[РЕШЕНО] Вирус после kms-auto

[bl1nchik2287]

Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.

FRST.txt Addition.txt

[thyrex]

Здравствуйте.

 

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[bl1nchik2287]

CollectionLog-2026.01.12-11.16.zip

[Sandor]

В безопасном режиме (важно!) выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\ztbhbqffszlu\knhxxdxxcljq.exe', '');
 QuarantineFileF('C:\ProgramData\ztbhbqffszlu\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteSchedulerTask('Microsoft\Windows\Clean\Cleans temporal directories');
 DeleteFile('C:\ProgramData\ztbhbqffszlu\knhxxdxxcljq.exe', '64'); QuarantineFile('C:\Windows\Clean\CleanTemp.vbs', '');
 DeleteFile('C:\Windows\Clean\CleanTemp.vbs', '64');
 DeleteService('NNWNJSZB');
 DeleteFileMask('C:\ProgramData\ztbhbqffszlu\', '*', true);
 DeleteDirectory('C:\ProgramData\ztbhbqffszlu\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки (в нормальном режиме), выполните такой скрипт:

 

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Файл Check_Browser_Lnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

 

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[bl1nchik2287]

ClearLNK-2026.01.13_12.36.41.log

FRST.txt Addition.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-373537544-707826634-348654496-1000\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
  HKU\S-1-5-21-373537544-707826634-348654496-1000\...\Run: [GameCenter] => "C:\Users\Professional\AppData\Local\GameCenter\GameCenter.exe" -autostart (Нет файла)
  HKU\S-1-5-19\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-373537544-707826634-348654496-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
  U3 bits; C:\Windows\System32\svchost.exe [55320 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  U3 bits; C:\Windows\SysWOW64\svchost.exe [46504 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
  U3 dosvc; C:\Windows\System32\svchost.exe [55320 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  U3 dosvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1503232 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
  U2 UsoSvc; C:\Windows\system32\svchost.exe [55320 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  U2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
  U3 wuauserv; C:\Windows\system32\svchost.exe [55320 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  U3 wuauserv; C:\Windows\SysWOW64\svchost.exe [46504 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
  S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3406848 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
  AlternateDataStreams: C:\Windows\tracing:? [16]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2022.lnk:D689419597 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [3442]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
  AlternateDataStreams: C:\Users\Professional\AppData\Local\Microsoft:ISBD [130]
  StartPowerShell:
  Remove-MpPreference -ExclusionExtension ".exe"
  Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
  Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\Users\Professional"
  Remove-MpPreference -ExclusionPath "C:"
  Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  FirewallRules: [{BC611753-D29F-4C1A-818B-6C5F934A5FA6}] => (Allow) LPort=57209
  FirewallRules: [{2EF1C3D2-6723-476B-89A5-6801F6DBA27C}] => (Allow) LPort=57210
  FirewallRules: [{1EAED542-EE21-4A44-B73A-A2B0DC42B2FE}] => (Allow) LPort=57211
  FirewallRules: [{F718CC50-061A-4CA2-8A87-137C8D83244D}] => (Allow) LPort=57212
  FirewallRules: [{DCA757DD-0439-46F2-B9E3-9E044E7F7FA5}] => (Allow) LPort=57213
  FirewallRules: [{C114101F-3C50-43AE-B90A-A0E682C3C128}] => (Allow) LPort=57214
  FirewallRules: [{CD8D552A-06D9-4C71-B32F-A88423AE03E8}] => (Allow) LPort=57215
  FirewallRules: [{FB888ABE-C575-4B2B-9444-4B6853D0858D}] => (Allow) LPort=57216
  FirewallRules: [{5F440B42-063D-428F-8B23-F59914FC9E01}] => (Allow) LPort=57217
  FirewallRules: [{916A3E35-D851-4198-8AE8-147B12DAF79A}] => (Allow) LPort=57218
  FirewallRules: [{91B70831-7D94-4119-A25C-25C517A61B73}] => (Allow) LPort=57209
  FirewallRules: [{8F6177FF-AF12-41A0-A29E-0AC4CB1099B9}] => (Allow) LPort=57210
  FirewallRules: [{2ED3D635-FA4A-433C-8144-B01619476BF7}] => (Allow) LPort=57211
  FirewallRules: [{621AE187-6770-4436-9923-FCDB10C33448}] => (Allow) LPort=57212
  FirewallRules: [{41EA5819-1BBC-4FD9-A0FA-719BD7DD6DFD}] => (Allow) LPort=57213
  FirewallRules: [{48F68013-012A-4C5F-8A31-43B6409B9A2D}] => (Allow) LPort=57214
  FirewallRules: [{9E793AB8-7D0F-436E-9393-B20960BE6CBD}] => (Allow) LPort=57215
  FirewallRules: [{7351E603-8BBE-4221-929A-54630D997D6C}] => (Allow) LPort=57216
  FirewallRules: [{244C5788-9046-4280-81D4-BD0AD3BDDB07}] => (Allow) LPort=57217
  FirewallRules: [{468E9490-D2BC-4F33-A9C0-E57CD4843225}] => (Allow) LPort=57218
  FirewallRules: [{583232F7-68CA-43A2-8B33-9439DBC5E1CA}] => (Allow) LPort=23007
  FirewallRules: [{7129E7E7-7F09-43F2-BDB8-A9024753E799}] => (Allow) LPort=23008
  FirewallRules: [{01567F26-275F-49AE-8E48-15FE251461D5}] => (Allow) LPort=33009
  FirewallRules: [{AAF13BAA-2C9D-40AF-A041-117DC0A7E093}] => (Allow) LPort=33010
  FirewallRules: [{F1F3FA7C-DA56-4B8D-990D-54F97A842D58}] => (Allow) LPort=33011
  FirewallRules: [{3492AF39-AE45-4F88-B667-319BD8F62A10}] => (Allow) LPort=43012
  FirewallRules: [{7616A8F3-9DA9-4B14-905B-97F36CA01B91}] => (Allow) LPort=43013
  FirewallRules: [{3478F987-0E6B-45A8-A6D4-0E6B8D300377}] => (Allow) LPort=53014
  FirewallRules: [{84D1F938-7DA5-4B24-A5B8-D3A7837CACDE}] => (Allow) LPort=53015
  FirewallRules: [{7C6C7F1F-525C-4418-A84D-676B74DF1449}] => (Allow) LPort=53016
  FirewallRules: [{6A15C86A-17A2-4761-8181-B95737EE694E}] => (Allow) LPort=23007
  FirewallRules: [{C5D745E0-C904-408C-9814-D02D90222471}] => (Allow) LPort=23008
  FirewallRules: [{CB4F9326-32A3-41BA-9F45-E9DA96BB62C0}] => (Allow) LPort=33009
  FirewallRules: [{BD6835AE-2F7C-4EB6-9DAE-C7AB349F3480}] => (Allow) LPort=33010
  FirewallRules: [{A06F0ECD-5FFC-490B-94F1-C0B4DE0B3BFF}] => (Allow) LPort=33011
  FirewallRules: [{E4210309-58F8-413B-B3C3-E52F37748C88}] => (Allow) LPort=43012
  FirewallRules: [{7D1B8BFE-A366-4FE3-93E3-1062BA73E2BD}] => (Allow) LPort=43013
  FirewallRules: [{736C0D5A-80F4-41B6-B191-3F6919072F10}] => (Allow) LPort=53014
  FirewallRules: [{67A51283-B7A8-4F09-BE8D-2BA7395AAE27}] => (Allow) LPort=53015
  FirewallRules: [{53343751-FE02-4688-A734-05A2CBFDA8F6}] => (Allow) LPort=53016
  FirewallRules: [{45056168-0D98-466C-A169-67009B424A8B}] => (Allow) LPort=50053
  FirewallRules: [{F22ABEAD-7101-450F-A257-6BC3699F0B5C}] => (Allow) LPort=50053
  EmptyTemp:
  Reboot:
  End::

 

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Скачайте этот архив, извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений.

Перезагрузите компьютер и проверьте наличие/отсутствие проблемы.

[bl1nchik2287]

Fixlog.txtВроде как помогло, жаль конечно с аккаунтов в браузере кикнуло, но думаю по-другому никак.

[Sandor]

О каких аккаунтах вы говорите? Была только очистка временных файлов в браузерах Яндекс и Опера. Или вы о том, что произошёл выход из аккаунтов?

 

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[bl1nchik2287]

SecurityCheck.txtДа, я про выход из аккаунтов браузера.

[Sandor]

Пароли аккаунтов вы ведь знаете, войдёте повторно.

 

Исправьте по возможности:

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
 

Подумайте о переходе на актуальную версию системы.

 

Git v.2.42.0.2 Внимание! Скачать обновления
Microsoft Office Professional Plus 2019 - ru-ru v.16.0.10417.20080 Внимание! Скачать обновления Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
^Инструкция по обновлению Microsoft Office.^
Node.js v.22.16.0 Внимание! Скачать обновления
GitHub Desktop v.3.4.20 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
7-Zip 23.01 (x64) v.23.01 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Notepad++ (32-bit x86) v.8.1.3 Внимание! Скачать обновления
Zoom v.5.15.3 (18551) Внимание! Скачать обновления
Cloudflare WARP v.25.4.943.0 Внимание! Скачать обновления
µTorrent v.3.5.5.46038 Внимание! Клиент сети P2P с рекламным модулем!
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^
AIMP v.v4.70.2254, 12.08.2021 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
OBS Studio v.29.1.3 Внимание! Скачать обновления
Opera Stable 125.0.5729.49 v.125.0.5729.49 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Yandex v.25.12.0.2197 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

[bl1nchik2287]

Большое спасибо за помощь!

[Sandor]

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".