[РЕШЕНО] Powershell.exe

[Sendgrish]

В общем то. Вчера сидел спокойно пользовался пк, обживал винду после установки, к слову поставил позавчера. Диски отформатировал, оставил только нужные файлы. Винду ставил офиц, но не помню откуда скачивал, может дело в самой винде. Внезапно док вед начал жаловаться на процессы powershell.exe, файл карантина прикрепляюdetails-20251102_132829.zip. Оставил, забыл. Сегодня уже нет жалоб дока, но я подозреваю, что перед запуском пк что-то запустилось из-за чего док не видит. Прогнал 2 раза касперским, удалил несколько вирусов, прогнал через автологер, архив тоже прикрепляюCollectionLog-2025.11.03-08.05.zip. В общем не знаю что делать, прошу помощи, так как не верю словам антивирусов, что все в порядке.

[Sandor]

Здравствуйте!

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Sendgrish]

Здравствуйте, спасибо за ранний ответ, все сделал, надеюсь всё, что нужно. Объединил всё в один архив

ArchiveWithFiles.zip

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-12-05] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-12-05] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-12-05] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-12-05] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138232 2024-12-05] (Microsoft Windows -> Microsoft Corporation)
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив, извлеките из него файлы и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

 

Перезагрузите компьютер и соберите новые логи FRST.txt и Addition.txt. Дождитесь завершения когда программа сама откроет два Блокнота с логами (иногда создаётся впечатление, что программа зависла), т.к. второй лог получился неполный.

 

Дополнительно:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

[Sendgrish]

Здравствуйте, все сделал, вроде все правильно архив во всеми логамиArchive.zip

[Sandor]

7 часов назад, Sandor сказал:

соберите новые логи FRST.txt и Addition.txt. Дождитесь завершения когда программа сама откроет два Блокнота с логами (иногда создаётся впечатление, что программа зависла), т.к. второй лог получился неполный.

Ещё это, пожалуйста.

[Sendgrish]

Вроде сделал, но в папке с FRST уже были эти файлы, надеюсь просто заменилисьarchive (2).zip

[Sandor]

Да, они заменились.

Такой скрипт выполните, пожалуйста:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  StartPowerShell:
  Remove-MpPreference -ExclusionExtension ".exe"
  Remove-MpPreference -ExclusionPath "C:\Users\sendgish"
  Remove-MpPreference -ExclusionPath "C:"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Для большого количества устройств не установлены драйверы.

Попробуйте скачать с официального сайта. Хотя боюсь, что для 11-й там нет поддержки.

Об этом можете посоветоваться в соседнем разделе форума.

 

Сообщите как себя сейчас ведёт система?

[Sendgrish]

Ну про драйвера могу сказать так, у них на сайте вроде даже биоса нормально не было, когда я искал. Вообще зря машиниста взял, надо было норм плату брать, а драйвера, да еще и для 11 винды, которая по сути не поддерживает их платы из-за отсутствия ТПМ 2.0 и secure boot, там точно не будут. Я уже забил на устройства без драйверов, может потом когда нибудь поставлю 10 винду, но не сейчас. Все сделал, что просили, файл прикреплю

Fixlog.txt

[Sandor]

Хорошо. Если проблема решена, в завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Sendgrish]

хорошо, вот архив

SecurityCheck.txt

[Sandor]

Исправьте по возможности:

 

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
 

Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35208 v.14.44.35208.0 Внимание! Скачать обновления
 

Читайте Рекомендации после удаления вредоносного ПО

[Sendgrish]

То есть мне надо обновить минду, я ведь правильно понимаю?

 

[Sandor]

Поскольку расширенная поддержка прекращена, теоретически система подвержена потенциальным уязвимостям.

Потому да, если есть возможность обновить до актуальной, это желательно сделать.

[Sendgrish]

C++ я обновил, но вот винду обновить не получается, так как когда ее ставил отключал проверку тпм 2.0, а у меня его нет