Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] RMS спрятанный в файле Bin

Serebro

Автор Serebro
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Serebro

Serebro

Опубликовано
Опубликовано

Всем привет
Словил вирус RMS при попытке установить паленую игру по ссылке 

Windows Defender профукал запуск, позволил добавить в исключения всю папку programdata, куда поселился вирус и жил там 5 дней, пока я не заподозрил неладное. 
Пролечил систему KRD, KVRT, Cureit, AVZ, Malwarebytes. 
Поставил Kaspersky Plus 21.25 последний обновленный. 
Нашел лог работы RMS, в нем все записи имеют вид:  

Address: 109.172.9.7; Port: 5655; Socket Error # 10013 Access denied.(EIdSocketError).


Журналы системы удалились за эти дни, не успел их посмотреть.

Скачал опять этот торент, на файле data0.bin стоит пароль, в setup.exe возможно ключ, и при запуске от админа он прописывает себя в исключения Windows Defender.


image.thumb.png.0b862d6a4b71ab4d1e34850364cba244.png

 

В принципе понятно что это и как работает, и что сам виноват, но хочется
1. понять был ли удаленный доступ к файлам\экрану. К сожалению удаленный доступ был разрешен, я его использовал в локалке.
2. как вообще узнавать о том что скачанный файл имеет запароленное вложение, до того как запуск произошел? Касперский тоже на него смотрит и просит пароль, но никак не предупреждает, что здесь вообще-то свежий файл с интернета и на нём пароль и это наверно должно быть подозрительно.
Система Windows 10 22H2

Прикладываю отчет AVZ и несколько логов. Если какие-то еще отчеты нужны - сделаю.Логи1.zip

avz_sysinfo.zip cureit.rar

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

7 часов назад, Serebro сказал:

1. понять был ли удаленный доступ к файлам\экрану.

этого логи не покажут

 

7 часов назад, Serebro сказал:

2. как вообще узнавать о том что скачанный файл имеет запароленное вложение, до того как запуск произошел?

никак

 

7 часов назад, Serebro сказал:

Касперский тоже на него смотрит и просит пароль, но никак не предупреждает, что здесь вообще-то свежий файл с интернета и на нём пароль и это наверно должно быть подозрительно

и не должен предупреждать.

 

Следы майнера есть, но не факт, что свеженькие.

 

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

Serebro

Serebro

Опубликовано
  • Автор
Опубликовано
14 часов назад, thyrex сказал:

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

После перезагрузки системы соберите новый CollectionLog Автологером в обычном режиме загрузки.
 

 

Прикрепил. Жаль если нельзя понять был ли доступ, сижу пароли меняю, и винду буду переустанавливать начисто.

AV_block_remove_2026.06.14-10.43.log CollectionLog-2026.06.14-15.50.zip

thyrex

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

  • Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.


4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Serebro

Serebro

Опубликовано
  • Автор
Опубликовано
1 час назад, thyrex сказал:


6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 


Добавил логи и нашел конфиг rdpwrap

FRST.zip rdpwrap.rar

thyrex

thyrex

Опубликовано
Опубликовано

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

O26 - Debugger (SilentProcessExit): HKLM\..\Illustrator.exe: [GlobalFlag] = 512 -> (no file)
O26 - Office Addin: HKLM\..\PowerPivotExcelClientAddIn.NativeEntry.1 - (Microsoft Power Pivot for Excel) -> (no file)
O26-32 - Office Addin: HKLM\..\CheckPoint.Harmony - (Check Point Harmony Addin) -> C:\Program Files (x86)\CheckPoint\Endpoint Security\EFR\HarmonyAddin.vsto (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - Account: (Missing) HKLM\..\ProfileList\S-1-5-21-1423925954-4011426303-1607881753-1003 [ProfileImagePath] = C:\Users\defaultuser100000 (folder missing)

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\Run: [] => [X]
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-1423925954-4011426303-1607881753-1001\...\Run: [] => [X]
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy-Firefox: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-1423925954-4011426303-1607881753-1001\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {846C71FF-DC10-4487-83E8-6F850A136BF2} - System32\Tasks\GoogleUserPEH\RunPlatformExperienceHelper_Daily => "C:\Program Files\Google\Chrome\Application\PlatformExperienceHelper\platform_experience_helper.exe"  (Нет файла)
Task: {DCED6769-A4B0-4CDB-ABA3-92888A442677} - System32\Tasks\GoogleUserPEH\RunPlatformExperienceHelper_Metrics => "C:\Program Files\Google\Chrome\Application\PlatformExperienceHelper\platform_experience_helper.exe"  --chrome-upload-metrics (Нет файла)
Task: {C3A75218-6DD8-4054-818A-B16ADB9039DA} - System32\Tasks\Microsoft\Windows\CheckGlobalG\RecoveryHosts => C:\ProgramData\Microsoft\DRM\2ELdpq\CheckGlobalG.bat  (Нет файла) <==== ВНИМАНИЕ
ProxyEnable: [S-1-5-21-1423925954-4011426303-1607881753-1001] => Proxy включён
ProxyServer: [S-1-5-21-1423925954-4011426303-1607881753-1001] => 127.0.0.1:10808
ManualProxies: 1127.0.0.1:10808 <==== ВНИМАНИЕ
S2 zus; "C:\Program Files (x86)\CheckPoint\Update\ZoneAlarmUpdate.exe" /svc (Нет файла)
S3 zusm; "C:\Program Files (x86)\CheckPoint\Update\ZoneAlarmUpdate.exe" /medsvc (Нет файла)
S2 AviraFallbackUpdater; "C:\Program Files (x86)\Avira\Fallback Updater\Avira.Spotlight.FallbackUpdater.exe" FallbackUpdater=true (Нет файла)
S2 AviraSecurity; "C:\Program Files (x86)\Avira\Security\Avira.Spotlight.Service.exe" (Нет файла)
S2 CpSbaCipolla; "C:\Program Files (x86)\CheckPoint\Endpoint Security\TPCommon\Cipolla\SBACipollaSrvHost.exe" (Нет файла)
S2 CpSbaUpdater; "C:\Program Files (x86)\CheckPoint\Endpoint Security\TPCommon\Cipolla\SBACipollaSrvHost.exe" (Нет файла)
S2 AmneziaVPNSplitTunnel; \??\C:\Program Files\AmneziaVPN\mullvad-split-tunnel.sys (Нет файла)
FW: ZoneAlarm NextGen Firewall (Disabled) {2FD9284C-B551-7E6D-FC38-5E57C6A8E649}
ShellIconOverlayIdentifiers: [      .WorkspaceExt0] -> {C568C78A-652C-425B-8E6B-FFA73043302D} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      .WorkspaceExt1] -> {2A6FE247-5DA3-4732-9626-77820518FD77} =>  -> Нет файла
ShellIconOverlayIdentifiers: [      .WorkspaceExt2] -> {FF895810-293B-464A-93F2-82D11E07EEC8} =>  -> Нет файла
ShellExecuteHooks-x32: Нет имени - {D2BF470E-ED1C-487F-AAAA-2BD8835EB6CE} -  -> Нет файла
CustomCLSID: HKU\S-1-5-21-1423925954-4011426303-1607881753-1001_Classes\CLSID\{D5C4136A-93E5-4678-A6F8-0B2D9BB10999}\localserver32 -> C:\Windows\System32\RunDll32.exe "C:\Program Files\Reg Organizer\Notifications.dll",Activate -ToastActivated => Нет файла
ContextMenuHandlers1: [ZANGShExt] -> {3c97ffb1-30b1-42f2-8d2d-f843f72bf986} =>  -> Нет файла
ContextMenuHandlers6: [ZANGShExt] -> {3c97ffb1-30b1-42f2-8d2d-f843f72bf986} =>  -> Нет файла
FirewallRules: [{611280D8-ADDF-419A-9685-EDCFB99F8008}] => (Allow) C:\Program Files\Malwarebytes\Windows Firewall Control\wfcUI.exe => Нет файла
FirewallRules: [{EB1AA5CE-9E36-4C2D-8BC4-E539F3A23459}] => (Allow) C:\games\palworld\pal\binaries\win64\palworld-win64-shipping.exe => Нет файла
FirewallRules: [{9CF40BB4-6A8A-491E-8D95-5A25EB7CCE19}] => (Allow) C:\games\palworld\engine\binaries\win64\epicwebhelper.exe => Нет файла
FirewallRules: [{F2438DB1-40FB-448D-854E-0F694F147524}] => (Allow) C:\program files\nvidia corporation\nvidia app\cef\nvidia overlay.exe => Нет файла
FirewallRules: [{45847020-8521-4AF5-9A66-B5708ECC4742}] => (Allow) C:\program files\windowsapps\microsoft.desktopappinstaller_1.25.390.0_x64__8wekyb3d8bbwe\windowspackagemanagerserver.exe => Нет файла
FirewallRules: [{3B576C3B-9A15-450C-B3A2-08DC682C3BD7}] => (Allow) C:\programdata\microsoft\windows defender\platform\4.18.25030.2-0\mpdefendercoreservice.exe => Нет файла
FirewallRules: [{028EB821-4416-4FE5-A320-FFA58C48223E}] => (Allow) C:\programdata\microsoft\windows defender\platform\4.18.25030.2-0\msmpeng.exe => Нет файла
FirewallRules: [{8624AE7D-0CC3-4893-8DC7-478B93D92EB3}] => (Block) C:\program files\windjview\windjview.exe => Нет файла
FirewallRules: [{0C8FAF2D-BBDE-40C1-9C46-EC5B3DC492A1}] => (Allow) C:\program files (x86)\remote manipulator system - viewer\rutview.exe => Нет файла
FirewallRules: [{9469D2A7-30D7-4193-9B12-38277B9B58E6}] => (Allow) C:\users\sergey\appdata\local\programs\xmind\xmind.exe => Нет файла
FirewallRules: [{481003B9-4F68-48E3-AC9F-035F0CA333DB}] => (Block) D:\загрузки_d\adobe illustrator 2025 29.7.0 x64\set-up.exe => Нет файла
FirewallRules: [{D86E01B9-3A6A-4FF4-B958-18131A33119D}] => (Allow) powershell.exe => Нет файла
FirewallRules: [{88918D82-7A8F-4887-96E0-5F3FA6D7DCC5}] => (Block) D:\загрузки_d\adobe photoshop 2025 26.10 x64\set-up.exe => Нет файла
FirewallRules: [{B1BDC386-B785-4E3A-B4B7-E863651649E6}] => (Allow) C:\users\sergey\miniconda3\python.exe => Нет файла
FirewallRules: [{51E86D2B-6F3C-4973-82A0-8CC4A957C44D}] => (Allow) C:\users\sergey\miniconda3\envs\gpt-sovits\python.exe => Нет файла
FirewallRules: [{5639B247-5BD6-4626-B506-84CE8F71662A}] => (Allow) C:\users\sergey\appdata\roaming\yandex\yandexdisk2\3.2.46.5114\yandexdisk2.exe => Нет файла
FirewallRules: [{BEF10A2F-540D-44FB-A7BA-B0D325638BEA}] => (Allow) C:\users\sergey\appdata\roaming\yandex\yandexdisk2\3.2.46.5114\yandexnotes.exe => Нет файла
FirewallRules: [{AF821B8A-E941-483F-8B1A-0761FE98D351}] => (Allow) F:\антивирусы\mb5-setup-consumer-5.4.4.225-145.0.5428-1.0.104879.exe => Нет файла
FirewallRules: [{9B7D2198-EA8F-40BE-996F-F960AFD7F1C5}] => (Allow) C:\program files\epic games\launcher\portal\binaries\win64\epicgameslauncher.exe => Нет файла
FirewallRules: [{CA3B5CD9-4BA3-49DC-A914-8AE3D0FC2D8A}] => (Allow) C:\program files (x86)\epic games\epic online services\epiconlineservicesinstallhelper.exe => Нет файла
FirewallRules: [{5F339E5F-883C-43D1-A37E-A8E7D6B9AB9F}] => (Allow) C:\program files\epic games\launcher\engine\binaries\win64\epicwebhelper.exe => Нет файла
FirewallRules: [{51060D08-3932-4006-9EE2-648D04199F1A}] => (Allow) C:\program files (x86)\epic games\epic online services\managedartifacts\98bc04bc842e4906993fd6d6644ffb8d\eosoverlayrenderer-win64-shipping.exe => Нет файла
FirewallRules: [{BFDFC144-BC08-4950-9664-C3651F19F70F}] => (Allow) C:\program files\java\jre1.8.0_481\bin\javaw.exe => Нет файла
FirewallRules: [{AB9ACB02-0BE6-4D22-B7D9-4B60E3F2DD02}] => (Allow) C:\program files\google\drive file stream\122.0.1.0\googledrivefs.exe => Нет файла
FirewallRules: [{CFE1EE32-27FC-49EF-882D-59DE75716AA5}] => (Allow) C:\program files\windowsapps\microsoft.desktopappinstaller_1.25.390.0_x64__8wekyb3d8bbwe\winget.exe => Нет файла
FirewallRules: [{5CA69375-BF76-410A-9E02-AA36AF2D431A}] => (Allow) C:\program files (x86)\google\googleupdater\148.0.7730.0\updater.exe => Нет файла
FirewallRules: [{255CF810-A3D0-4366-8CE7-714C95354E6B}] => (Allow) D:\программы новые (сортировка)\утилиты\rufus.exe => Нет файла
FirewallRules: [{E4C25A2E-B3A1-484B-8B8E-028058EF0BEE}] => (Allow) C:\$WINDOWS.~BT\Sources\setuphost.exe => Нет файла
FirewallRules: [{26898631-7C99-4A96-9D57-40F31A6CB1DD}] => (Allow) C:\$WINDOWS.~BT\Sources\diagtrackrunner.exe => Нет файла
FirewallRules: [{C1B3959E-57F0-4104-ABF5-0582B0FF7B53}] => (Allow) C:\program files\google\drive file stream\123.0.1.0\googledrivefs.exe => Нет файла
FirewallRules: [TCP Query User{90771B8F-BC92-4FA1-9276-B53C458693F4}C:\users\sergey\appdata\local\programs\dione\dione.exe] => (Allow) C:\users\sergey\appdata\local\programs\dione\dione.exe => Нет файла
FirewallRules: [UDP Query User{34ECE06D-EADC-482D-9EC1-D257AFFC39D4}C:\users\sergey\appdata\local\programs\dione\dione.exe] => (Allow) C:\users\sergey\appdata\local\programs\dione\dione.exe => Нет файла
FirewallRules: [{0798B214-D802-4872-89AC-7FB3CB135545}] => (Allow) C:\users\sergey\appdata\local\programs\dione\dione.exe => Нет файла
FirewallRules: [{3B4CDEE4-101A-4A9F-9510-7AA33808C05C}] => (Allow) C:\users\sergey\appdata\local\programs\dione\dione.exe => Нет файла
FirewallRules: [{6F7D5994-C065-4F23-8EB3-4449CA7FF857}] => (Allow) C:\users\sergey\miniconda3\_conda.exe => Нет файла
FirewallRules: [{8F335A73-6143-4138-AE50-6AB755AFB7FD}] => (Allow) C:\applio-3.6.2\env\python.exe => Нет файла
FirewallRules: [{E0F331EE-EB6C-420E-8861-154031327BAC}] => (Allow) C:\applio-3.6.2\env\scripts\uv.exe => Нет файла
FirewallRules: [{73C70CEC-5961-415E-B9AB-14CCB43BD12D}] => (Allow) C:\applio-3.6.2\env\scripts\uv.exe => Нет файла
FirewallRules: [{8C33A268-9C90-44A4-A413-ADBA241C184E}] => (Allow) C:\applio-3.6.2\env\scripts\uv.exe => Нет файла
FirewallRules: [{3037C833-3B19-40A0-81D4-B743CE34C067}] => (Allow) C:\applio-3.6.2\env\scripts\uv.exe => Нет файла
FirewallRules: [{B638BD2B-2891-4973-BC40-EB8A5E6A3480}] => (Allow) C:\applio-3.6.2\env\scripts\uv.exe => Нет файла
FirewallRules: [{898D3542-5909-41F1-89F2-EFD830C4BE0E}] => (Allow) C:\applio-3.6.2\env\scripts\uv.exe => Нет файла
FirewallRules: [{BFF655E3-F049-48CF-9D9C-C3B50E2518E4}] => (Allow) C:\program files\amneziavpn\amneziavpn.exe => Нет файла
FirewallRules: [{E2E62077-0E20-410C-A4E1-C8BD99D5910D}] => (Allow) C:\program files\amneziavpn\amneziavpn-service.exe => Нет файла
FirewallRules: [{96134F85-F730-4809-A793-80E164F123B3}] => (Allow) C:\program files\amneziawg\amneziawg.exe => Нет файла
FirewallRules: [{E1A0A59C-524D-4811-8736-088CCADBE3BD}] => (Allow) C:\program files\microsoft onedrive\26.062.0402.0001\filecoauth.exe => Нет файла
FirewallRules: [{6EA16B6D-7D23-4911-B86D-21E50A7D6E68}] => (Allow) C:\program files\microsoft onedrive\26.062.0402.0001\onedrive.sync.service.exe => Нет файла
FirewallRules: [{BB59DA0A-C6CB-401B-BC2F-FCD024B0A3E3}] => (Allow) C:\program files\microsoft onedrive\26.062.0402.0001\onedrivelauncher.exe => Нет файла
FirewallRules: [{214EDB0B-53FF-4B6B-93B9-CF17330F2802}] => (Allow) C:\program files\windowsapps\microsoft.gamingservices_35.112.23002.0_x64__8wekyb3d8bbwe\gamingservices.exe => Нет файла
FirewallRules: [{1BFEC63A-A43D-4B45-9379-540B01710EB6}] => (Allow) C:\program files\defenderui\defenderui.exe => Нет файла
FirewallRules: [{C77CC64D-10D9-423A-B31C-C7B7E4FDE1E8}] => (Allow) C:\programdata\microsoft\windows defender\platform\4.18.25030.2-0\nissrv.exe => Нет файла
FirewallRules: [{4BBF5D35-317C-476D-BB43-B603BB4D4739}] => (Allow) C:\programdata\microsoft\windows defender\platform\4.18.26030.3011-0\nissrv.exe => Нет файла
FirewallRules: [{7A00468D-AC3A-45B6-8868-4DE7C041C8C6}] => (Allow) C:\programdata\microsoft\windows defender\platform\4.18.26030.3011-0\mpdefendercoreservice.exe => Нет файла
FirewallRules: [{7CCCE5A6-054E-4BA1-A6EC-7A9F030E46BF}] => (Allow) C:\programdata\microsoft\windows defender\platform\4.18.26030.3011-0\msmpeng.exe => Нет файла
FirewallRules: [{C3DAD129-3050-4A06-9699-B98495B22622}] => (Allow) C:\users\sergey\appdata\local\temp\.cr.30509\avira.spotlight.bootstrapper.exe => Нет файла
FirewallRules: [{EEE311AE-2D54-4DE5-9F07-896BA5E2C17C}] => (Allow) C:\program files (x86)\avira\optimizer host\avira.optimizerhost.exe => Нет файла
FirewallRules: [{B356013F-7D01-4D9D-8BFC-0BF86A99FB8A}] => (Allow) C:\program files (x86)\avira\vpn\avira.vpnservice.exe => Нет файла
FirewallRules: [{D412557E-12F0-4969-9B2E-B380B889576F}] => (Allow) C:\program files\avira\endpoint protection sdk\endpointprotection.exe => Нет файла
FirewallRules: [{81BCAB61-EF2E-41AE-A80E-CED81A0BC885}] => (Allow) C:\program files (x86)\avira\security\avira.spotlight.service.exe => Нет файла
FirewallRules: [{40873353-396E-431C-A371-5A06C5D8CD64}] => (Allow) C:\program files (x86)\avira\security\avira.spotlight.common.updater.exe => Нет файла
FirewallRules: [{AC34ACDE-CBBD-4A9E-AD3E-FB585C554F6B}] => (Block) C:\users\sergey\appdata\local\temp\{f49048ad-fe3c-4928-9b4b-5d1d34e1f475}\kavremover.exe => Нет файла
FirewallRules: [{B80C4301-B211-4FD4-BFD6-B5987B236870}] => (Allow) C:\users\sergey\appdata\local\temp\.cr.29084\avira.spotlight.bootstrapper.exe => Нет файла
FirewallRules: [{4C0C036F-F943-4527-AEBA-0E41B2C67633}] => (Allow) C:\windows\temp\asw-37fb7ef3-fd6c-41a0-873e-3dd9da394334\common\icarus.exe => Нет файла
FirewallRules: [{2ACFF675-476C-4C17-BF36-228E212F1CD6}] => (Allow) C:\windows\temp\asw-37fb7ef3-fd6c-41a0-873e-3dd9da394334\avast-av\icarus.exe => Нет файла
FirewallRules: [{8E1447DF-6FD1-46BA-B24F-DE906D30734D}] => (Allow) C:\windows\temp\asw-37fb7ef3-fd6c-41a0-873e-3dd9da394334\avast-av-vps\icarus.exe => Нет файла
FirewallRules: [{6D81CEC6-C387-44C3-8C08-2829FBDCC8C2}] => (Allow) C:\program files\avast software\avast\aswtoolssvc.exe => Нет файла
FirewallRules: [{D3E65BD7-4E67-4648-BFE1-60621AFEEDEE}] => (Allow) C:\program files\avast software\avast\avastsvc.exe => Нет файла
FirewallRules: [{987CAAD1-369F-44BE-A32C-53CF9E0D50E3}] => (Allow) C:\program files\common files\avast software\icarus\avast-av\icarus.exe => Нет файла
FirewallRules: [{1601E40C-273B-460E-BE1F-34859B530E5B}] => (Allow) C:\program files\common files\avast software\icarus\avast-av-vps\icarus.exe => Нет файла
FirewallRules: [{68041EB4-423D-47AC-B90A-01671612C6C8}] => (Allow) C:\program files\common files\avast software\overseer\overseer.exe => Нет файла
FirewallRules: [{FADE7875-FF26-40C2-BFEC-CBFE2CFB797B}] => (Allow) C:\program files\microsoft onedrive\26.062.0402.0001\onedriveupdaterservice.exe => Нет файла
FirewallRules: [{1227E73F-4073-4F5C-AEB1-652B56A5DC77}] => (Allow) C:\program files\microsoft onedrive\update\onedrivesetup.exe => Нет файла
FirewallRules: [{CCA2945A-ACAB-4EA9-9DA6-7EF6104BD900}] => (Allow) C:\program files\microsoft onedrive\26.062.0402.0002\filecoauth.exe => Нет файла
FirewallRules: [{BFE01CDA-A125-4C61-885D-CF66CB82893B}] => (Allow) C:\users\sergey\appdata\local\temp\gum594a.tmp\zonealarmupdate.exe => Нет файла
FirewallRules: [{512C4E96-50AF-4465-89BA-1F53CCBAD452}] => (Allow) C:\program files (x86)\checkpoint\update\zonealarmupdate.exe => Нет файла
FirewallRules: [{25EDCE87-D540-487D-B2E1-4A51B27ED00B}] => (Allow) C:\users\sergey\appdata\local\temp\nsla8c6.tmp\dltel.exe => Нет файла
FirewallRules: [{B2C010B1-8217-4868-85A9-F27E753194BE}] => (Allow) C:\users\sergey\appdata\local\temp\nsla8c6.tmp\zang_prerequisites.exe => Нет файла
FirewallRules: [{8221A1AC-CB8C-4A2E-B8FD-B75CAFB80E27}] => (Allow) C:\program files\microsoft onedrive\26.062.0402.0002\onedrivelauncher.exe => Нет файла
FirewallRules: [{18FB39A4-3E18-4865-8079-3270777932A6}] => (Allow) C:\program files (x86)\checkpoint\update\install\{aaff4a26-fc49-450c-8b91-ede0e9cb6ae6}\zang_install.exe => Нет файла
FirewallRules: [{DA7AE9CA-5064-4C10-8114-C1DF9FB8DD9A}] => (Allow) C:\program files (x86)\checkpoint\zang\mgrsvc\zang_mgrsvc.exe => Нет файла
FirewallRules: [{28AB5DA2-095B-4EBB-AD66-3A5D48D3C259}] => (Allow) C:\program files (x86)\checkpoint\zang\ar\ar_service.exe => Нет файла
FirewallRules: [{47E95882-D46E-4AC3-9574-CABC37542D2E}] => (Allow) C:\program files (x86)\checkpoint\zang\mgrsvc\dltel.exe => Нет файла
FirewallRules: [{8259A882-C371-4407-A660-AFBF9837D45D}] => (Allow) C:\program files (x86)\checkpoint\endpoint security\efr\efrservice.exe => Нет файла
FirewallRules: [{4ABDC8B9-3579-4036-8E48-466A02430E21}] => (Allow) C:\program files (x86)\checkpoint\zang\av\zang_av.exe => Нет файла
FirewallRules: [{F4047BD5-A569-48F7-BF17-E683CC20FA45}] => (Allow) C:\program files (x86)\checkpoint\endpoint security\antibot\epab_svc.exe => Нет файла
FirewallRules: [{D3FEA94C-2598-4DFE-B722-DC43783D13B6}] => (Allow) C:\program files (x86)\checkpoint\zang\ui\ui_main.exe => Нет файла
FirewallRules: [{D4F6DB65-E5AA-45F5-AE9C-1603A99ADF39}] => (Allow) C:\program files (x86)\checkpoint\endpoint security\threat emulation\cpfileanlyz.exe => Нет файла
FirewallRules: [{AFFEA52B-4367-4E05-98C1-74BEF12F01FA}] => (Allow) C:\program files (x86)\checkpoint\endpoint security\tpcommon\updater\updater\epnetupdater.exe => Нет файла
FirewallRules: [{23F0F566-866D-4F4F-BC07-CB4DE17A7E20}] => (Block) C:\users\sergey\appdata\local\temp\nspeb86.tmp\dltel.exe => Нет файла
FirewallRules: [{4827066C-EE7C-498E-BCD0-0D31CBA1F6A5}] => (Block) C:\users\sergey\appdata\local\temp\nsm92ed.tmp\dltel.exe => Нет файла
FirewallRules: [{4DF81302-66D2-458A-ADAA-9B211D49C795}] => (Block) C:\users\sergey\appdata\local\temp\nsm9473.tmp\dltel.exe => Нет файла
FirewallRules: [{F86144BA-62C0-4BD9-BEA2-2857F7234B9A}] => (Block) C:\users\sergey\appdata\local\temp\nsocb33.tmp\dltel.exe => Нет файла
FirewallRules: [{72AE3779-FE8F-4AE2-918B-874985CE664F}] => (Block) C:\users\sergey\appdata\local\temp\nspe5d0.tmp\dltel.exe => Нет файла
FirewallRules: [{C582E6DB-9FF7-4F8A-978C-520D8FFBD1BD}] => (Allow) C:\users\sergey\appdata\local\temp\{907a1104-e812-4b5c-959b-e4dab37a96ab}\dltel.exe => Нет файла
FirewallRules: [{A73DEB8A-E6F1-49F3-BBCD-489C47180070}] => (Allow) C:\program files\microsoft onedrive\26.062.0402.0002\onedrive.sync.service.exe => Нет файла
FirewallRules: [{A81A0DFA-7242-4C6C-9940-ED8F808B7978}] => (Allow) C:\program files\microsoft onedrive\26.062.0402.0002\onedriveupdaterservice.exe => Нет файла
FirewallRules: [{6661C708-40EA-46D6-B4FA-00C16941C5DB}] => (Allow) C:\program files\microsoft onedrive\26.063.0405.0002\filecoauth.exe => Нет файла
FirewallRules: [{B1F40994-8C31-40EB-B446-5FA7200DD5B4}] => (Allow) C:\program files\google\drive file stream\124.0.3.0\googledrivefs.exe => Нет файла
FirewallRules: [{235FF70B-3B0A-45C7-8DBD-72A78FF268A7}] => (Allow) C:\users\sergey\appdata\local\programs\ollama\ollama app.exe => Нет файла
FirewallRules: [{9B985C70-5B7C-4B25-8F44-B01554DDBA5A}] => (Allow) C:\users\sergey\appdata\local\programs\ollama\ollama.exe => Нет файла
FirewallRules: [{69CB1D36-692E-4501-804B-9B6A5B1738BF}] => (Allow) C:\program files\microsoft onedrive\26.063.0405.0002\onedrive.sync.service.exe => Нет файла
FirewallRules: [{92C85C09-A489-44B2-AB7F-169CD9A94209}] => (Allow) C:\program files\microsoft onedrive\26.063.0405.0002\onedriveupdaterservice.exe => Нет файла
FirewallRules: [{3DA9ACDC-A44E-4486-B537-931BF8CC0CE3}] => (Allow) C:\program files\microsoft onedrive\26.070.0414.0001\filecoauth.exe => Нет файла
FirewallRules: [{5201DF72-34FA-44D6-BA2E-755E2B42B4BE}] => (Allow) C:\program files\microsoft onedrive\26.070.0414.0001\onedrive.sync.service.exe => Нет файла
FirewallRules: [{38EE6A4C-F07E-458D-8A66-B99D261ED830}] => (Allow) C:\program files (x86)\google\googleupdater\149.0.7814.0\updater.exe => Нет файла
FirewallRules: [{71D2FF88-18DC-4934-A597-F19125FE5EEF}] => (Allow) C:\users\sergey\appdata\roaming\yandex\yandexdisk2\3.2.47.5133\yandexdisk2.exe => Нет файла
FirewallRules: [{207031C4-1AE2-4632-BCEB-B1880AB8DA6F}] => (Allow) C:\users\sergey\appdata\roaming\yandex\yandexdisk2\3.2.47.5133\yandexnotes.exe => Нет файла
FirewallRules: [{77FC76E8-76CC-46B2-B01A-937CBAB260DF}] => (Allow) C:\program files\microsoft onedrive\26.070.0414.0001\filesynchelper.exe => Нет файла
FirewallRules: [{F8D4267E-D87F-413A-A79F-0CD9435784AE}] => (Allow) C:\program files\microsoft onedrive\26.070.0414.0001\onedriveupdaterservice.exe => Нет файла
FirewallRules: [{775FA71D-6FDD-4059-A212-CE2F3809FD5A}] => (Allow) C:\program files\microsoft onedrive\26.074.0420.0001\filecoauth.exe => Нет файла
FirewallRules: [{DC3C0D40-C19E-4BD7-BD73-A465DA2DBC41}] => (Allow) C:\program files\microsoft onedrive\26.074.0420.0001\onedrive.sync.service.exe => Нет файла
FirewallRules: [{F8B225D4-5EA0-4624-BC2B-91D166D41FB0}] => (Allow) C:\program files\microsoft onedrive\26.074.0420.0001\onedriveupdaterservice.exe => Нет файла
FirewallRules: [{D201ABED-44E0-481F-96B0-50CFECDF64CE}] => (Allow) C:\program files\microsoft onedrive\26.078.0426.0002\filecoauth.exe => Нет файла
FirewallRules: [{9C031C09-7BFF-4921-895B-F0115A516202}] => (Allow) C:\program files\microsoft onedrive\26.078.0426.0002\onedriveupdaterservice.exe => Нет файла
FirewallRules: [{F814B2D2-DFD2-460A-94E1-920634F2D07D}] => (Allow) C:\program files\microsoft onedrive\26.084.0504.0007\filecoauth.exe => Нет файла
FirewallRules: [{E545B71E-9451-4EA6-9540-A635592DB6BA}] => (Allow) C:\program files\microsoft onedrive\26.084.0504.0007\onedrivelauncher.exe => Нет файла
FirewallRules: [{824C714A-A791-4830-A96F-0E1AD1C06E93}] => (Allow) C:\program files\microsoft onedrive\26.084.0504.0007\onedrive.sync.service.exe => Нет файла
FirewallRules: [{C40BC54C-D9D5-42E8-B21B-3E62F265878E}] => (Allow) C:\program files\microsoft onedrive\26.084.0504.0007\onedriveupdaterservice.exe => Нет файла
FirewallRules: [{EB246330-C47B-4B07-8E26-B49929938F49}] => (Allow) C:\program files\microsoft onedrive\26.088.0510.0004\filecoauth.exe => Нет файла
FirewallRules: [{0D22091D-DB19-470E-90C1-F89AC5147582}] => (Allow) C:\program files\microsoft onedrive\26.088.0510.0004\onedrive.sync.service.exe => Нет файла
FirewallRules: [{32D0C31C-B401-4005-87A2-398DA79BC46F}] => (Block) C:\programdata\setup\smss.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 
Serebro

Serebro

Опубликовано
  • Автор
Опубликовано

 

7 часов назад, thyrex сказал:

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши)

7 часов назад, thyrex сказал:

Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Сделал всё по вашей инструкции

Fixlog.txt

thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Serebro

Serebro

Опубликовано
  • Автор
Опубликовано
3 часа назад, thyrex сказал:

Прикрепите этот файл в своем следующем сообщении.

Результат выполнения приложил.
Я собираюсь переустанавливать винду на 11 версию с форматированием С. Что сделать чтобы убедиться, что зловред не хозяйничал на других дисках с данными? Сканеры ничего нового не показывают, подозрительных файлов и папок среди скрытых\системных не вижу.

SecurityCheck.txt

thyrex

thyrex

Опубликовано
Опубликовано
51 минуту назад, Serebro сказал:

Что сделать чтобы убедиться, что зловред не хозяйничал на других дисках с данными?

увы, тут ничем помочь невозможно.

 

При установке программ на новой операционке позаботьтесь о том, чтобы были установлены последние версии тех программ, которые рекомендованы для обновления в последнем логе.

 

На этом закончим.

thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Mikhazen
      Скачал вирус "Trojan.Python.Obfus.f"
      Автор Mikhazen
      Что мне делать. Кинули ссылку и скачался файл, открыл его в Пайтон 3.14.... закинул на вирус тотал и мне Касперский кинул детект. Trojan.Python.Obfus.f . на сайте Касперского пишет такое, что обращался к именам 
       
      BSS:Trojan.Win32.Generic
       
      HEUR:Trojan-Dropper.Python.Obfus.gen
       
      Trojan.Python.Agent.og
       
      Я удалил сам текстовый файл crypted.py, но память начала грузиться до 50%, антималвэйр на цп ≈10-20 процентов кидает. Что делать? Есть ли способ без сноса винды? Т.к. там все файлы по работе
    • Artemnehacker
      поймал вирус стилер через анидеск
      Автор Artemnehacker
      Я был на проверке читов в майнкрафте через андисек мне закинули мне вредоносную програму предварительно отключив антивирус. После проверки читов, я запустил антивирус обратно (windows defender) после чего мне высветилсь плашка readme и потом (windows defender) удалил вирус , часть файлов было зашифровано в формате TOK, и украдены сеансы дискорд телеграм. Спустя 2 недели начала шалить винда, и появляться черные квадраты на обоях + начала нагриватся видеокарта. Хочу проверить удалил ли я вирус. 
      CollectionLog-2026.03.27-14.23.zip
    • LØNEX
      [РЕШЕНО] Попался на мошенников в КС2
      Автор LØNEX
      Здравствуйте. Пару дней назад меня рандомы пригласили в дискорд, начали звать играть на Faceit. Сказали верифицировать аккаунт фейсит через бота в дискорде, бот дал ссылку, в которой был текст для строки Win+R, утверждая, что это античит фейсита. После ввода команды на секунду открылась PowerShell. Сегодня я созвонился с человеком, который сказал, что меня опрокинули и на моем компьютере сейчас ratник и все скины скорее всего в ближайшее время украдут. Я уже временно заблокировал аккаунт Steam, пока не разберусь с проблемой. Прошу помочь.
      Вот команда, которая была прописана в Win+R: [скрипт удалён]
    • Dmitryy120
      Как работает kvrt?
      Автор Dmitryy120
      Допустим я скачал какой то exe файл с какого то подозрительного сайта ( я не запускал его) , и хочу просканировать его на своем ноуте через утилиту KVRT перед запуском , и выбираю эту подозрительную программу, как KVRT ее просканирует , он запустит ее на моем ноутбуке, или как выполняется сканирование ? Просто предположу , допустим это какой то стилер или другое вредоносное ПО, kvrt во время проверки запускает эту программу на моем компьютере , она выполняет свою вредоносную функцию , ворует данные с компьютера или что то еще , kvrt еще обнаруживает и удаляет. По сути программа уже выполнила свод функцию и украла все данные. И может удаляться, это работает по такому сценарию, который я предположил или сканирование проходит по другому ?
    • Андрей Востоков
      [РЕШЕНО] Помогите удалить майнер
      Автор Андрей Востоков
      Добрый Вечер! Не получается удалить майнер, после проверки через Malwarebytes программа удаляет майнер, после чего тот устанавливается снова и так каждые 5-10 минут и после перезапуска системы. Отчет по логам и отчет Malwarebytes прилагается 
      CollectionLog-2026.02.11-16.12.zip Malwarebytes Отчет о проверке 2026-02-11 111923.txt
×
×
  • Создать...