[РЕШЕНО] Вирус после использования KMS Auto

[Матвей_123]

Вирус в папке ProgramData, создает папку qhpxndiguijf. Началось после того, как хотел полноCollectionLog-2025.09.25-12.14.zipCollectionLog-2025.09.25-12.14.zipстью удалить старый офис на ноутбуке через KMS Auto. Файл логов прикладываю. Помогите, пожалуйста, ноутбук рабочий, не могу полностью сносить виндовс, заранее спасибо

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

McAfee

WebAdvisor by McAfee

 

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Матвей_123]

Addition.txtFRST.txtПрисылаю результат работы FRST64

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус, но не отключайте сеть.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  ProxyServer: [S-1-5-21-624384763-3209521592-2877319647-1001] => hxxp://127.0.0.1:12334
  RemoveProxy:
  C:\Users\unrav\AppData\Local\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho
  CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
  CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho]
  S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1474560 2025-09-11] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [98304 2025-09-11] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [114688 2025-09-11] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [94208 2025-09-11] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [184720 2025-09-11] (Microsoft Windows -> Корпорация Майкрософт)
  S2 RRYYLMHO; C:\ProgramData\qhpxndiguijf\pzawovtjthaq.exe [2898936 2025-09-25] (Microsoft Corporation -> Microsoft® Windows®) [Файл не подписан] <==== ВНИМАНИЕ
  C:\ProgramData\qhpxndiguijf\pzawovtjthaq.exe
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив, извлеките из него файлы и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

Изменено 26 сентября, 2025 пользователем Sandor
Изменен скрипт

[Матвей_123]

Исправление выполняется более часа и продолжает выполняться, оставлю на всю ночь и утром напишу результат. Это уже 3 попытка выполнить исправление. Файлы из архива еще не запускал

[Sandor]

Если так и не получилось, перезагрузите компьютер и выполните ещё раз тот же скрипт. Я его изменил.

[Матвей_123]

Добрый вечер, новый скрипт отработал за несколько секунд успешно, файлы из архива выполнил после исправления. Присылаю лог, спасибо, что помогаете Fixlog.txt

[Sandor]

Хорошо. Ещё один скрипт выполните.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  StartPowershell:
  Remove-MpPreference -ExclusionExtension ".exe"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Матвей_123]

Добрый день, скрипт выполнил. Спасибо, что отвечаете в выходные. Лог прикрепляюFixlog.txt

Изменено 28 сентября, 2025 пользователем Матвей_123

[Sandor]

Твики реестра применили? Проблема решена?

[Матвей_123]

Добрый день, твики из архива применил. Проблема не решена, сейчас заново установил антивирус - он снова ругается на папку и программу. Она каждые несколько минут появляется даже если руками удалить ее.

[Sandor]

Посмотрим такой лог:

 

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,

1. Скачайте Universal Virus Sniffer (uVS).
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
4. Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.

[Матвей_123]

Добрый день, прикрепляюMATVEI_2025-10-05_13-33-28_v5.0v x64.7z

 

[thyrex]

Удалите старые логи Farbar и сделайте новые.

[Sandor]

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

   ;uVS v5.0.2v x64 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv11.0
   v400c
   icsuspend
   zoo %SystemDrive%\PROGRAMDATA\QHPXNDIGUIJF\PZAWOVTJTHAQ.EXE
   addsgn BA6F9BB21DE149A795D4AE7664C912052562F6F689FA8FE8158B4678781517DC624082016802CE01A86CA4FA0E9D4DDF4DDFE8721D51C82465FC91E659062242 8 Trojan.BankBot.210 [DrWeb] 7
   
   chklst
   delvir
   
   ;---------command-block---------
   delref HTTP://127.0.0.1:12334
   delref WDE:\.EXE
   delref %SystemDrive%\PROGRAMDATA
   delref %Sys32%\CONFIG\SYSTEMPROFILE
   apply
   
   restart

    

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена…"
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер будет перезагружен.
6. В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его к своему сообщению.

Подробнее читайте в этом руководстве.

 

Если после перезагрузки проблема сохранится,

47 минут назад, thyrex сказал:

Удалите старые логи Farbar и сделайте новые.