[РЕШЕНО] Подозрительный процесс/файл WinDivert64.sys с описанием схожим на вирус?

[shougo04]

Не заходил в Discord очень долго, увидел на почте gmail что кто-то меня отметил в сообщении, решил глянуть, оказалось Discord не работает, скачал zapretdisyt, он так и не заработал.

Подумал ладно, не судьба. Удалил zapret и позже удалю и Discord. При удалении zapretdisyt вылезло вот такое сообщение описание файла WinDivert64.sys в котором меня насторожило слово bitcoin, страшно.

 

 

Прикрепляю логи от программы miderfinder; autologger ниже со скриншотом при удалении файла. 

 

 

MinerSearch_26.12.2025_3-24-55.logreport2.logreport1.logCollectionLog-2025.12.26-03.20.zip

 

 

Живу +4 от МСК поэтому смогу ответить только после 08:00 по МСК как встану, пост отправил в 03:33 ночи. Заранее огромное спасибо любому, кто ответит здесь или уделит любой вид внимания этому посту. я вас всех люблю

[safety]

Сделайте дополнительно образ автозапуска.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[shougo04]

Всё сделал вот!

MONKPC_2025-12-26_14-07-11_v5.0.3v x64.7z

Изменено 13 часов назад пользователем shougo04

[safety]

Ничего подозрительного нет, чистим мусор.

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\PROGRAM FILES\AMD\CIM\BIN64\INSTALLMANAGERAPP.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\AMD\CNEXT\CNEXT\CNCMD.EXE
delref %SystemDrive%\PROGRAM FILES\AMD\CNEXT\CNEXT\RSSERVCMD.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\REGIDLEBACKUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\SHELL\UPDATEUSERPICTURETASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKFOOTPRINT\STORAGESENSE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\HELLOFACE\FODCLEANUPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\TIME SYNCHRONIZATION\SYNCHRONIZETIME
delref {EBF00FCB-0769-4B81-9BEC-6C05514111AA}\[CLSID]
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\SHELL\FAMILYSAFETYREFRESH
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\AUTOCHK\PROXY
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKDIAGNOSTIC\MICROSOFT-WINDOWS-DISKDIAGNOSTICRESOLVER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\NETTRACE\GATHERNETWORKINFO
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\STARTUPAPPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\USER PROFILE SERVICE\HIVEUPLOADTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER SCHEDULED SCAN
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\MAREBACKUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\SPEECH\SPEECHMODELDOWNLOADTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\KERNELCEIPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER CACHE MAINTENANCE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MAINTENANCE\WINSAT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MAPS\MAPSTOASTTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\PROGRAMDATAUPDATER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\USBCEIP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS ERROR REPORTING\QUEUEREPORTING
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\FEEDBACK\SIUF\DMCLIENTONSCENARIODOWNLOAD
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\MICROSOFT COMPATIBILITY APPRAISER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\OOBE-MAINTENANCE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS FILTERING PLATFORM\BFEONSERVICESTARTTYPECHANGE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPXDEPLOYMENTCLIENT\UCPD VELOCITY
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\FEEDBACK\SIUF\DMCLIENT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DIAGNOSIS\RECOMMENDEDTROUBLESHOOTINGSCANNER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\OFFLINE FILES\LOGON SYNCHRONIZATION
delref {0AC1DBCA-7F9F-47FC-A090-34E5FEB291E8}\[CLSID]
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\LIVE\ROAMING\MAINTENANCETASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKDIAGNOSTIC\MICROSOFT-WINDOWS-DISKDIAGNOSTICDATACOLLECTOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\RAS\MOBILITYMANAGER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DIAGNOSIS\SCHEDULED
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\TIME ZONE\SYNCHRONIZETIMEZONE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPXDEPLOYMENTCLIENT\PRE-STAGED APP CLEANUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKFOOTPRINT\DIAGNOSTICS
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\SHELL\FAMILYSAFETYREFRESHTASK
delref {5F074BDF-4BA3-4E68-AE86-2A6B0B5963B0}\[CLSID]
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\LIVE\ROAMING\SYNCHRONIZEWITHSTORAGE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\POWER EFFICIENCY DIAGNOSTICS\ANALYZESYSTEM
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER CLEANUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\SHELL\FAMILYSAFETYMONITOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\LOCATION\WINDOWSACTIONDIALOG
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER VERIFICATION
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MAPS\MAPSUPDATETASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\LOCATION\NOTIFICATIONS
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\SHELL\THEMESSYNCEDIMAGEDOWNLOAD
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\OFFLINE FILES\BACKGROUND SYNCHRONIZATION
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\CONSOLIDATOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\TIME SYNCHRONIZATION\FORCESYNCHRONIZETIME
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\EXPLOITGUARD\EXPLOITGUARD MDM POLICY REFRESH
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\143.0.3650.80\INSTALLER\SETUP.EXE
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\SECDRV.SYS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.146\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.146\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.146\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.146\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\MICROSOFT_VOICES\MICROSOFT VOICES
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\134.0.3124.66\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\MSEDGE.EXE
delref %SystemDrive%\USERS\МОНАХ\DESKTOP\SOM\TOOL\SOM.EXE
delref %SystemDrive%\USERS\МОНАХ\DESKTOP\SOM\TOOL\SOM_EX.EXE
;-------------------------------------------------------------

restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

[shougo04]

Добавляю файл после выполнения скрипта

2025-12-26_14-47-26_log.txt

12 минут назад, safety сказал:

Ничего подозрительного нет, чистим мусор.

 

А как же это ОЧЕНЬ подозрительное описание при удалении файла? о_О 

Изменено 12 часов назад пользователем shougo04

[safety]

18 минут назад, shougo04 сказал:

А как же это ОЧЕНЬ подозрительное описание при удалении файла? о_О 

Вообще этот драйвер используется для обхода ограничений по доступу, обычно его не трогаем, он безопасен, но в вашем случае видимо все таки был удален, нет его в автозапуске.

 

если очистка пройдет успешно, и не останется вопросов и проблем в работе системы:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено 12 часов назад пользователем safety

[shougo04]

6 минут назад, safety сказал:

Вообще этот драйвер используется для обхода ограничений по доступу, обычно его не трогаем, он безопасен, но в вашем случае видимо все таки был удален, нет его в автозапуске.

 

если очистка пройдет успешно, и не останется вопросов и проблем в работе системы:

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Там просто написано bitcoin и остальное выглядит как номер криптокошелька, я поэтому на майнер сразу же подумал 

Вот лог от секьюритичек!

 

SecurityCheck.txt

[safety]

Хорошо, это еще проверим.

Цитата

Фоновая интеллектуальная служба передачи (BITS) (BITS) - Служба остановлена
Оптимизация доставки (DoSvc) - Служба остановлена
Служба оркестратора обновлений (UsoSvc) - Служба работает
Служба Medic центра обновления Windows (WaaSMedicSvc) - Служба остановлена
Центр обновления Windows (wuauserv) - Служба остановлена

Сделайте еще логи FRST.

 

[shougo04]

Сканы FRST (все галочки)

Addition.txt Shortcut.txt

[thyrex]

Файл FRST.txt тоже нужен

[shougo04]

Сканы FRST (все галочки)FRST.txt

[safety]

модифицированных трояном _bkp служб нет, но есть возможно поломанные другие службы,

Сделайте проверку целостности системы в командной строке от Администратора.

sfc /scannow

 

[shougo04]

Логи sfc /scannow 

 

FilterList.log

[safety]

По очистке  системы

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
Task: {53FE559C-30AB-4515-B492-C8B30F409C83} - \Microsoft\Windows\Application Experience\AitAgent -> Нет файла <==== ВНИМАНИЕ
CHR StartupUrls: Default ->
2025-11-04 07:24 - 2025-11-04 07:24 - 000000970 _____ C:\Users\Монах\setup.dat
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

[shougo04]

Fixlog.txt