dwm.exe обращается к https://pastebin.com/raw

4 часа назад

Здравствуйте.
Включил компьютер и антивирус начал спамить остановками перехода. Каждые 10 секунд примерно.

Пишет следующее:

Имя программы: dwm.exe
Путь к программе: C:\Windows\System32
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: https://pastebin.com/raw/TuA6LgKH?t=1758783229
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: TuA6LgKH?t=1758783229
Путь к объекту: https://pastebin.com/raw
Причина: Облачная защита

Что можно сделать, чтоб исправить ситуацию? Как-то может заблокировать этот сайт?

Или проверить dwm?

4 часа назад

Скорее всего система заражена.

Необходимо предоставить логи по правилам для анализа и очистки системы.

3 часа назад

Проверку с помощью Kaspersky Virus Removal Tool провел. Угроз не обнаружено.

Автологгер скачал и запустил. Архив лога прикрепил.

Посмотрите, пожалуйста.

CollectionLog-2025.09.25-10.31.zip

3 часа назад

Добавлю. Через некоторое время (7-8 минут после начала работы) прекращает спамить событие "Переход остановлен" и показывает событие "Обнаружена ранее открытая опасная ссылка". На этом уведомления прекращаются.

После перезагрузки компьютера ситуация повторяется.

3 часа назад

+

дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач.

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

2 часа назад

Вот.

DESKTOP-H0I3HE5_2025-09-25_11-23-03_v5.0.1v x64.7z

1 час назад

Хорошо, отслеживание включено

есть модифицированный процесс:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DWM.EXE [5920]

скорее всего в цепочке запуска этот файл:

C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE

HKEY_USERS\S-1-5-21-2165992932-1554351566-2442056022-1001\Environment\UserInitMprLogonScript

C:\Users\Administrator\AppData\Roaming\Microsoft\Dism\appcore\sysapp64.exe

Скрипт очистки сейчас добавлю.

Выполните очистку системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
delfake
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE
addsgn BA6F9BB21DE1495712A4AE7664C912052562660B76058FE8CD40019493D96E4C6B942F7F76DE984C32F08458461649FA7D37928FAA2520BC65F4600704093D73 8 DMW 7

chklst
delvir

apply

regt 27
deltmp
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {59EFE487-E5B8-4FAE-9D2C-FCDF0B70CE70}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\22.131.0619.0001\I386\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\ADMINISTRATOR\DESKTOP\ОБУЧЕНИЕ\NOTEPAD++\NPPSHELL_06.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2001.10-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\INTCDAUD.SYS
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\UNP\RUNCAMPAIGNMANAGER
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\138.0.7204.97\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\FEEDBACK\FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\72.0.3626.96\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\CLOUD_PRINT\CLOUD PRINT
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.139\RESOURCES\GAIA_AUTH\GAIAAUTHEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.55\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.37\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.102\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref D:\AUTORUN.EXE
delref E:\ENDLESS LEGEND\ENDLESSLEGEND.EXE
delref E:\BUKA\MMCOLLECTION\MM_VII\MM7SETUP.EXE
delref E:\BUKA\MMCOLLECTION\MM_VII\3DO.URL
delref E:\BUKA\MMCOLLECTION\MM_VII\BUKA.URL
delref E:\BUKA\MMCOLLECTION\MM_VII\MM7_UNINST.EXE
delref E:\DISCIPLES2\LINKS\DISCIPLES 2 WEBSITE.URL
delref E:\DISCIPLES2\DISCIPL2.EXE
delref E:\DISCIPLES2\SCENEDIT.EXE
delref E:\DISCIPLES2\LINKS\SFI WEBSITE.URL
delref E:\DISCIPLES2\CONFIGEDITOR.EXE
delref E:\DISCIPLES2\LINKS\NIKITA.URL
delref E:\DISCIPLES2\LINKS\RUSSOBIT.URL
delref %SystemDrive%\USERS\ADMINISTRATOR\DESKTOP\ОБУЧЕНИЕ\SOAPUI-5.7.0\UNINSTALL.EXE
delref %SystemDrive%\USERS\ADMINISTRATOR\DESKTOP\ОБУЧЕНИЕ\SOAPUI-5.7.0\BIN\SOAPUI-5.7.0.EXE
delref E:\TESO\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE
delref E:\DII\DISCIPLES GOLD\EXE\DISCIPLE.EXE
delref E:\DII\RISE OF THE ELVES\DISCIPL2.EXE
delref E:\DII\GALLEANS RETURN\DISCIPL2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив CZOO_дата_время.7z из папки, откуда был запущен uVS,

Если файл большой, загрузите его на облачный диск и дайте ссылку на скачивание здесь.

+

добавьте новые логи FRST для контроля

Изменено 1 час назад пользователем safety

1 час назад

Скрипт отработал, но перезагрузку не запустил. Вместо этого Касперский предложил вылечить заражение, я зачем-то согласился и он удалил start.exe.

После перезагрузки ошибки больше нет, но нет и описанных логов в папке uVS.

Что сейчас лучше сделать? Повторить скрипт с отключенным Касперским?

Или просто выгрузить логи FRST?

15 минут назад

Антивирус Касперского предварительно временно отключите.

Если архив с uVS сохранился, заново распакуйте архив и запустите start.exe от имени Администратора.

(если не сохранился, заново скачайте по ссылке)

и еще раз выполните скрипт в uVS.

Надо убедиться, что файл был удален.

SYSAPP64.EXE

Изменено 13 минут назад пользователем safety

dwm.exe обращается к https://pastebin.com/raw

Рекомендуемые сообщения

Александр Журавлев

safety

Александр Журавлев

Александр Журавлев

safety

Александр Журавлев

safety

Александр Журавлев

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum