Перейти к содержанию
Правила раздела
Задай вопрос Павлу Вострикову, эксперту по Kaspersky Security Center
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)
Идём на летний корпоратив «Лаборатории Касперского»! Кто с нами? :)

После установки Windows вирусы

Romchik45

Автор Romchik45
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Romchik45

Romchik45

Опубликовано
Опубликовано

Брат поставил новую винду, активировал через кмс-авто,  сделал все для винды по идеи (драйвера и т.д.), отключил антивирус и обновления виндоус (хз каким способом).

1. Проверил dr web cureit, обнаружило кмс-авто и другое (скрин1). Др веб закрыл. Удалил папку с кмс-авто с рабочего стола.,
2. Проверил dr web cureit, кмс-авто не обнаружило, обнаружило Itop screen recorder и другое. Закрыл др веб. Удалил программу Itop screen recorder. (скрин2),
3. Проверил еще раз др вебом, прикладываю его логи.,
P.s Др вебом исправление не запускал ни в одном из пунктов, скриншоты новым ответом вставлю.

Помогите решить оставшиеся проблемы, пожалуйста.

Архив WinRAR.rar CollectionLog-2026.03.25-17.11.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe', '');
 DeleteFile('C:\ProgramData\google\chrome\updater.exe', '');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe', '64');
 DeleteService('GoogleUpdateTaskMachineQC');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

Для повторной диагностики запустите снова AutoLogger. Прикрепите новый CollectionLog.

 

Что у вас с учётными записями форума? Пользуйтесь только одной, иначе модератор вас заблокирует за нарушение правил.

 

Romchik45

Romchik45

Опубликовано
  • Автор
Опубликовано

 

По поводу учетных записей, это мне человек помогает все делать (RichardVirus), если нельзя, то буду стараться только я отвечать.

На почту отправил quarantine.7z (скрин прилагаю)

Первый CollectionLog 10.13 прикладываю на всякий (я закрыл браузер во время проверки) и следующий CollectionLog 10.16 (уже сделал все как надо)

image.png

CollectionLog-2026.03.26-10.13.zip CollectionLog-2026.03.26-10.16.zip

Sandor

Sandor

Опубликовано
Опубликовано

Повторите, пожалуйста, тот же скрипт, но на этот раз из безопасного режима. Карантин повторно отправлять не нужно.

 

После перезагрузки:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

RichardVirus

RichardVirus

Опубликовано
Опубликовано
1 час назад, Sandor сказал:

Повторите, пожалуйста, тот же скрипт, но на этот раз из безопасного режима. Карантин повторно отправлять не нужно.

 

После перезагрузки:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

1. Повторить в безопасном режиме 2 скрипта? Или какой-то один из них? Автологер не нужно в безопасном?
2. Frst без безопасного режима делать?

Sandor

Sandor

Опубликовано
Опубликовано

1. Только первый скрипт в безопасном режиме.

2. FRST делайте в нормальном режиме загрузки.

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2026-03-20] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2026-03-20] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [106496 2026-03-20] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2026-03-20] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184736 2026-03-20] (Microsoft Windows -> Корпорация Майкрософт)
2026-03-20 19:38 - 2026-03-20 19:39 - 000000000 ____D C:\Users\Admin\AppData\LocalLow\IObit
2026-03-20 19:36 - 2026-03-25 11:26 - 000000594 _____ C:\ProgramData\pdinst.ini
2026-03-20 19:36 - 2026-03-25 11:26 - 000000000 ____D C:\Users\Admin\AppData\Roaming\IObit
2026-03-20 19:36 - 2026-03-21 07:15 - 000000000 ____D C:\ProgramData\IObit
FirewallRules: [{F5A8D51D-08C6-423D-9C30-FC868969B935}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{85BCAF98-4D19-454C-9D3F-65AF46E7C3A7}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{291FEDEE-09BD-4B32-BE4E-0D33EFED7DE3}] => (Allow) LPort=32683
FirewallRules: [{1AE347CB-7251-4AE3-B1D3-374FCE62E19F}] => (Allow) LPort=33683
FirewallRules: [{E2771C5B-A1D8-4429-9A30-143248DB79EC}] => (Allow) LPort=26822
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

После перезагрузки скачайте этот архив, извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений.

 

Romchik45

Romchik45

Опубликовано
  • Автор
Опубликовано

Сделал скрипт в FRST, компьютер релогнулся с ошибкой со скрина (1-ая ошибка). Ну ее я обхожу и запускается винда,
Твики применил,
С чем ошибка связана не знаю, с вирусом или с чем-то другим, до этого она тоже возникала (до приоцесса помози на форуме)

P.s Предыдущий скрипт в безопасном режиме тоже когда делал вылазила ошибка

image.png

Fixlog.txt

RichardVirus

RichardVirus

Опубликовано
Опубликовано
5 минут назад, Romchik45 сказал:

Сделал скрипт в FRST, компьютер релогнулся с ошибкой со скрина (1-ая ошибка). Ну ее я обхожу и запускается винда,
Твики применил,
С чем ошибка связана не знаю, с вирусом или с чем-то другим, до этого она тоже возникала (до приоцесса помози на форуме)

P.s Предыдущий скрипт в безопасном режиме тоже когда делал вылазила ошибка

image.png

Fixlog.txtНедоступно

И после обычной перезагрузки, тоже вылазит ошибка.
Попробую ему драва поставить нормально позже, ему там через Driver Booster накатили вроде.

Sandor

Sandor

Опубликовано
Опубликовано

Проверьте, пожалуйста, работает ли Центр обновлений Windows?

Сейчас у вас версия 24H2, хорошо бы обновить до 25H2. Не исключено, что и ошибка пропадёт.

 

В нашем разделе проделайте завершающие шаги (если ошибка сохранится, обратитесь в соседний раздел):

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Только что, RichardVirus сказал:

через Driver Booster накатили вроде

Вот это напрасно. Драйверы следует ставить только с сайта производителя.

Romchik45

Romchik45

Опубликовано
  • Автор
Опубликовано

1.сделал

2. сделал

3.центр обновления заработал,обновал до 25 h2. после перезагрузки серовно выскакивает черный экран с ошибкой

4.к сожалению драйвером бустером  мне обновили драйвера, как убрать драйвера от драйвер бустра не знаю.

 

а можно ли как то обратно включить антивирус виндовс? или без него нормально.

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

По возможности обновите:

 

WinRAR 7.01 (32-разрядная) v.7.01.0 Внимание! Скачать обновления
Opera Stable 129.0.5823.15 v.129.0.5823.15 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Microsoft Edge v.146.0.3856.72 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

 

15 часов назад, Romchik45 сказал:

после перезагрузки серовно выскакивает черный экран с ошибкой

Создайте тему в разделе Компьютерной помощи и дайте там ссылку на эту тему.

 

15 часов назад, Romchik45 сказал:

можно ли как то обратно включить антивирус виндовс?

Пуск -> Параметры -> Конфиденциальность и защита -> Безопасность Windows

Попробуйте там включить или опишите подробно (можно с картинками) что происходит при попытке включения.

Romchik45

Romchik45

Опубликовано
  • Автор
Опубликовано

1. Брат выключил каким-то способом антивирус, каким я не знаю.,
Просто включении ползунка не дает результата (он обратно в положение выкл встает сразу же)
Вот видео: https://www.youtube.com/watch?v=6CXd9xllVAk

2. Накатили драва с офф сайта материнки и nvidia, библиотеки c++, раза 3 перезапускал не было ошибки. Будем наблюдать, по сегодняшний день еще не вылазила ошибка.,

3. SecurityCheck by glax24 & Severnyj эту прогу просто удалять или еще нужна или как-то по умному удалять?,

4. Еще dr web cureit сделали проверку и показывает вот это (скрин)

image.png

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • lonfalt
      защита от вирусов
      Автор lonfalt
      я к примеру хочу скачать какой-то файл, как мне понять, что он безопасен? Есть ли сайт, который проверяет на вирусы, стиллеры, трояны? Дайте способы, чтобы обезопасить свой компьютер, пожалуйста.
    • Leandorr
      Зависание проводника после простоя ~10 мин на мощном железе и с Kasp premium
      Автор Leandorr
      Приветствую! Столкнулся с такой проблемой странной, уже все перепробовал.
      В общем суть — после некоторого простоя проводник умирает почти намертво, то есть окна открытые работают (опера, тг и тд) и можно даже продолжать пользоваться всем, но ничего больше не открывается, грузится очень долго, в некоторые разы получается что-то запустить, в некоторые всё виснет наглухо. И также выключить/перезагрузить компьютер не получается. Иногда удается через win+x завершить работу, но идет бесконечное выключение системы, периодически вылетает, что вот это приложение не дает завершиться системе (5AEA657D-F3F5-4BD8-BFE9-A4B537FA24C3).

      Паттерн такой, что всё может отлично работать очень долго, но, как будто, после некоторого простоя начинают твориться чудеса. Было замечено в один из разов, когда получилось открыть диспетчер задач огромное количество запущенных процессов powershell, но уже не помню может это я сам пытался их включить в какой-то из разов. Но в этот раз вроде я этого не делал.

      Стоит activation renewal через masgrave, но обновление раз в неделю и логи это подтверждают, поэтому, скорее всего не он. В остальное время всё работет отлично, никаких лагов ничего нет. Но до недавнего времени иногда подвисала система, относительно часто, с тем что появлялся цикличный звук и мышка еле дергалась (рывками и с 4-5fps) и система отмирала через пару секунд и это всё сопроваждалось звуками лагов системы многочисленными подряд. Сейчас прекратилось.

      Относительно недавно был установлен VSCode +  Git Bash + Wispr Flow + Python, Comet. Как будто проблемы начались после этого, точно не скажу. Также стоит zapret, который делает windivert на который Kasp ругается, но не думаю, что он виноват в этом. Я его уже давно не запускал.

      ✅ Что было (не в хронологическом порядке):
      1) Биос был F32, обновил до F33. Есть подозрение, что F32 и предыдущие стояли для rev 1.0, но это не точно. F33 поставил уже 1.1 (может ли это повлиять как то?). VMX и Turboboost Intel были выключени долгое время, недавно включил.
      2) Проверил систему дополнительно Dr Web Cure it + AdwCleaner + Malwarebytes + Kaspersky (полная проверка). Всё было проверено и в безопасном и в обычном режиме. 
      3) Прогнал недолго тесты в AIDA64 проц не тротлит, gpu и память вроде в порядке
      4) Отключал Яндекс Диск, чтобы исключить его влияние 
      5) Почистил автозагрузку от всего лишнего через Reg Organizer, но потом удалил его и потом чистил в Anvir Task Manager
      6) При мониторинге системы через Process Explorer и Anvir ничего особо замечено не было (только последние пару раз использовал)
      7) Убрал галочку на быстрый запуск системы
      8. Подкачка диска стоит только на SSD с системой с авто значением (32gb)
      9) Посмотрел что запускается при простое в taskschd, вроде всё ок
      10) sfc scannow, dtsim, chkdsk - всё делал, всё ок
      11) Обновлен Windows после начала этой проблемы, не до
      12) Делал security check (файл приложил)

      ⚙️Система:
      Gigabyte Z690 rev 1.1
      Intel i5 13600kf
      RTX 4070
      ddr4 32gb 3200
      Windows 11
      Система на nvme samsung evo 1tb (название точно не помню)
      1 HDD на 2tb seagate вроде
      и 1 ssd на 1tb dexp

      🧰Из приложений стоит, которые постоянно работают:
      Fences Stardocks
      ShareX
      Nvidia app
      app center
      sound blaster commander
      яндекс музыка и яндекс диск
      Kasper premium 
      FL Esports
      Ghub
       
      Security check.txt SecurityCheck by glax24 & Severnyj.html
    • Astrl
      [РЕШЕНО] заходы в соц сети без авторизации
      Автор Astrl
      Здраствуйте,поймал походу вирусняк причем который мой токен ворует (не факт) на прошлой неделе взломали дискорд и спамили рекламой,а сегодня зашли так-же без токена в вконтакте и спамили рекламой неизвестным мне людям,проверил антивирусами нифига нету,из такого использую запрет,может что-то скачал,прошу экспертов помочь с данной проблемой
      CollectionLog-2026.04.02-21.47.zip
    • KlausID
      Trojan.BitCoinMiner
      Автор KlausID
      Здравствуйте, словил несколько вирусов, провёл проверку Malwarebytes, он что-то нашел, возможно я даже какие-то вирусы удалил кроме майнера Trojan.BitCoinMiner. После удаления файлов в карантине троян снова там появляется (до сих пор пытается, уже 1000 набралась), я пробовал удалять папки расположенные по пути C:\ProgramData\ но они постоянно восстанавливаются после удаления и троян вновь появляется в карантине. 

    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
×
×
  • Создать...