Перейти к содержанию

Рекомендуемые сообщения

Опубликовано

CollectionLog-2026.03.27-15.55.zip Давайте сразу начнем с того, что сегодня включив ПК и введя пароль, мне без всяких загрузок предъявляются, что в доступе отказано, хотя пароль правильный и состоит из цифр, там раскладка не играет роли. После перезагрузки проблема решилась, но я очень перепугался, у меня первый раз такое и теперь я боюсь выключать ПК вообще. Вся история резко началась 25.03.26 в 3:58. Дефендер выдает следующее: Trojan:Win32/Wacatac.H!ml Эта опасная программа выполняет команды злоумышленника. C:\Users\Kir\Documents\ScreenConnect\Temp\SimpleRunPE.exe - угроза критическая. Я удалил её через дефендер. Потом через некоторое время, уже днём, сидя в браузере, брандмауэр жалуется на что-то подозрительное (есть скриншот, могу прикрепить если нужно будет и в целом у меня иного информации), но если кратко, там путь был примерно windows/cashes/.../securityhealthhost.exe, я не дал доступа, нажал отмена. Я пошел по пути этого подозрительного файла, сам найти не смог, файл был невидимым, хотя скрытые папки показаны, поэтому я просто скопировал путь и наткнулся на качку странных файлов, один их которых назывался SRBminer, но папка была пуста. Естественно у меня уже с самого начала, с первого дня, какая-то паника и страх уже. Что я только не пытался делать.. и процессы смотреть, и удалять, и задачи удалять, и автономным модулем дефендер проходился и т.п. Также у меня есть точка восстановления на 6 марта, всё покоя не дает, вдруг сработает?..  На следующий день - 26.03.26 в 19:03 при включении ПК я вижу это Trojan:Win32/Suweezy Эта опасная программа выполняет команды злоумышленника. Угроза критическая. И куча, куча разных затронутых элементов в реестре, не буду всё отправлять пока что, чтобы не спамить, скину один элемент: regkeyvalue: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths\\C:\ Он вроде как дефендер пытался сломать или отключить постоянно. Потом периодически заходя в журнал защиты горел желтый восклицательный знак, якобы защита отключена, устройство может быть уязвимо, но перезаходя всё обратно восстанавливалось.. Также потом еще кучку других странных файлов находил, например в windows/cashes/D3F4E2A1/RuntimeHost.exe. Позже браузер начал постоянно выпрашивать сброс настроек, заходя в него. Много информации искал в интернете, сам пытался что-то делать, но всё без толку как будто. В общем, чтобы не спамить большим количеством текста, пожалуй на этом закончу.. Скажу что последнее что я делал, это пропускал весь ПК через дефендер, KVRT и Dr.Web. Они что-то находили (кроме дефендера) ,что-то лечили, но по ощущениям никакого толка. Скорее всего я зачистил только майнеры и трояны, который заносит ScreenConnect, а само сердце спокойно работает. По-моему еще это безйфайловый вирус, который живет в оперативной памяти. Заранее спасибо

Опубликовано

Я кажется неправильно загрузил лог? На всякий случай перезалил его сейчас и дополню свой ответ, может вам так понятнее будет.. (спасибо нейросетям). 

Здравствуйте! Столкнулся с проблемой возможно сложного трояна/удалённого RAT (AsyncRAT / ScreenConnect Client), который по всей видимости остался в системе до сих пор.

Симптомы и история:

Появились лаги в играх и системные аномалии.

Microsoft Defender и Kaspersky обнаруживали угрозы периодически, но после лечения или перезагрузок они исчезали из отчетов, хотя Dr.Web снова их находил.

Основные найденные угрозы: ScreenConnect.Client.exe, ScreenConnect Windows Authentication Package DLL, заражённые контейнеры с ПО для RGB видеокарты и Minecraft.

Троян использует ScreenConnect как «мост» для загрузки других вредоносных программ, может маскироваться под системные файлы и восстанавливаться после удаления.

Были случаи блокировки или изменения работы Defender, появления странного поведения браузера (сброс настроек, открытие Яндекс/Дзен), задержки клавиатуры/мыши при запуске.

Проверки проводил: Kaspersky, Dr.Web CureIt!, Microsoft Defender. Dr.Web нашёл угрозы, которые другие антивирусы не видели.


Меры, которые я предпринял:

Полная проверка Dr.Web и Kaspersky (с безопасным режимом и без него)

Очистка всех обнаруженных угроз (удаление и карантин)

Сброс браузера, сохранение вкладок

Сбор логов с помощью AutoLogger с последующим архивированием


Цель обращения:
Нужна помощь в полном удалении оставшихся компонентов ScreenConnect / AsyncRAT, включая скрытые или системные файлы, чтобы исключить возможность восстановления трояна.

CollectionLog-2026.03.27-15.55.zip

Опубликовано

Здравствуйте!

 

Найдите, если сможете, отчёт CureIt (обычно в папке профиля) в виде файла cureit.log, упакуйте в архив и прикрепите к следующему сообщению.

Также упакуйте в архив папку C:\KVRT2020_Data\Reports и тоже прикрепите.

 

"Пофиксите" в HijackThis только следующее (некоторые строки могут отсутствовать):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxyServer] = hxxp://127.0.0.1:12334 (disabled)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: HKLM\Software\Microsoft\Windows Defender\Real-Time Protection: [DisableRealtimeMonitoring] = 1

Перезагрузите компьютер.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте в архив).
Подробнее читайте в этом руководстве.
 

Не переживайте, если отвечу не сразу.

 

 

Опубликовано

Пока ПК в порядке, отправляю сразу архивы Cureit и KVRT. Чуть позже прикреплю остальное. И хочу кое-что добавить: пока занимался всем этим, обнаружил нечто страшное у себя в исключениях дефендера. Я ничего из этого не делал и не добавлял.. Надеюсь фото можно было прикреплятьimage.thumb.png.50b9551c3b468eca81ddb9e1eba6d380.pngimage.thumb.png.117457d3f1edd852b2da9ca70bf62efe.pngimage.thumb.png.816a241d5692f23047fa8ec6bc12880a.png

Reports.zip cureit.zip

 

Что-то не давало нормально загружать эти отчеты, бесконечная загрузка была, но вот получилось наконец. Все указания четко выполнил, по очереди, по инструкции. Скан выполнил, отчеты прикрепил. HijackThis пофиксил, две строчки только было. Еще ПК до последнего не давал установить FRST, мол вирус, опасен и всё такое, но я на доверии постоянно разрешал. Еще раз спасибо за уже начатую помощь! Очень надеюсь, что всё будет в порядке и удастся вылечить этот недуг..

 

FRST.txt Addition.txt

Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    CreateRestorePoint:
    HKLM\Software\...\Authentication\Credential Providers: [{6FF59A85-BC37-4CD4-27FC-BAD8721D6142}] -> C:\Program Files (x86)\Windows VC\ScreenConnect.WindowsCredentialProvider.dll [2025-04-08] (Connectwise, LLC -> ) <==== ВНИМАНИЕ
    AlternateDataStreams: C:\Windows\System32:tdsrinu.gfc [5882]
    StartPowershell:
    Remove-MpPreference -ExclusionPath "C:"
    Remove-MpPreference -ExclusionPath "D:"
    Remove-MpPreference -ExclusionPath "C:\ProgramData\Microsoft\Windows\Caches\D3F4E2A1\RuntimeHost.exe"
    Remove-MpPreference -ExclusionPath "C:\Users\Kir\AppData\Local\Microsoft\Windows\Caches\D3F4E2A1\RuntimeHost.exe"
    Remove-MpPreference -ExclusionProcess "svchost.exe"
    Remove-MpPreference -ExclusionProcess "InstallUtil.exe"
    Remove-MpPreference -ExclusionProcess "RegAsm.exe"
    Remove-MpPreference -ExclusionProcess "RegSvcs.exe"
    Remove-MpPreference -ExclusionProcess "MSBuild.exe"
    Remove-MpPreference -ExclusionProcess "AppLaunch.exe"
    Remove-MpPreference -ExclusionProcess "AddInProcess.exe"
    Remove-MpPreference -ExclusionProcess "aspnet_compiler.exe"
    EndPowerShell:
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    FirewallRules: [TCP Query User{F41BBF58-A166-42F7-B0C9-1CCD242BB809}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe (Microsoft Corporation -> Microsoft Corporation)
    FirewallRules: [UDP Query User{A4E9F495-21FF-409D-ACE3-B45573FE1D56}C:\program files (x86)\microsoft\edge\application\msedge.exe] => (Block) C:\program files (x86)\microsoft\edge\application\msedge.exe (Microsoft Corporation -> Microsoft Corporation)
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Опубликовано

Вроде сработало, исключения в дефендер пропали пока что, а браузер вышел с аккаунтов, но вкладки остались. В любом случае это значит скрипт сработал я считаю и всё по плану

Fixlog.txt

 

Хочу добавить, что я до сих пор вижу папку этого паршивого ScreenConnect по пути C Users Kir Documents ScreenConnect (в нем ещё папка Temp лежит, но она пуста показывает). Ещё, возможно, это очевидно, но хочу сказать, что я никогда не пользовался ScreenConnect и не ставил его на свой ПК. Я даже не знал о существовании таковом, пока не столкнулся с этим. Никогда не давал доступ к управлению своего ПК, я знаю что так можно и делают для помощи в работе, но не в моем случае 

Опубликовано
1 час назад, Kirl сказал:

вижу папку этого паршивого ScreenConnect

Просто удалить эту папку можете? Если не получается, выполните скрипт (без перезагрузки).

  • Выделите следующий код:
    Start::
    2026-03-27 00:23 - 2026-03-27 00:23 - 000000000 ____D C:\Users\Kir\Documents\ScreenConnect
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

 

 

 

Опубликовано

Получилось вроде удалить, но я по-моему и ранее это делал, он восстанавливался потом. Сейчас будет-ли интересно?

Опубликовано

Сделайте ещё такую процедуру:

 

Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

  • Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
  • После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
  • Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
  • По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
  • Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

Опубликовано

Я всё выполнил, но что-то не могу найти отчёта..

Опубликовано

Напишу разработчику, вероятно некая ошибка в программе.

 

Хорошо, проделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Опубликовано

Хорошо, сейчас займусь этим. Uninstall уже выполнил, но вот хочу отметить, что теперь one drive и g hub например стали запускаться с автозагрузкой, но это наверное последствия лечения я так понимаю. А также в проводнике всё поменялось, ну сбросилось наверное грубо говоря, я так понимаю та же причина 

 

SecurityCheck.txt

Опубликовано

Подумайте о переходе на актуальную версию системы:

Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
 

Исправьте по возможности:

PrivaZer v.4.0.118.0 Внимание! Скачать обновления
CPUID CPU-Z 2.18 v.2.18 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office Professional Plus 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
NVIDIA App 11.0.6.383 v.11.0.6.383 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
TechPowerUp GPU-Z v.2.51.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33816 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
Discord v.1.0.9028 Внимание! Скачать обновления
Zoom Workplace v.6.7.8 (32670) Внимание! Скачать обновления
qBittorrent v.4.5.4 Внимание! Скачать обновления
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u481-windows-x64.exe - Windows Offline (64-bit))^
 

---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.2.0f3 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

Читайте Рекомендации после удаления вредоносного ПО

Опубликовано

Выходит на данный момент всё? Угроза устранена? Нечего бояться и можно-ли пользоваться ПК свободно? Осталось только рекомендации выполнить? Я думаю может вообще на Windows 11 пересесть, вдруг именно из-за этого я и поймал что-то 

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • renekka_s
      Автор renekka_s
      Что мы имеем... Стал сильно нагреваться ноут (Ardor neo) у них и так достаточно высокая температура при загрузке, но доходило >100 после замены термопасты и чистки. 
      1. AVZ не открывался до переименования как и Autoruns
      2. Dr.web дважды сканировал и находил троян, удалял - не помогало
      3. Естественно редактор реестра невозможно открыть, через cmd пробовала менять доступ и AVZ, все равно закрывается.



      В логе dr.web была строчка про
      ProgramData\fqupxqtgiuun.exe
      powercfg.exe
      conhost.exe.
      лежит по пути C:\ProgramData\fqupxqtgiuun.exe цифровой подписи нет и тд. через авторан посмотрели что к нему относится служба FMGEEOFG   

      HKLM\System\CurrentControlSet\Services
      Addition.txtShortcut.txt
      wmic process get ProcessId,ExecutablePath | findstr /i "ProgramData" --->
      FMGEEOFG
      ImagePath:
      C:\ProgramData\fqupxqtgiuun.exe

      с командой sc stop FMGEEOFG и sc delete FMGEEOFG успех выдает успех но при обновлении авторана служба снова появляется, хотя fqupxqtgiuun.exe в диспетчере я не увидела.

      Имя_службы: FMGEEOFG
              Тип                  : 10  WIN32_OWN_PROCESS
              Тип_запуска          : 2   AUTO_START
              Управление_ошибками  : 1   NORMAL
              Имя_двоичного_файла  : C:\ProgramData\fqupxqtgiuun.exe
              Группа_запуска       :
              Тег                  : 0
              Выводимое_имя        : FMGEEOFG
              Зависимости          :
              Начальное_имя_службы : LocalSystem

      хз что делать в общем. я не разбираюсь и понять не могу как исправить.
      avz_log.txtFRST.txt
    • utkeen
      Автор utkeen
      Здравствуйте, постоянно вылезает расширение Адблок в браузерах, возвращается после перезагрузки компьютера, помогите пожалуйста. Антивирус не спасает
    • Moroshka
      Автор Moroshka
      Добрый день.
      Помогите пожалуйста
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Не работал цент обновления, была ошибка "что-то пошло не так"
      Проблема с обновлением ушла после проверки:
       
      Kaspersky Virus Removal Tool; Dr.Web CureIt!.
      Они нашли часть вирусов и снесли их, но остались дубли  служб, описанных выше, это остаточные следы вируса, или просто нарушение работы файлов реестра?   
       
       

      CollectionLog-2026.06.29-14.31.zip
    • Detanatar2
      Автор Detanatar2
      Добрый день
      на этой неделе лечили комп от вирусов
      все прошло успешно, но сегодня обнаружил, что при входе в мозилу, я вышел из всех почтовых аккаунтов
      входить не стал и стразу перегрузил комп и увидел, что система не успела создать файл  прикрепляю изображение
      так же в корне другого диска обнаружил странный текстовый файл, прикрепляю в архиве.

      Подскажите, может грохнуть диск С и поставить вин 11
      или сначала попробовать вылечить комп.

      Почему я написал в тегах Мамонт, часто качаю видео и вот один MOV просто блымнул на экране и ничего...

      topfiles.zip
    • SuperFlanker
      Автор SuperFlanker
      После входа на сайт www.medkv.ru   (по-видимому зараженный) огромное количество файлов оказалось зашифрованным.
      В корне почти всех логических зон появились пронумерованный файлы README1.txt (1,2,3,и т.д.), в которых оказался текст:
          Ваши файлы были зашифрованы.     Чтобы расшифровать их, Вам необходимо отправить код:     D578B51556B1A605148F|0     на электронный адрес files1147@gmail.com или post100023@gmail.com .     Далее вы получите все необходимые инструкции.       Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации.   И аналогичный текст на английском.   Никаких действий кроме тех что указаны в методике - "Порядок оформления запроса о помощи" я не делал. Надеюсь на помощь! CollectionLog-2015.07.08-18.43.zip
×
×
  • Создать...