Вирус после kms-auto

вчера в 00:22

Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.

FRST.txt Addition.txt

вчера в 03:22

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

вчера в 08:17

CollectionLog-2026.01.12-11.16.zip

1 час назад

В безопасном режиме (важно!) выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\ztbhbqffszlu\knhxxdxxcljq.exe', '');
 QuarantineFileF('C:\ProgramData\ztbhbqffszlu\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0, 0);
 DeleteSchedulerTask('Microsoft\Windows\Clean\Cleans temporal directories');
 DeleteFile('C:\ProgramData\ztbhbqffszlu\knhxxdxxcljq.exe', '64'); QuarantineFile('C:\Windows\Clean\CleanTemp.vbs', '');
 DeleteFile('C:\Windows\Clean\CleanTemp.vbs', '64');
 DeleteService('NNWNJSZB');
 DeleteFileMask('C:\ProgramData\ztbhbqffszlu\', '*', true);
 DeleteDirectory('C:\ProgramData\ztbhbqffszlu\');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(9);
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки (в нормальном режиме), выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

Удалите старые и соберите новые логи FRST.txt и Addition.txt

51 минута назад

ClearLNK-2026.01.13_12.36.41.log

FRST.txt Addition.txt

27 минут назад

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-373537544-707826634-348654496-1000\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла)
HKU\S-1-5-21-373537544-707826634-348654496-1000\...\Run: [GameCenter] => "C:\Users\Professional\AppData\Local\GameCenter\GameCenter.exe" -autostart (Нет файла)
HKU\S-1-5-19\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-373537544-707826634-348654496-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
U3 bits; C:\Windows\System32\svchost.exe [55320 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
U3 bits; C:\Windows\SysWOW64\svchost.exe [46504 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
U3 dosvc; C:\Windows\System32\svchost.exe [55320 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
U3 dosvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1503232 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
U2 UsoSvc; C:\Windows\system32\svchost.exe [55320 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
U2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [46504 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\system32\WaasMedicSvc.dll [427520 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
U3 wuauserv; C:\Windows\system32\svchost.exe [55320 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
U3 wuauserv; C:\Windows\SysWOW64\svchost.exe [46504 2022-11-03] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3406848 2022-11-03] (Microsoft Windows -> Microsoft Corporation)
AlternateDataStreams: C:\Windows\tracing:? [16]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Blend for Visual Studio 2022.lnk:D689419597 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [3442]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442]
AlternateDataStreams: C:\Users\Professional\AppData\Local\Microsoft:ISBD [130]
StartPowerShell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Users\Professional"
Remove-MpPreference -ExclusionPath "C:"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
FirewallRules: [{BC611753-D29F-4C1A-818B-6C5F934A5FA6}] => (Allow) LPort=57209
FirewallRules: [{2EF1C3D2-6723-476B-89A5-6801F6DBA27C}] => (Allow) LPort=57210
FirewallRules: [{1EAED542-EE21-4A44-B73A-A2B0DC42B2FE}] => (Allow) LPort=57211
FirewallRules: [{F718CC50-061A-4CA2-8A87-137C8D83244D}] => (Allow) LPort=57212
FirewallRules: [{DCA757DD-0439-46F2-B9E3-9E044E7F7FA5}] => (Allow) LPort=57213
FirewallRules: [{C114101F-3C50-43AE-B90A-A0E682C3C128}] => (Allow) LPort=57214
FirewallRules: [{CD8D552A-06D9-4C71-B32F-A88423AE03E8}] => (Allow) LPort=57215
FirewallRules: [{FB888ABE-C575-4B2B-9444-4B6853D0858D}] => (Allow) LPort=57216
FirewallRules: [{5F440B42-063D-428F-8B23-F59914FC9E01}] => (Allow) LPort=57217
FirewallRules: [{916A3E35-D851-4198-8AE8-147B12DAF79A}] => (Allow) LPort=57218
FirewallRules: [{91B70831-7D94-4119-A25C-25C517A61B73}] => (Allow) LPort=57209
FirewallRules: [{8F6177FF-AF12-41A0-A29E-0AC4CB1099B9}] => (Allow) LPort=57210
FirewallRules: [{2ED3D635-FA4A-433C-8144-B01619476BF7}] => (Allow) LPort=57211
FirewallRules: [{621AE187-6770-4436-9923-FCDB10C33448}] => (Allow) LPort=57212
FirewallRules: [{41EA5819-1BBC-4FD9-A0FA-719BD7DD6DFD}] => (Allow) LPort=57213
FirewallRules: [{48F68013-012A-4C5F-8A31-43B6409B9A2D}] => (Allow) LPort=57214
FirewallRules: [{9E793AB8-7D0F-436E-9393-B20960BE6CBD}] => (Allow) LPort=57215
FirewallRules: [{7351E603-8BBE-4221-929A-54630D997D6C}] => (Allow) LPort=57216
FirewallRules: [{244C5788-9046-4280-81D4-BD0AD3BDDB07}] => (Allow) LPort=57217
FirewallRules: [{468E9490-D2BC-4F33-A9C0-E57CD4843225}] => (Allow) LPort=57218
FirewallRules: [{583232F7-68CA-43A2-8B33-9439DBC5E1CA}] => (Allow) LPort=23007
FirewallRules: [{7129E7E7-7F09-43F2-BDB8-A9024753E799}] => (Allow) LPort=23008
FirewallRules: [{01567F26-275F-49AE-8E48-15FE251461D5}] => (Allow) LPort=33009
FirewallRules: [{AAF13BAA-2C9D-40AF-A041-117DC0A7E093}] => (Allow) LPort=33010
FirewallRules: [{F1F3FA7C-DA56-4B8D-990D-54F97A842D58}] => (Allow) LPort=33011
FirewallRules: [{3492AF39-AE45-4F88-B667-319BD8F62A10}] => (Allow) LPort=43012
FirewallRules: [{7616A8F3-9DA9-4B14-905B-97F36CA01B91}] => (Allow) LPort=43013
FirewallRules: [{3478F987-0E6B-45A8-A6D4-0E6B8D300377}] => (Allow) LPort=53014
FirewallRules: [{84D1F938-7DA5-4B24-A5B8-D3A7837CACDE}] => (Allow) LPort=53015
FirewallRules: [{7C6C7F1F-525C-4418-A84D-676B74DF1449}] => (Allow) LPort=53016
FirewallRules: [{6A15C86A-17A2-4761-8181-B95737EE694E}] => (Allow) LPort=23007
FirewallRules: [{C5D745E0-C904-408C-9814-D02D90222471}] => (Allow) LPort=23008
FirewallRules: [{CB4F9326-32A3-41BA-9F45-E9DA96BB62C0}] => (Allow) LPort=33009
FirewallRules: [{BD6835AE-2F7C-4EB6-9DAE-C7AB349F3480}] => (Allow) LPort=33010
FirewallRules: [{A06F0ECD-5FFC-490B-94F1-C0B4DE0B3BFF}] => (Allow) LPort=33011
FirewallRules: [{E4210309-58F8-413B-B3C3-E52F37748C88}] => (Allow) LPort=43012
FirewallRules: [{7D1B8BFE-A366-4FE3-93E3-1062BA73E2BD}] => (Allow) LPort=43013
FirewallRules: [{736C0D5A-80F4-41B6-B191-3F6919072F10}] => (Allow) LPort=53014
FirewallRules: [{67A51283-B7A8-4F09-BE8D-2BA7395AAE27}] => (Allow) LPort=53015
FirewallRules: [{53343751-FE02-4688-A734-05A2CBFDA8F6}] => (Allow) LPort=53016
FirewallRules: [{45056168-0D98-466C-A169-67009B424A8B}] => (Allow) LPort=50053
FirewallRules: [{F22ABEAD-7101-450F-A257-6BC3699F0B5C}] => (Allow) LPort=50053
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Скачайте этот архив, извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений.

Перезагрузите компьютер и проверьте наличие/отсутствие проблемы.

Вирус после kms-auto

Рекомендуемые сообщения

bl1nchik2287

thyrex

bl1nchik2287

Sandor

bl1nchik2287

Sandor

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum