Перейти к содержанию
Правила раздела

[РЕШЕНО] Удаление mem: trojan win32 sepeh gen

Sasshha

Автор Sasshha
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Sasshha

Sasshha

Опубликовано
Опубликовано

Добрый день, скачал KMS Auto и подхватил троян майнер, касперский удалить его не может,  uvs уже скачал, логи прикрепляю, помогите, пожалуйста

CollectionLog-2026.02.05-11.49.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать): 

O4 - MountPoints2: HKCU\..\{8db5827f-88d8-11f0-942a-00e04f19b4fa}\shell\AutoRun\command: (default) = F:\setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{8ec44ff5-1828-11ef-924a-00e04f19b4fa}\shell\AutoRun\command: (default) = "F:\LaunchU3.exe" -a (file missing)
O4 - MountPoints2: HKCU\..\{f6835bed-1297-11ef-9243-00e04f19b4fa}\shell\AutoRun\command: (default) = F:\AutoRun.exe (file missing)
O6 - IE Policy: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-19\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O6 - IE Policy: HKU\S-1-5-20\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Restrictions - present
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик TCP)) - C:\Windows\system32\svchost.exe
O27 - RDP: (Port) 3389 UDP opened as inbound - termservice - (Удаленный рабочий стол — пользовательский режим (входящий трафик UDP)) - C:\Windows\system32\svchost.exe

 

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

 

Sasshha

Sasshha

Опубликовано
  • Автор
Опубликовано

OdFT9TUgfvltYg1tqZkpSKUCU6UVtE4MzKNbE0negCCyhwA4mfzSGJxaF0A3fT7_ocg5WSSKvzshIsruUC9rmyFG.jpg?quality=95&as=32x24,48x36,72x54,108x81,160x120,240x180,360x270,480x360,540x405,640x480,720x540,1080x810,1280x960,1440x1080,2560x1920&from=bu&cs=2560x0

Скрин сделать не дает, выдает такое сообщение и закрывает приложение

Верия для 64, совпадает с имеющейся на компе

 

Sandor

Sandor

Опубликовано
Опубликовано

Скачайте, пожалуйста, ещё раз с "зеркала", там обновлённая версия.

safety

safety

Опубликовано
Опубликовано

Если проблема с детектированием SEPEH сохраняется:

 

Добавьте дополнительно образ автозапуска в uVS c отслеживанием процессов и задач.

(не закрывайте процессы, пока не будет создан образ автозапуска)

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

safety

safety

Опубликовано
Опубликовано

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы 

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMAKNCGLIPCPAHHDKNCEDPHGLHMIABDAC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEGNOPEGBBHJEEIGANIAJFFNALHLKKJB%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.15\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.16\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\X64\SHELLEX.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY 21.17\SHELLEX.DLL
delref {FCF8B8C8-A799-43F4-B91F-CA752B2633D4}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\ADSKNLM.EXE
delref %Sys32%\GUPDATE.EXE
delref %Sys32%\GUPDATEM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\HP\HPSMARTDEVICEAGENTBASE\SERVICE\HPSMARTDEVICEAGENTBASE.EXE
delref %Sys32%\KDSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\100.0.4896.60\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\100.0.4896.60\RESOURCES\FEEDBACK\ОТЗЫВ
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\100.0.4896.60\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\100.0.4896.60\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\100.0.4896.60\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\107.0.5304.88\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.3.0.2430\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.3.0.2430\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.3.0.2430\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.3.0.2430\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.3.0.2430\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\23.1.0.2947\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\22.3.1.895\RESOURCES\YANDEX\ALICE_VOICE_ACTIVATION\ГОЛОСОВАЯ АКТИВАЦИЯ ПОМОЩНИКА АЛИСА
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_COLLECTIONS\EDGE COLLECTIONS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\CRYPTOTOKEN\CRYPTOTOKENEXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\113.0.1774.50\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\100.0.1185.29\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\144.0.3719.82\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\144.0.3719.82\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.144\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.144\RESOURCES\EDGE_CLIPBOARD\MICROSOFT CLIPBOARD EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.144\RESOURCES\MEDIA_INTERNALS_SERVICES\MEDIA INTERNALS SERVICES EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.144\RESOURCES\MICROSOFT_WEB_STORE\MICROSOFT STORE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.144\RESOURCES\EDGE_FEEDBACK\EDGE FEEDBACK
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.144\RESOURCES\EDGE_PDF\MICROSOFT EDGE PDF VIEWER
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.144\RESOURCES\WEBRTC_INTERNALS\WEBRTC INTERNALS EXTENSION
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\120.0.2210.144\RESOURCES\HANGOUT_SERVICES\WEBRTC EXTENSION
delref %Sys32%\SPOOL\DRIVERS\X64\3\E_YATIKBE.EXE
;-------------------------------------------------------------

regt 40
restart

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

 

safety

safety

Опубликовано
Опубликовано

Далее,

 

По очистке системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481216 2024-02-11] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1535488 2024-02-11] (Microsoft Windows -> Microsoft Corporation)
S3 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [570368 2024-02-11] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-02-11] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3456512 2024-02-11] (Microsoft Windows -> Microsoft Corporation)
2026-02-04 09:09 - 2026-02-04 09:09 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign56df8a581f6b5ace
2026-02-04 09:08 - 2026-02-04 09:08 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignfda31516b503f8c7
2026-02-04 09:06 - 2026-02-04 09:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf2a534569a7c3bc3
2026-02-04 09:06 - 2026-02-04 09:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign30cdbece05c5bbcb
2026-02-03 09:08 - 2026-02-03 09:08 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb9ee30783e3309b2
2026-02-03 09:07 - 2026-02-03 09:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign2e638768bf4ae510
2026-02-03 09:06 - 2026-02-03 09:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign8ab2281328e0644c
2026-02-03 09:06 - 2026-02-03 09:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3f09334bcdf2849b
2026-01-31 10:25 - 2026-01-31 10:25 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign649485ac52a09be9
2026-01-31 10:06 - 2026-01-31 10:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign2ea0c1a90dc69cb6
2026-01-31 09:50 - 2026-01-31 09:50 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc77723d866ca1aa4
2026-01-31 09:15 - 2026-01-31 09:15 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigna9aff9f817d651ea
2026-01-31 09:14 - 2026-01-31 09:14 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign285c0ff238abc26c
2026-01-30 16:21 - 2026-01-30 16:21 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd06c23c0b9f2384c
2026-01-30 15:35 - 2026-01-30 15:35 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign626eaf4b82af54b2
2026-01-30 09:20 - 2026-01-30 09:20 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3cbfddfafccfee59
2026-01-30 09:05 - 2026-01-30 09:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd8f377a9db7400f8
2026-01-29 17:09 - 2026-01-29 17:09 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign5ec5c4a39410632e
2026-01-29 16:28 - 2026-01-29 16:28 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3b87a4c11541d4ec
2026-01-29 15:26 - 2026-01-29 15:26 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign31b50c2ee18d4999
2026-01-29 11:16 - 2026-01-29 11:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignfa75ce71ae34e555
2026-01-29 11:10 - 2026-01-29 11:10 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign09a842cf1cc5617c
2026-01-29 11:05 - 2026-01-29 11:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignae02cf0ae0a00a02
2026-01-29 10:53 - 2026-01-29 10:53 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign2448de2c3779ae85
2026-01-29 10:42 - 2026-01-29 10:42 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign44426388eca345ff
2026-01-29 09:26 - 2026-01-29 09:26 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1d7e78b1bd95a763
2026-01-29 09:04 - 2026-01-29 09:04 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1d0719eb9b9411c1
2026-01-29 09:03 - 2026-01-29 09:03 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb6b42f28bfa88aa6
2026-01-28 11:04 - 2026-01-28 11:04 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignbc83da807b09e4f8
2026-01-28 11:04 - 2026-01-28 11:04 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6397ee0c8adb258d
2026-01-28 09:12 - 2026-01-28 09:12 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne04bd26fae817e15
2026-01-28 09:11 - 2026-01-28 09:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignef06694229f1e142
2026-01-27 14:22 - 2026-01-27 14:22 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf0f68cbd7331b2d0
2026-01-27 11:50 - 2026-01-27 11:50 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc3deb843e33a7a6c
2026-01-27 11:49 - 2026-01-27 11:49 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignd382ce5f7099c956
2026-01-27 11:09 - 2026-01-27 11:09 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3f36571e872493a5
2026-01-27 10:24 - 2026-01-27 10:24 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne762a26afc1b299c
2026-01-27 09:08 - 2026-01-27 09:08 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigncdcbbbd6ce095ff8
2026-01-27 09:07 - 2026-01-27 09:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign77daf7afd2f41480
2026-01-24 17:20 - 2026-01-24 17:20 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign8f0413b2eb6df87f
2026-01-24 09:27 - 2026-01-24 09:27 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign38e41f2c2b0946f7
2026-01-24 09:27 - 2026-01-24 09:27 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign129dc8c85fdbcc30
2026-01-24 09:24 - 2026-01-24 09:24 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign40ab4c96c6eeb34e
2026-01-24 09:24 - 2026-01-24 09:24 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign259e3b46d46c3438
2026-01-24 09:11 - 2026-01-24 09:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne4bfbceae7d8c72a
2026-01-24 09:11 - 2026-01-24 09:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign2b123d5ca6edd767
2026-01-24 09:10 - 2026-01-24 09:10 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf1fb36cf8e966a6b
2026-01-23 10:37 - 2026-01-23 10:37 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne4f3b9c138e679cd
2026-01-23 09:07 - 2026-01-23 09:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb578abc07d4900b8
2026-01-23 09:07 - 2026-01-23 09:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb05219e3a284c66f
2026-01-23 09:06 - 2026-01-23 09:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign8788f3ed3ef0b38e
2026-01-22 16:31 - 2026-01-22 16:31 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign70672f6a8f6e83ba
2026-01-22 09:22 - 2026-01-22 09:22 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign334169c0fac2aec3
2026-01-22 09:17 - 2026-01-22 09:17 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb769dda5602c628b
2026-01-22 09:16 - 2026-01-22 09:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc27d653dc9959a0a
2026-01-22 09:16 - 2026-01-22 09:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6337a43bd6e4a1d3
2026-01-22 09:16 - 2026-01-22 09:16 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3c092066d8c001b0
2026-01-21 15:53 - 2026-01-21 15:53 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign5e83b024b1bc9956
2026-01-21 09:57 - 2026-01-21 09:57 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6ec381ec93b752a3
2026-01-21 09:28 - 2026-01-21 09:28 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigncbbbf1312265dd5c
2026-01-21 09:28 - 2026-01-21 09:28 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc1305efa6368b09d
2026-01-21 09:27 - 2026-01-21 09:27 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb0ef8c82059ee94a
2026-01-20 11:05 - 2026-01-20 11:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignc5f9ba5121aa0845
2026-01-20 11:05 - 2026-01-20 11:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign61fbc6431d0e7d0e
2026-01-20 09:07 - 2026-01-20 09:07 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne42bf45e6b064d2e
2026-01-20 09:05 - 2026-01-20 09:05 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6e2ffd74c3783eec
2026-01-20 09:03 - 2026-01-20 09:03 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignbf32afa268d58db3
2026-01-19 14:20 - 2026-01-19 14:20 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6f250ca7cd6f8487
2026-01-19 11:29 - 2026-01-19 11:29 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignebd7f587901cc57a
2026-01-19 11:28 - 2026-01-19 11:28 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne58e77400d253c11
2026-01-19 11:27 - 2026-01-19 11:27 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigna5c3e678381704d0
2026-01-17 14:50 - 2026-01-17 14:50 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1dfa6911abd28904
2026-01-17 12:10 - 2026-01-17 12:10 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign952819fbbad6f2a2
2026-01-17 10:47 - 2026-01-17 10:47 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign30efd9f1f4a37983
2026-01-17 10:46 - 2026-01-17 10:46 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne78f15b48cc68d8f
2026-01-17 10:46 - 2026-01-17 10:46 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign6b13218991389986
2026-01-16 15:28 - 2026-01-16 15:28 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigncd70025895b53b22
2026-01-16 09:24 - 2026-01-16 09:24 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign5ff2ebd32c6f45a0
2026-01-16 09:12 - 2026-01-16 09:12 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignea26405c56db23dd
2026-01-16 09:11 - 2026-01-16 09:11 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign4b0daa362b99b30e
2026-01-16 09:06 - 2026-01-16 09:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignefaf55c83e967ccb
2026-01-16 09:06 - 2026-01-16 09:06 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignec50dbb007038049
2026-01-14 14:55 - 2026-01-14 14:55 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign68402abd471969e0
2026-01-14 14:55 - 2026-01-14 14:55 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1f819297c0847b65
2026-01-14 09:31 - 2026-01-14 09:31 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign61fa021e9e1e7826
2026-01-14 08:59 - 2026-01-14 08:59 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigna9f914c33a5df991
2026-01-14 08:58 - 2026-01-14 08:58 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne6ee0cbe66526760
2026-01-13 09:02 - 2026-01-13 09:02 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignbf7c4c653b86159d
2026-01-13 09:02 - 2026-01-13 09:02 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignbc8aa0955610d319
2026-01-13 09:02 - 2026-01-13 09:02 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign5e7dfce38f9117a3
2026-01-13 08:59 - 2026-01-13 08:59 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign9cce084e9bf0f96b
2026-01-12 16:42 - 2026-01-12 16:42 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf80a699a26f24c0b
2026-01-12 11:45 - 2026-01-12 11:45 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign24cb916c16724abd
2026-01-12 11:42 - 2026-01-12 11:42 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigneaf7b2f9f2c4fda1
2026-01-12 11:42 - 2026-01-12 11:42 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign5cdd0e74858c8509
2026-01-12 11:42 - 2026-01-12 11:42 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign1d883a02b156f845
2026-01-12 09:39 - 2026-01-12 09:39 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignec6f51037c60112f
2026-01-12 09:36 - 2026-01-12 09:36 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne6b815a78fbed15b
2026-01-12 09:34 - 2026-01-12 09:34 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign7a341b28a9c13c76
2026-01-12 09:33 - 2026-01-12 09:33 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign5bd952b26a7fb251
2026-01-09 10:27 - 2026-01-09 10:27 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignf714ad9962388458
2026-01-09 10:27 - 2026-01-09 10:27 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignb01a941ee4f89632
2026-01-08 16:57 - 2026-01-08 16:57 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign8f6c22ad298be401
2026-01-08 16:56 - 2026-01-08 16:56 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsignbc3ab9dcde727f26
2026-01-08 09:55 - 2026-01-08 09:55 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign3e102dfafbed2d0b
2026-01-08 09:54 - 2026-01-08 09:54 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsigne036bd5685e00f8d
2026-01-06 10:08 - 2026-01-06 10:08 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign54fa481f23a2cdd5
2026-01-06 10:08 - 2026-01-06 10:08 - 000000000 ____D C:\Users\User\AppData\Local\Tempzxpsign0e6f99217dbb5fd3
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

safety

safety

Опубликовано
Опубликовано

Далее, установите обновление для системы 22H2 и соберите новые логи FRST для контроля.

safety

safety

Опубликовано
Опубликовано

Хорошо, теперь обновите систему до 22H2, так как твиков исправлений для 21Н2 уже нет, и сделайте контрольные логи FRST

Sasshha

Sasshha

Опубликовано
  • Автор
Опубликовано (изменено)

На данном устройстве ограничена возможность обновлений, установка вручную выдает ошибку, критично ли это?
Логи прилагаю image.thumb.png.e7239a13ef9431b0bf89c08b5b7a0648.png-Ciifr_U3OpEKzO2Vf5CyNtDQHW-rAWtKfMTLLEblrRqJupRoab4-DCn5yaW3JXYtMPFtgC4rEE7zKlpO1ECNUqT.jpg?quality=95&as=32x43,48x64,72x96,108x144,160x213,240x320,360x480,480x640,540x720,640x853,720x960,1080x1440,1280x1707,1440x1920,1920x2560&from=bu&cs=1920x0Addition.txt

FRST.txt

Изменено пользователем Sasshha
safety

safety

Опубликовано
Опубликовано (изменено)

Если есть ограничения на установку обновлений:

зайдите по этой ссылке:

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

скачайте из этой ветки твики (хоть она и не совсем "родная" для вашей системы)

файлы:

BITS.reg

 dosvc.reg
UsoSvc.reg
WaaSMedicSvc.reg
wuauserv.reg

 

Выполните от имени Администратора по одному каждый из этих файлов

Перегрузите систему,

и сделайте еще раз логи FRST для проверки.

 

 

Изменено пользователем safety
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • eturrno
      [РЕШЕНО] MEM:Trojan.Win32.SEPEH.gen нужна помощь в удалении данного трояна
      Автор eturrno
      была попытка удалить через KVRT(Kaspersky Virus Removal Tool), он троян не нашел. После с помощью uvs latest.zip сделала файл где по идеи должно показываться где он  находиться. хотелось бы чтобы помогли разобраться где зарылся троян и как его удалить, ниже прикреплю его LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z
      LAPTOP-K5B6FI1P_2026-03-01_17-48-08_v5.0.4v x64.7z 
      license.txt readme.txt
    • drxon004
      Нужна помощь удалить троян Trojan:Win32/Kepavll!rfn
      Автор drxon004
      Где-то подцепил троян Trojan:Win32/Kepavll!rfn. При запуске постоянно вылетает ошибка autoit C:\Programdata\ReaItekHD\taskhost.exe, еще это видимо какой-то скрипт, ибо он не дает заходить на сайты связанные с антивирусом, даже на этом форуме я сейчас пишу через другое устройство, прогнал через Microsoft defender, он его удалить не смог, в затронутых элементах: C:\Programdata\ReaItekHD\taskhost.exe, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck->(UTF-16LE), C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\SupportSystem, C:\WINDOWS\System32\Tasks\Microsoft\Windows\WindowsBackup\WinlogonCheck, так же не дает запускать в безопасном режиме (закрывает окно, когда запускаю msconfig), даже и не знаю что делать, пробовал и cureit, он тоже не помог
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Владхелп
      Подвисание и замедление ноута
      Автор Владхелп
      Во время работы в школе подключил "грязную флешку", на след день заметил сильный перегрев и замедление ноутбука
      CollectionLog-2026.02.14-22.35.zip
    • Leit
      Вирус майнер, самовосстанавливающийся архив
      Автор Leit
      После сканирование и удаления вирусов с помощью антивируса dr web cureit открывается самовосстанавливающийся архив и после перезагрузки вирусы появляются вновь, я понимаю что это вирус, но не могу понять где и как мне его удалить, помогите пожалуйста. В архиве лог с dr web cureit и логи с FRST, AV block remover даже в безопасном режиме не запускается, пишет отказано в доступе 
×
×
  • Создать...