Vova Fenik Опубликовано Вторник в 13:22 Опубликовано Вторник в 13:22 Здравствуйте, на днях заметил, что комп начал неестественно тормозить. А при проверке в диспетчере задач нагрузка резко падает со ста процентов, до обычных 30. Не долго думая скачал Cureit в надежде, что быстро исправлюсь от проблемы. Он обнаружил пару троянов, которые я видимо занес вместе с KMS, и быстро их удалил. Но вот Dealer.exe он удалить не смог, говоря об "Ошибке лечения". Собственно говоря как мне вылечить мой компьютер? Прикладываю лог из CureitCureit log.zip и из АвтологгераCollectionLog-2026.01.13-18.10.zip
thyrex Опубликовано Вторник в 16:55 Опубликовано Вторник в 16:55 Здравствуйте. Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши. Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код) begin if not IsWOW64 then begin SearchRootkit(true, true); SetAVZGuardStatus(True); end; QuarantineFile('C:\Users\Владимир\AppData\Roaming\utorrent\pro\uTorrentClient.exe',''); DeleteFile('C:\Users\Владимир\AppData\Roaming\utorrent\pro\uTorrentClient.exe','64'); DeleteSchedulerTask('UpdateTorrent'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(false); end.Обратите внимание: будет выполнена перезагрузка компьютера. Выполните скрипт в AVZ begin DeleteFile(GetAVZDirectory+'quarantine.7z'); ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true); end.Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма. Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
Vova Fenik Опубликовано Вторник в 18:08 Автор Опубликовано Вторник в 18:08 Сделал как в инструкции. Прекрпляю логCollectionLog-2026.01.13-23.07.zip. Файл "карантин" отправил на почту
thyrex Опубликовано Вторник в 18:24 Опубликовано Вторник в 18:24 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. 1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files. 3. Нажмите кнопку Scan (Сканировать). Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
thyrex Опубликовано Вторник в 19:54 Опубликовано Вторник в 19:54 (изменено) 1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать) Start:: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 <==== ВНИМАНИЕ HKU\S-1-5-21-2356831973-4189681837-68982043-1001\...\Run: [utweb] => "C:\Users\Владимир\AppData\Roaming\uTorrent Web\utweb.exe" /MINIMIZED (Нет файла) HKU\S-1-5-21-2356831973-4189681837-68982043-1001\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize (Нет файла) <==== ВНИМАНИЕ HKU\S-1-5-21-2356831973-4189681837-68982043-1001\...\Run: [RiotClient] => C:\Riot Games\Riot Client\RiotClientServices.exe --launch-background-mode (Нет файла) HKU\S-1-5-21-2356831973-4189681837-68982043-1001\...\Run: [EpicGamesLauncher] => "C:\Program Files (x86)\Epic Games\Launcher\Portal\Binaries\Win64\EpicGamesLauncher.exe" -silent -launchcontext=boot (Нет файла) HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ C:\Users\Владимир\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngnmmpkffocodhjbloilfnigoijfplbg CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url> S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-05-14] (Microsoft Windows -> Microsoft Corporation) S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534976 2025-07-09] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-05-14] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [434176 2025-07-09] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3441152 2025-07-09] (Microsoft Windows -> Microsoft Corporation) 2026-01-05 16:56 - 2026-01-13 16:34 - 000000000 ____D C:\ProgramData\yzksdkbakpnl 2025-12-09 21:36 - 2025-12-09 21:36 - 000000970 _____ () C:\Users\Владимир\setup.dat AlternateDataStreams: C:\ProgramData\TEMP:4F0B27F3 [147] AlternateDataStreams: C:\ProgramData\TEMP:647F14BF [138] AlternateDataStreams: C:\ProgramData\TEMP:6FEFFED6 [129] AlternateDataStreams: C:\ProgramData\TEMP:7842EA18 [126] AlternateDataStreams: C:\ProgramData\TEMP:8E6F54AA [132] AlternateDataStreams: C:\ProgramData\TEMP:A9F6DE59 [136] AlternateDataStreams: C:\ProgramData\TEMP:BC56477D [139] AlternateDataStreams: C:\ProgramData\TEMP:EC6FCE62 [134] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Health Check.lnk:F20EF51E1F [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [3442] AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [3442] IE trusted site: HKU\.DEFAULT\...\webcompanion.com -> hxxp://webcompanion.com IE trusted site: HKU\S-1-5-21-2356831973-4189681837-68982043-1001\...\webcompanion.com -> hxxp://webcompanion.com StartPowershell: Remove-MpPreference -ExclusionExtension ".exe" Remove-MpPreference -ExclusionPath "C:\ProgramData" Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile" EndPowershell: FirewallRules: [{1A02E11E-470D-42C1-BC1D-9BDBE6167E1F}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{5AA680CD-663C-49C6-BBB7-1857703818C2}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла FirewallRules: [{79973D73-9CDB-49F3-A727-89BC9BE53A13}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{78AFD5DA-B28C-4732-841A-32FE64E255C4}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{31B10366-37BE-4429-B74F-432E0F55177A}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{3017F48F-B085-46A2-BD0F-DBB083E461D2}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{F877D170-5851-48C6-AC62-6259488E4F9B}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [{8F9BBEBE-0140-4957-930C-ED3F7923C188}] => (Allow) C:\Program Files (x86)\AnyDesk\AnyDesk.exe => Нет файла FirewallRules: [TCP Query User{783557CC-DF33-4F1E-BE94-9948EF7F92CC}C:\games\heroes of might and magic iii complete\h3hota.exe] => (Allow) C:\games\heroes of might and magic iii complete\h3hota.exe => Нет файла FirewallRules: [UDP Query User{5B070344-B2A1-4755-AF3E-D8050FCAF991}C:\games\heroes of might and magic iii complete\h3hota.exe] => (Allow) C:\games\heroes of might and magic iii complete\h3hota.exe => Нет файла FirewallRules: [TCP Query User{12F17893-2E04-4D7E-BF9A-84BA4FF613B3}C:\r.g. catalyst\fable iii\fable3.exe] => (Allow) C:\r.g. catalyst\fable iii\fable3.exe => Нет файла FirewallRules: [UDP Query User{A32E8B1E-3A29-4255-843F-6723F2C79673}C:\r.g. catalyst\fable iii\fable3.exe] => (Allow) C:\r.g. catalyst\fable iii\fable3.exe => Нет файла FirewallRules: [{1C9EC8A2-FD89-4F3A-98DE-03E7C7858846}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DarkestDungeon\_windows\Darkest.exe => Нет файла FirewallRules: [{9BFEBBB0-2E1B-419C-8353-81C18DA931A1}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\DarkestDungeon\_windows\Darkest.exe => Нет файла FirewallRules: [{FA8C240B-8525-4F50-B54E-D44B2791163B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\HeroSiege\bin\start_protected_game.exe => Нет файла FirewallRules: [{FC49AB18-0B52-48C9-B006-F3E7B3FBF24C}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\HeroSiege\bin\start_protected_game.exe => Нет файла FirewallRules: [TCP Query User{428D10FB-2052-4C82-9004-8222D4A7308A}C:\users\владимир\appdata\local\programs\sirus-open-launcher\sirus launcher.exe] => (Allow) C:\users\владимир\appdata\local\programs\sirus-open-launcher\sirus launcher.exe => Нет файла FirewallRules: [UDP Query User{30E62DB9-ACE3-45ED-9638-165E7A1D4822}C:\users\владимир\appdata\local\programs\sirus-open-launcher\sirus launcher.exe] => (Allow) C:\users\владимир\appdata\local\programs\sirus-open-launcher\sirus launcher.exe => Нет файла FirewallRules: [TCP Query User{C504D6CB-9139-46B8-BFD3-5EA243DFE1CB}C:\users\владимир\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe] => (Allow) C:\users\владимир\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe => Нет файла FirewallRules: [UDP Query User{DC7E13F8-7D03-4A87-9481-A930924F01C8}C:\users\владимир\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe] => (Allow) C:\users\владимир\appdata\local\programs\sirus-open-launcher\resources\app.asar.unpacked\node_modules\@sirussu\torrent-downloader\vendor\td-win-x64\td-win-x64.exe => Нет файла FirewallRules: [{D9FA119E-389B-44B9-9F3A-E7EE184CF91F}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Shadow Warrior\dx11\launcher.exe => Нет файла FirewallRules: [{87BC34B1-4A91-4271-AC33-16A3CF3494A2}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Shadow Warrior\dx11\launcher.exe => Нет файла FirewallRules: [{F19BEC23-C049-42B2-9F08-DCE3D15C11B2}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Starbound\win64\starbound.exe => Нет файла FirewallRules: [{11978AB8-29B5-4D3E-811B-10221169E588}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Starbound\win64\starbound.exe => Нет файла FirewallRules: [{D5B783FF-C774-453C-BF80-E6429641C82B}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Starbound\win64\starbound_server.exe => Нет файла FirewallRules: [{9DBCBC5C-0D5E-4E44-905D-739387243413}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Starbound\win64\starbound_server.exe => Нет файла FirewallRules: [{8FF52817-A7A3-407D-92C5-154ECA10F0CE}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Starbound\win64\mod_uploader.exe => Нет файла FirewallRules: [{394E2BAB-D094-49CF-AC8E-833C589E4B90}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Starbound\win64\mod_uploader.exe => Нет файла FirewallRules: [{16D0548D-9F63-49DD-89A8-67992DA80F9E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Starbound\win32\starbound.exe => Нет файла FirewallRules: [{7155C9C7-8F12-491B-91D2-C7DFC11D5779}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Starbound\win32\starbound.exe => Нет файла FirewallRules: [{EE95A6F4-6E0B-4084-973A-D7DFB555344E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Factorio\bin\x64\factorio.exe => Нет файла FirewallRules: [{0DEB6DE2-FEBE-4C2B-957E-352C40DED315}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Factorio\bin\x64\factorio.exe => Нет файла FirewallRules: [{A6C84725-DA6D-458C-BDFB-C680DF73D71D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Dishonored RHCP\Binaries\Win32\Dishonored.exe => Нет файла FirewallRules: [{B3F32787-F749-4CDD-AD41-62A8D7FF911E}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Dishonored RHCP\Binaries\Win32\Dishonored.exe => Нет файла FirewallRules: [{8BD1BC99-F80A-4AA9-A194-C6E031F423B5}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Viscera Cleanup Detail Shadow Warrior\Binaries\Win64\UDK.exe => Нет файла FirewallRules: [{DD5FC2E2-3702-401E-8219-16886011A763}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\Viscera Cleanup Detail Shadow Warrior\Binaries\Win64\UDK.exe => Нет файла Reboot: End:: 2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши. 3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении. Обратите внимание: будет выполнена перезагрузка компьютера. Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр. Изменено 5 часов назад пользователем Sandor Поправил скрипт
Vova Fenik Опубликовано 7 часов назад Автор Опубликовано 7 часов назад После копирования в буфер обмена и запуска программы исправления не происходит перезагрузка компьютера. Это нормально? Fixlog.txt Также на сайте нет файла wuauserv.
Vova Fenik Опубликовано 6 часов назад Автор Опубликовано 6 часов назад Всё. Нашёл. А то что этот скрипт, который вы отправили выше прошел с кучей ошибок, так и должно быть?
Sandor Опубликовано 5 часов назад Опубликовано 5 часов назад Поправил скрипт, выполните его ещё раз и прикрепите новый Fixlog.txt Сообщите что с проблемой.
Vova Fenik Опубликовано 3 часа назад Автор Опубликовано 3 часа назад Отправляю новый фикслогFixlog.txt. Я правильно понял, что после того как всё исправил - надо запустить все скачанные файлы?
Sandor Опубликовано 3 часа назад Опубликовано 3 часа назад Если вы про твики реестра, то да, запустите последовательно все, соглашаясь с внесением изменений.
Vova Fenik Опубликовано 3 часа назад Автор Опубликовано 3 часа назад Так и сделал. Сейчас запустил CureIt. Проверю осталось ли что-то. Addition.txtFRST.txt Вот два лога из FSRT Cureit не обнаржуил ничего. Но всё также как открываю диспетчер задач, так нагрузка на ЦП падает с 80 до 5 процентов. Это же не нормально?
Sandor Опубликовано 2 часа назад Опубликовано 2 часа назад 15 минут назад, Vova Fenik сказал: открываю диспетчер задач, так нагрузка на ЦП падает с 80 до 5 процентов Это нормальное поведение. Диспетчеру для сбора и отображения данных тоже нужны ресурсы. 16 минут назад, Vova Fenik сказал: Cureit не обнаржуил ничего Хорошо. В завершение, пожалуйста: 1. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2.Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратораЕсли увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работуДождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txtЕсли Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txtПрикрепите этот файл к своему следующему сообщению.
Vova Fenik Опубликовано 2 часа назад Автор Опубликовано 2 часа назад SecurityCheck.txtВот последний лог
Автор kensorshi
Рекомендуемые сообщения