.txt

EvgeniyPoluchil

EvgeniyPoluchil

Опубликовано
  • Автор
Опубликовано
2 часа назад, thyrex сказал:

Проблема решена?

Да, спасибо большое!

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

CrystalDiskInfo 8.17.14 v.8.17.14 Внимание! Скачать обновления
Git v.2.39.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.6 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14334.20136 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
VMware Workstation v.17.0.0 Внимание! Скачать обновления
Oracle VM VirtualBox 7.0.8 v.7.0.8 Внимание! Скачать обновления
PDF-Viewer v.2.5.322.10 Данная программа больше не поддерживается разработчиком.
Figma v.125.4.7 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.123.0.2420.97 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 5.61 (32-разрядная) v.5.61.0 Внимание! Скачать обновления
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^
KMPlayer 64X (remove only) v.2025.1.21.12 Внимание! Скачать обновления
 

На этом закончим.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • ArtemEvans
      Медленно работает ПК, есть подозрения на скрытые угрозы
      Автор ArtemEvans
      Здравствуйте, не скажу что очень давно обновлял систему через центр обновлений, компьютер стал зависать, работаю удаленно, как-то на смене он у меня стал выключаться, возможно от перегрева, пришлось его на время сменить, а этот отдать малому. Почистил его от пыли, термопасту, радиатор посмотрел, все вычистил, но проблема осталась, менял БП, толку мало, немного нагревается, в момент сильных нагрузок может вырубиться, раньше такого даже после покупки такого не было,стоит дать нагрузку и все тухнет, а для удаленной работы этот жесткий триггер, в момент нагрева, выключается, включить сможешь только через 10 минут пока немного остынет.
       
      Я уже все протестировал, я не знаю куда копать, начнет нагреваться, неожиданно вырубится и конец рабочей смене (мои тех.неполадки с данным ПК.)
      Может систему на полегче поставить, 10 домашняя для одного язык, для работы как раз нужна десятка, раньше работал, души не чаял, сейчас какие-то проблемы постоянно, то браузер долго открывается, долгий отклик, если нагревается начинает троить. я уже не знаю, может драйвера обновить или систему переустановить, БП менял, все чистил, но проблема осталась.
       
      Подскажите, пожалуйста, что можно сделать с моим ПК?
      ПК: Acer Aspire C27-962 Series, помогите пожалуйста!
       
      Прикрепляю логи:
       
      CollectionLog-2025.10.14-15.09.zip
    • Екатерина28
      Помогите удалить вирус
      Автор Екатерина28
      Здравствуйте. Пожалуйста, помогите удалить вирус с ПК. Сегодня искала одну книгу и при заходе на сайт Флибуста (я так понимаю, что это был фейковый сайт-клон), копм сразу же выбросило в синий экран. После перезагрузки в строке поиска Яндекса появилась буква S, нажав на которую, появляется всплывающее окно с надписью анонимной регистрации. Хотелось бы избавиться от этой ерунды.
      Посмотрела код ошибки синего экрана, вот что указано: Компьютер был перезагружен после критической ошибки.  Код ошибки: 0x0000003b (0x00000000c0000005, 0xfffff8016aa1f855, 0xffff9a80fbd76730, 0x0000000000000000). 
      Дамп памяти сохранен в: C:\Windows\Minidump\101225-9703-01.dmp. Код отчета: 6b31ec03-663f-41c6-aaae-fe346c61c230.
       

       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • m1ghtybtw
      не работает интернет из-за вируса
      Автор m1ghtybtw
      Приветствую, сегодня с момента включения пк не работает интернет, в дом.ру сказали, что проблема со стороны моего пк, запустил dr.web cureit и выдал вирус, после в планировщике задач нашёл этот файл в папке utorrent, на пк у меня qbittorrent, найти я папку с вирусным файлом не смог, в ласт активити идно, что этот вирус запустился сразу после включения пк.
       
      CollectionLog-2025.10.11-20.01.zip
    • serenka103
      [РЕШЕНО] Переименовались службы из за вирусов!
      Автор serenka103
      Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать?
      CollectionLog-2025.10.10-12.31.zip
    • Akira
      Не получается удалить NET:MINERS.URL
      Автор Akira
      Здравствуйте! не получается удалить майнер NET:MINERS.URL. Dr.web так же не смог удалить
×
×
  • Создать...