[РЕШЕНО] dwm.exe обращается к https://pastebin.com/raw

[Александр Журавлев]

Здравствуйте.
Включил компьютер и антивирус начал спамить остановками перехода. Каждые 10 секунд примерно.

 

Пишет следующее:

 

Имя программы: dwm.exe
Путь к программе: C:\Windows\System32
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: https://pastebin.com/raw/TuA6LgKH?t=1758783229
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: TuA6LgKH?t=1758783229
Путь к объекту: https://pastebin.com/raw
Причина: Облачная защита

 

Что можно сделать, чтоб исправить ситуацию? Как-то может заблокировать этот сайт?

Или проверить dwm?

[safety]

Скорее всего система заражена.

Необходимо предоставить логи по правилам для анализа и очистки системы.

 

[Александр Журавлев]

Проверку с помощью Kaspersky Virus Removal Tool провел. Угроз не обнаружено.

 

Автологгер скачал и запустил. Архив лога прикрепил.

 

Посмотрите, пожалуйста.

CollectionLog-2025.09.25-10.31.zip

[Александр Журавлев]

Добавлю. Через некоторое время (7-8 минут после начала работы) прекращает спамить событие "Переход остановлен" и показывает событие "Обнаружена ранее открытая опасная ссылка". На этом уведомления прекращаются.

После перезагрузки компьютера ситуация повторяется.

[safety]

+

дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[Александр Журавлев]

Вот.

DESKTOP-H0I3HE5_2025-09-25_11-23-03_v5.0.1v x64.7z

[safety]

Хорошо, отслеживание включено

есть модифицированный процесс:

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен процесс с измененным кодом, сопоставленное ему имя файла может быть неверным: C:\WINDOWS\SYSTEM32\DWM.EXE [5920]

скорее всего в цепочке запуска  этот файл:

C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE

HKEY_USERS\S-1-5-21-2165992932-1554351566-2442056022-1001\Environment\UserInitMprLogonScript

C:\Users\Administrator\AppData\Roaming\Microsoft\Dism\appcore\sysapp64.exe

 

Скрипт очистки сейчас добавлю.

 

Выполните очистку системы:

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
icsuspend
delfake
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE
addsgn BA6F9BB21DE1495712A4AE7664C912052562660B76058FE8CD40019493D96E4C6B942F7F76DE984C32F08458461649FA7D37928FAA2520BC65F4600704093D73 8 DMW 7

chklst
delvir

apply

regt 27
deltmp
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY INTERNET SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref {59EFE487-E5B8-4FAE-9D2C-FCDF0B70CE70}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\22.131.0619.0001\I386\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\ADMINISTRATOR\DESKTOP\ОБУЧЕНИЕ\NOTEPAD++\NPPSHELL_06.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2001.10-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\MSOETWRES.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\OFFICE16\WWLIB.DLL
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\INTCDAUD.SYS
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX86\MICROSOFT SHARED\OFFICE16\MSO.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\UNP\UNPCAMPAIGNMANAGER.EXE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\UNP\RUNCAMPAIGNMANAGER
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\138.0.7204.97\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\FEEDBACK\FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\72.0.3626.96\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\CLOUD_PRINT\CLOUD PRINT
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.139\RESOURCES\GAIA_AUTH\GAIAAUTHEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\66.0.3359.117\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\136.0.7103.93\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\120.0.6099.130\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.8.1.834\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.35\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.55\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\91.0.864.37\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\139.0.3405.102\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref D:\AUTORUN.EXE
delref E:\ENDLESS LEGEND\ENDLESSLEGEND.EXE
delref E:\BUKA\MMCOLLECTION\MM_VII\MM7SETUP.EXE
delref E:\BUKA\MMCOLLECTION\MM_VII\3DO.URL
delref E:\BUKA\MMCOLLECTION\MM_VII\BUKA.URL
delref E:\BUKA\MMCOLLECTION\MM_VII\MM7_UNINST.EXE
delref E:\DISCIPLES2\LINKS\DISCIPLES 2 WEBSITE.URL
delref E:\DISCIPLES2\DISCIPL2.EXE
delref E:\DISCIPLES2\SCENEDIT.EXE
delref E:\DISCIPLES2\LINKS\SFI WEBSITE.URL
delref E:\DISCIPLES2\CONFIGEDITOR.EXE
delref E:\DISCIPLES2\LINKS\NIKITA.URL
delref E:\DISCIPLES2\LINKS\RUSSOBIT.URL
delref %SystemDrive%\USERS\ADMINISTRATOR\DESKTOP\ОБУЧЕНИЕ\SOAPUI-5.7.0\UNINSTALL.EXE
delref %SystemDrive%\USERS\ADMINISTRATOR\DESKTOP\ОБУЧЕНИЕ\SOAPUI-5.7.0\BIN\SOAPUI-5.7.0.EXE
delref E:\TESO\STEAMAPPS\COMMON\ZENIMAX ONLINE\UNINSTALL\UNINSTALL THE ELDER SCROLLS ONLINE.EXE
delref E:\DII\DISCIPLES GOLD\EXE\DISCIPLE.EXE
delref E:\DII\RISE OF THE ELVES\DISCIPL2.EXE
delref E:\DII\GALLEANS RETURN\DISCIPL2.EXE
;-------------------------------------------------------------

restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Добавьте архив CZOO_дата_время.7z из папки, откуда был запущен uVS,

Если файл большой, загрузите его на облачный диск и дайте ссылку на скачивание здесь.

+

добавьте новые логи FRST для контроля

Изменено 4 часа назад пользователем safety

[Александр Журавлев]

Скрипт отработал, но перезагрузку не запустил. Вместо этого Касперский предложил вылечить заражение, я зачем-то согласился и он удалил start.exe.

После перезагрузки ошибки больше нет, но нет и описанных логов в папке uVS.

 

Что сейчас лучше сделать? Повторить скрипт с отключенным Касперским?

Или просто выгрузить логи FRST?

[safety]

Антивирус Касперского предварительно временно отключите.

Если архив с uVS сохранился, заново распакуйте архив и запустите start.exe от имени Администратора.

(если не сохранился, заново скачайте по ссылке)

и еще раз выполните скрипт в uVS.

Надо убедиться, что файл  был удален.

SYSAPP64.EXE

Изменено 2 часа назад пользователем safety

[Александр Журавлев]

Теперь один лог появился. А вот CZOO так и не сформировался. (Может быть связано, что запускаю start.exe вместо start64.exe. Винда 64-битная).

Логи FRST также прилагаю.

2025-09-25_15-00-02_log.txt FRST.txt Addition.txt

[safety]

он уже после первой попытки выполнения скрипта был удален. т.е. со второй попытки мы его уже не нашли.

--------------------------------------------------------------------------------------------------
zoo %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE
--------------------------------------------------------------------------------------------------
Копирование файла в Zoo: \\?\C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE
C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\DISM\APPCORE\SYSAPP64.EXE [Error: 0x2 - Не удается найти указанный файл. ]
\\?\C:\USERS\ADMINISTRATOR\DESKTOP\UVS\ZOO\SYSAPP64.EXE.---
Не удалось скопировать файл [Error: 0x0 - Операция успешно завершена. ]

--------------------------------------------------------------------------------------------------
Проверка списка...
--------------------------------------------------------------------------------------------------
Проверено файлов: 3068
Найдено вирусов: 0

 

Логи FRST сейчас проверю.

В логах FRST нет его.

 

Если других вопросов или проблем в работе системы нет:

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено 1 час назад пользователем safety

[Александр Журавлев]

Ссылка не открывается. Пробовал на разных браузерах, с впн и без.
У вас нет дублирующей ссылки?

[safety]

Попробуйте еще раз скачать,

https://www.safezone.cc/resources/security-check-by-glax24.25/download

https://tools.safezone.cc/glax24/SecurityCheck/SecurityCheckH.zip

[Sandor]

Вот альтернативная ссылка: https://www.comss.ru/page.php?id=1813

[Александр Журавлев]

Спасибо. С comss удалось скачать.

Прикладываю файл.

SecurityCheck.txt