tkm Опубликовано Суббота в 02:59 Опубликовано Суббота в 02:59 Пожалуйста, помогите навести порядок с ПК. Что-то недружественное рузит процессор. Был бы рад помощи от safety AutoLogger.exe не смог скачать - недоступен safezone.cc
safety Опубликовано Суббота в 06:53 Опубликовано Суббота в 06:53 дополнительно сделайте образ автозапуска системы в uVS с отслеживанием процессов и задач. Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса. 1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог. 2. запустите из каталога с модулями uVS файл Start.exe (для Vista, W7- W11 выберите запуск от имени Администратора) 3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора) 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. 4. Далее, меню "Файл" / Сохранить Полный образ автозапуска. 5. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
tkm Опубликовано Суббота в 13:38 Автор Опубликовано Суббота в 13:38 ASUS_2025-10-04_20-33-13_v5.0.2v x64.7z
safety Опубликовано Суббота в 20:53 Опубликовано Суббота в 20:53 (изменено) Надо переделать образ автозапуска с отслеживанием процессов и задач Отслеживание процессов и задач не включено. + необходимо будет включить Антиспласинг. 3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4 Если запросили образ автозапуска с отслеживанием процессов и задач: В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, В стартовом меню выбрать Антисплайсинг + далее текущий пользователь 4, 5, 6. Изменено Суббота в 20:54 пользователем safety
tkm Опубликовано вчера в 02:12 Автор Опубликовано вчера в 02:12 5 часов назад, safety сказал: Отслеживание процессов и задач не понимаю, как/где это включить?
safety Опубликовано вчера в 03:33 Опубликовано вчера в 03:33 (изменено) Это включится автоматически, надо только нажать на твик 39, как указано в инструкции. подробнее. В главном меню uVS выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки еще раз запускаем uVS (через тот же start.exe от Администратора) В стартовом меню нажимаем Антисплайинг, затем только Текущий пользователь. Ждем загрузки основного меню uVS. Далее, уже как в предыдущем случае: меню "Файл" / Сохранить Полный образ автозапуска Передаем полученный файл на форум в ваше сообщение. Возможно майнера в системе и нет. Но есть сплайсинг, т.е перехваты и подмена функций, возможно при этом сокрытие данных для анализа. Потому нам необходим расширенный образ автозапуска с включением Антисплайсинга, и отслеживание процессов и задач. Справитесь? Изменено вчера в 03:42 пользователем safety
tkm Опубликовано 15 часов назад Автор Опубликовано 15 часов назад я 100 лет не испльзовал TeamViewer. Сейчас после перезагрузки он открылся с запоненным ID и просьбой подтвердить. Может такое быть, что он запускался сам втихую? ASUS_2025-10-05_21-08-53_v5.0.2v x64.7z
safety Опубликовано 5 часов назад Опубликовано 5 часов назад (изменено) Хорошо, вижу что справились: (!) Удален сплайсинг из функции: C:\WINDOWS\SYSTEM32\CRYPT32.DLL!CertComparePublicKeyInfo Teamviewer легальный Действительна, подписано TeamViewer Germany GmbH Запускается через службу HKLM\SYSTEM\ControlSet001\Services\TeamViewer\ImagePath Скрипт ниже добавлю Изменено 5 часов назад пользователем safety
tkm Опубликовано 3 часа назад Автор Опубликовано 3 часа назад 1 час назад, safety сказал: Хорошо, вижу что справились я старался 🙂
safety Опубликовано 2 часа назад Опубликовано 2 часа назад (изменено) Ничего особенного не нашлось. Teamviewer, если не пользуетесь, можно остановить сервис "до лучших времен". Отслеживание процессов и задач отключил. (в скрипте) По очистке системы: Выполните скрипт очистки в uVS Выполните в uVS скрипт из буфера обмена. ЗАпускаем start,exe от имени Администратора (если не запущен) текущий пользователь, Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер. В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена" Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы. ;uVS v5.0.2v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE hide %SystemDrive%\PROGRAM FILES\ORBWEB INC\ZENANYWHERE\UPDATER.EXE hide %SystemDrive%\PROGRAM FILES\ORBWEB INC\ZENANYWHERE\ZENANYWHERE.EXE ;------------------------autoscript--------------------------- delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=PRASU1&SRC=IE11TR&PC=ASTE delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID] delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID] delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID] delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID] delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID] delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL delref %Sys32%\DRIVERS\VMBUSR.SYS delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID] delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\89.0.774.63\MSEDGE.DLL delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2102.4-0\DRIVERS\WDNISDRV.SYS delref %SystemDrive%\PROGRAM FILES\MICROSOFT SURFACE\V2.0\MICROSOFT-SURFACE-PRESENTATION.MAN.DLL delref %SystemDrive%\PROGRAM FILES\MICROSOFT SURFACE\V2.0\MICROSOFT-SURFACE-CORE.MAN.DLL delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %SystemDrive%\PROGRAM FILES\TIGHTVNC\TVNSERVER.EXE delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %Sys32%\DRIVERS\MFETDI2K.SYS delref %Sys32%\DRIVERS\GRDKEY.SYS delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\133.0.6943.142\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\138.0.7204.49\RESOURCES\NETWORK_SPEECH_SYNTHESIS\MV3\GOOGLE NETWORK SPEECH delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\133.0.6943.142\RESOURCES\PDF\CHROME PDF VIEWER delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\133.0.6943.142\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\136.0.7103.114\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.10.4.756\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.10.4.756\RESOURCES\YANDEX\BOOK_READER\BOOKREADER delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.10.4.756\RESOURCES\OPERA_STORE\OPERA STORE delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.10.4.756\RESOURCES\PDF\CHROMIUM PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.58\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.58\RESOURCES\EDGE_SHARE\EDGE SHARE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.58\RESOURCES\EDGE_SUPPRESS_CONSENT_PROMPT\SUPPRESS CONSENT PROMPT delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\84.0.522.52\RESOURCES\PDF\MICROSOFT EDGE PDF VIEWER delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\114.0.1823.58\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\137.0.3296.93\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION delref {FD3BEB0C-AB43-4253-9146-C371D48FBE0D}\[CLSID] delref %SystemDrive%\USERS\TKM\APPDATA\LOCAL\TEMP\.OPERA\20F3A36ECD49\INSTALLER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\ANVIR TASK MANAGER\ANVIR.EXE regt 40 ;------------------------------------------------------------- restart После перезагрузки системы: Добавьте файл дата_времяlog.txt из папки откуда запускали uVS + добавьте новые логи FRST для контроля Изменено 2 часа назад пользователем safety
tkm Опубликовано 2 часа назад Автор Опубликовано 2 часа назад (изменено) тут нюанс появился - перестал работать VPN, вернее при его подключении теряется интернет Это и есть сплайсинг? Изменено 2 часа назад пользователем tkm
safety Опубликовано 1 час назад Опубликовано 1 час назад (изменено) Не должен. Антисплайсинг включается только в пределах сборки образа автозапуска и выполнения скрипта. Как вариант, переустановите VPN. Изменено 1 час назад пользователем safety
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти