Решена Вирус запускает утилиты памяти (svchost?), нагружая видеокарту и в целом тормозя систему

De8BaiT · Вчера в 12:19

Добрый день! Ситуация такая:
В один из дней после установки некоторого архива услышал нехарактерный звук вентиляторов видеокарты, будто бы они сильно нагружена (хотя даже когда я их нагружал играми они так не гудели)

Зайдя в диспетчер задач в процессе обнаружил что за всем эти стоят два работающих процесса "Утилита памяти", которые закрыл, после чего они не запускались
Выяснилось, что с каждым запуском системы, сначала, спустя секунд 15 после запуска, запускается некий процесс "armchair make" с характерной иконкой черепа, и спустя несколько секунд выключается, инициируя тем запуск двух процессов "Утилита памяти"

Поиск нахождения этой программы и удаления ничем не удался, ибо после перехода в папку он толи скрывается, толи сам удаляется, а если и удаляешь потом, то после запуска ПК снова открывается
Также грешу на этот процесс, ибо его не было после той самой злополучной установки архива

De8BaiT · Вчера в 12:23

Прилагаю логи:

Sandor · Вчера в 12:36

Здравствуйте!

Логи находятся внутри архива с именем R:\Program\AutoLogger\CollectionLog-2025.11.30-13.22.zip

De8BaiT · Вчера в 12:55

Упс, исправляюсь

Severnyj · Вчера в 13:10

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код:

begin
 TerminateProcessByName('c:\programdata\microsoft\windows\tools\{2e9ded79-df40-402d-ac70-e54b2e30003f}\sdkhost.exe');
 TerminateProcessByName('c:\windows\system32\config\systemprofile\appdata\local\microsoft\performance\ntservice.exe');
 TerminateProcessByName('c:\programdata\microsoft\windows\tools\{5e1315de-f026-4f5d-9eb3-c626527cbab6}\fm.exe');
 TerminateProcessByName('c:\programdata\microsoft\windows\tools\{8be6f6b1-f36b-40cc-ad21-d2ceeb2f5f7b}\desvchost.exe');
 TerminateProcessByName('c:\programdata\microsoft\windows\tools\ai\bgm.exe');
 TerminateProcessByName('c:\programdata\microsoft\windows\tools\{6dc3d8f7-0b4a-4f4b-b1d6-b174dfcf9baa}\aisvchost.exe');
 QuarantineFile('C:\Users\User\AppData\Local\Programs\8418c857ef\1213d4e7c6.msi', '');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\NTnf7GNTl0N\NT1f7GNTl0N.js', '');
 QuarantineFile('C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\NTnf7GNTl0N\node\node.exe', '');
 QuarantineFile('C:\Windows\System32\4f1a2f4d-b3e9-442f-9f54-a6d48b928d96-68387959\9d592254-4cec-4fe3-bb22-aa00f3c5dffd', '');
 QuarantineFile('C:\Program Files\nodejs\node.exe', '');
 QuarantineFile('C:\Windows\System32\afdb5d53-ec5a-4720-9bd1-db62b24d8b70-64115162\da89a992-c25d-4bdb-a708-198c50bf4cc9', '');
 QuarantineFile('C:\ProgramData\Package Cache\79fd7a34-0853-4709-93bf-deb71f952d48-v46.7.59346.2222\c2a3b894-d934-45b7-b5e0-a9b214906283.js', '');
 QuarantineFile('C:\caf26d68-6491-4823-b57e-7fb95f4869e8-480282\a2f0de92-4472-4bfb-afee-910ae80bbca9', '');
 QuarantineFile('R:\Program\node.exe', '');
 QuarantineFile('C:\Windows\System32\9e5e71a8-d546-478e-bb3d-014297628fa0-11478278\11e2809b-03f8-449d-b732-1a9c2a90cfd2', '');
 QuarantineFile('C:\WINDOWS\Copilot\update.ps1', '');
 QuarantineFile('C:\Program Files (x86)\LocalHelper\node\node.exe', '');
 QuarantineFile('C:\Program Files (x86)\LocalHelper\843a8e03-64f9-4a3d-b11f-15f7837f218c.js', '');
 QuarantineFile('C:\WINDOWS\SysWOW64\adsiedit.dll', '');
 QuarantineFile('c:\windows\System32\adsiedit.dll', '');
 QuarantineFile('c:\programdata\microsoft\windows\tools\{2e9ded79-df40-402d-ac70-e54b2e30003f}\sdkhost.exe', '');
 QuarantineFile('c:\windows\system32\config\systemprofile\appdata\local\microsoft\performance\ntservice.exe', '');
 QuarantineFile('c:\programdata\microsoft\windows\tools\{5e1315de-f026-4f5d-9eb3-c626527cbab6}\fm.exe', '');
 QuarantineFile('c:\programdata\microsoft\windows\tools\{8be6f6b1-f36b-40cc-ad21-d2ceeb2f5f7b}\desvchost.exe', '');
 QuarantineFile('c:\programdata\microsoft\windows\tools\ai\bgm.exe', '');
 QuarantineFile('c:\programdata\microsoft\windows\tools\{6dc3d8f7-0b4a-4f4b-b1d6-b174dfcf9baa}\aisvchost.exe', '');
 DeleteFile('c:\programdata\microsoft\windows\tools\{6dc3d8f7-0b4a-4f4b-b1d6-b174dfcf9baa}\aisvchost.exe', '32');
 DeleteFile('c:\programdata\microsoft\windows\tools\ai\bgm.exe', '32');
 DeleteFile('c:\programdata\microsoft\windows\tools\{8be6f6b1-f36b-40cc-ad21-d2ceeb2f5f7b}\desvchost.exe', '32');
 DeleteFile('c:\programdata\microsoft\windows\tools\{5e1315de-f026-4f5d-9eb3-c626527cbab6}\fm.exe', '32');
 DeleteFile('c:\windows\system32\config\systemprofile\appdata\local\microsoft\performance\ntservice.exe', '32');
 DeleteFile('c:\programdata\microsoft\windows\tools\{2e9ded79-df40-402d-ac70-e54b2e30003f}\sdkhost.exe', '32');
 DeleteFile('C:\WINDOWS\SysWOW64\adsiedit.dll', '64');
 DeleteFile('C:\Program Files (x86)\LocalHelper\843a8e03-64f9-4a3d-b11f-15f7837f218c.js', '64');
 DeleteFile('C:\Program Files (x86)\LocalHelper\node\node.exe', '64');
 DeleteFile('C:\Program Files (x86)\DriverFix\DriverFix.exe', '64');
 DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\10.3.0\AutoUpdate.exe', '64');
 DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\10.3.0\DriverBooster.exe', '64');
 DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\10.3.0\Scheduler.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Tools\{6dc3d8f7-0b4a-4f4b-b1d6-b174dfcf9baa}\aisvchost.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Tools\AI\bgm.exe', '64');
 DeleteFile('C:\WINDOWS\Copilot\update.ps1', '64');
 DeleteFile('C:\Windows\System32\9e5e71a8-d546-478e-bb3d-014297628fa0-11478278\11e2809b-03f8-449d-b732-1a9c2a90cfd2', '64');
 DeleteFile('R:\Program\node.exe', '64');
 DeleteFile('C:\caf26d68-6491-4823-b57e-7fb95f4869e8-480282\a2f0de92-4472-4bfb-afee-910ae80bbca9', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Tools\{8be6f6b1-f36b-40cc-ad21-d2ceeb2f5f7b}\desvchost.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Tools\{5e1315de-f026-4f5d-9eb3-c626527cbab6}\fm.exe', '64');
 DeleteFile('C:\ProgramData\Package Cache\79fd7a34-0853-4709-93bf-deb71f952d48-v46.7.59346.2222\c2a3b894-d934-45b7-b5e0-a9b214906283.js', '64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Tools\{2e9ded79-df40-402d-ac70-e54b2e30003f}\sdkhost.exe', '64');
 DeleteFile('C:\Windows\System32\afdb5d53-ec5a-4720-9bd1-db62b24d8b70-64115162\da89a992-c25d-4bdb-a708-198c50bf4cc9', '64');
 DeleteFile('C:\Program Files\nodejs\node.exe', '64');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\AppData\Local\Microsoft\Performance\NTService.exe', '64');
 DeleteFile('C:\Windows\System32\4f1a2f4d-b3e9-442f-9f54-a6d48b928d96-68387959\9d592254-4cec-4fe3-bb22-aa00f3c5dffd', '64');
 DeleteFile('C:\WINDOWS\SyncCenter\sxhost.exe', '64');
 DeleteFile('C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\{0c3b3578-51ed-4107-8417-fca18c5079f6}\d07e3436-3445-467d-96f0-42dc94b07c05', '64');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\NTnf7GNTl0N\node\node.exe', '64');
 DeleteFile('C:\WINDOWS\system32\config\systemprofile\AppData\Roaming\NTnf7GNTl0N\NT1f7GNTl0N.js', '64');
 DeleteFile('C:\Users\User\AppData\Local\Programs\8418c857ef\1213d4e7c6.msi', '64');
 DeleteFile('C:\WINDOWS\system32\adsiedit.dll', '32');
 DeleteFile('C:\WINDOWS\syswow64\adsiedit.dll', '32');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\ADSISvc_53fa4d\Parameters', 'ServiceDll', 'x64');
 DeleteSchedulerTask('92202352-5929-46ca-91a0-06849dfa548f');
 DeleteSchedulerTask('Driver Booster Scheduler');
 DeleteSchedulerTask('Driver Booster SkipUAC (User)');
 DeleteSchedulerTask('Driver Booster Update');
 DeleteSchedulerTask('DriverFix');
 DeleteSchedulerTask('Microsoft\Office\Copilot Optimization');
 DeleteSchedulerTask('Microsoft\Windows\AI\Module Optimization');
 DeleteSchedulerTask('Microsoft\Windows\Bluetooth\BluetoothDeviceStatus');
 DeleteSchedulerTask('Microsoft\Windows\Copilot\Copilot Update');
 DeleteSchedulerTask('Microsoft\Windows\Copilot\CopilotAISchedule');
 DeleteSchedulerTask('Microsoft\Windows\DiskCleanup\FastDiskCleanup');
 DeleteSchedulerTask('Microsoft\Windows\Defrag\Fragmentation Manager');
 DeleteSchedulerTask('Microsoft\Windows\Defrag\Defrag Engine');
 DeleteSchedulerTask('Microsoft\Windows\Experimental\Experimental Host');
 DeleteSchedulerTask('Microsoft\Windows\Maps\MapsShowTask');
 DeleteSchedulerTask('Microsoft\Windows\Multimedia\SystemVideoService');
 DeleteSchedulerTask('Microsoft\Windows\Performance\Network Perfomance\Network Perfomance');
 DeleteSchedulerTask('Microsoft\Windows\Registry\RegIdleStatus');
 DeleteSchedulerTask('Microsoft\Windows\SyncCenter\SyncX SDK');
 DeleteSchedulerTask('Microsoft\Windows\WlanSvc\DNSSync');
 DeleteSchedulerTask('MQSc7GNTl0N');
 DeleteSchedulerTask('workiro-S-1-5-21-2888823299-297187694-1750285164-1000');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

De8BaiT · Вчера в 13:32

Отправил архив quarantine.zip на почту, ибо файл превышал 20мб, новый лог:

Severnyj · Вчера в 13:36

Карантин не дошел, по видимому - mail.ru его заблочило. Ответил вам - выложите на любой файлообменник и пришлите пожалуйста на ту же почту ссылку.

De8BaiT · Вчера в 13:39

Отправил ссылку на Гугл Диск, дошла?

Severnyj · Вчера в 13:51

Да. Дошла, спасибо.

Еще один скрипт.

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код:

begin
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\program files\microsoft onedrive\onedrivesync.exe');
 TerminateProcessByName('c:\windows\onedrive\onedrivesync.exe');
 QuarantineFile('C:\WINDOWS\system32\wifi6.exe', '');
 QuarantineFile('C:\Program Files\Microsoft OneDrive\OneDrive.exe', '');
 QuarantineFile('C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VM.bat', '');
 QuarantineFile('c:\program files\microsoft onedrive\onedrivesync.exe', '');
 QuarantineFile('c:\windows\onedrive\onedrivesync.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Tools\{2e9ded79-df40-402d-ac70-e54b2e30003f}\earn_sdk_32.dll','');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Tools\{2e9ded79-df40-402d-ac70-e54b2e30003f}\earn_sdk_32.dll','32');
 DeleteFile('c:\windows\onedrive\onedrivesync.exe', '32');
 DeleteFile('c:\program files\microsoft onedrive\onedrivesync.exe', '32');
 DeleteFile('C:\ProgramData\promises-potatoes\bin.exe', '64');
 DeleteFile('C:\Program Files\Microsoft OneDrive\OneDrive.exe', '32');
 DeleteFile('C:\Program Files\Microsoft OneDrive\OneDrive.exe', '64');
 DeleteFile('R:\Program\Unlocker\IObit Unlocker\IObitUnlockerExtension.dll', '64');
 DeleteFile('C:\WINDOWS\AccountHealth\chkhlt.exe', '64');
 DeleteFile('C:\WINDOWS\system32\PrivacyNotifier.exe', '64');
 DeleteFile('C:\ProgramData\lodge-maintain\TGMacro.exe', '64');
 DeleteFile('C:\WINDOWS\OneDrive\onedrivesync.exe', '64');
 DeleteFile('C:\Program Files\Microsoft OneDrive\onedrivesync.exe', '64');
 DelCLSID('{410BF280-86EF-4E0F-8279-EC5848546AD3}');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDrive', 'x32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2888823299-297187694-1750285164-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OneDrive', 'x32');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'OneDrive', 'x64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved', '{410BF280-86EF-4E0F-8279-EC5848546AD3}', 'x64');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2888823299-297187694-1750285164-1002\Software\Microsoft\Windows\CurrentVersion\RunOnce', 'OneDrive', 'x64');
 DeleteSchedulerTask('Microsoft\Windows\Proactive Check\Account Health');
 DeleteSchedulerTask('Microsoft\Windows\Setup\PrivacyNotifier');
 DeleteSchedulerTask('poems-programs');
 DeleteSchedulerTask('platform-wary');
 DeleteSchedulerTask('CCleaner Update');
 DeleteSchedulerTask('CCleanerCrashReporting');
 DeleteSchedulerTask('CCleanerSkipUAC - User');
 DeleteSchedulerTask('iTop BF Task (One-Time)');
 DeleteSchedulerTask('iTop XMS Task (One-Time)');
 DeleteSchedulerTask('iTopVPN_Scheduler_User');
 DeleteSchedulerTask('iTopVPN_SkipUAC_User');
 DeleteSchedulerTask('iTopVPN_Update_User');
 DeleteSchedulerTask('Microsoft\Windows\OneDrive\OndeDrive Sync');
 DeleteSchedulerTask('Microsoft\Windows\OneDrive\OneDrive Sync');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!

После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.

De8BaiT · Вчера в 14:13

На почту сразу ссылку кинул ещё раз, карантин-файл должен быть новым

Severnyj · Вчера в 14:25

Хорошо. Активную заразу побороли. Теперь почистим мусор и восстановим систему.

1) Скачайте утилиту DoesNotBelong и сохраните её на Рабочем столе.

Пожалуйста, сохраните все несохраненные файлы и закройте все программы, так как этот инструмент попытается закрыть все некритические процессы в ходе сканирования. Это касается и интернет-браузеров.

Щелкните правой кнопкой мыши по DoesNotBelong.exe и запустите его от имени администратора.
После прочтения заявления об отказе от ответственности нажмите «Да», чтобы начать сканирование
Скрипт создаст точку восстановления системы и приступит к сканированию, которое может занять некоторое время.
По завершении работы программы окно командной строки закроется, и в корневом каталоге диска C: будет создан журнал под названием DoesNotBelong_[дата]_[время].txt.
Пожалуйста, запакуйте отчет DoesNotBelong_[дата]_[время].txt. и прикрепите к своему следующему сообщению.

2) Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

De8BaiT · Вчера в 14:38

Все три отчёта в один архив закинул

Severnyj · Вчера в 15:08

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код:

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-2888823299-297187694-1750285164-1000\...\Run: [EADM] => "C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALauncher.exe" -silent (Нет файла)
HKU\S-1-5-21-2888823299-297187694-1750285164-1000\...\Policies\Explorer: [] 
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {50073F4E-6DBB-43A1-ADB0-3FEFE190104F} - System32\Tasks\Microsoft\Windows\InternalNetwork\LAN Network Status => "C:\Program Files\CleanZiloApp\CleanZilo.exe"  (Нет файла) <==== ВНИМАНИЕ
Task: {6C011552-7723-40D7-AA43-AAFE1B255D80} - System32\Tasks\Opera GX scheduled Autoupdate 1619619448 => C:\Users\User\AppData\Local\Programs\Opera GX\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {ABFB6300-1BF0-4F67-81F7-E99C69425C8C} - System32\Tasks\Opera GX scheduled Autoupdate 1639491231 => C:\Users\User\AppData\Local\Programs\Opera GX\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {CB41E650-708A-4CE7-B6E4-D03599325C6F} - System32\Tasks\Opera scheduled Autoupdate 1566548173 => C:\Users\User\AppData\Local\Programs\Opera\launcher.exe  --scheduledautoupdate $(Arg0) (Нет файла)
Task: {81F8AB23-7F46-4FA8-AAE2-229D531F8498} - System32\Tasks\Восстановление сервиса обновлений Яндекс.Браузера => C:\Program Files (x86)\Yandex\YandexBrowser\22.1.1.1543\service_update.exe  --repair (Нет файла)
Edge DefaultSearchURL: Default -> hxxps://xfinder.pro/q?q={searchTerms}
Edge DefaultSearchKeyword: Default -> xfinder.pro
Edge DefaultSuggestURL: Default -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
C:\Users\User\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Default -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Default -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: Default -> cdn
C:\Users\User\AppData\Local\Google\Chrome\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Guest Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Guest Profile -> "hxxps://find-it.pro/?utm_source=distr_m" 
CHR DefaultSearchKeyword: Guest Profile -> cdn
C:\Users\User\AppData\Local\Google\Chrome\User Data\Guest Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Profile 1 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 1 -> "hxxps://find-it.pro/?utm_source=distr_m"
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mdfkmfkijfdcljfnmbgbdmmklodcnacm
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HomePage: Profile 2 -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: Profile 2 -> "hxxps://find-it.pro/?utm_source=distr_m"
CHR DefaultSearchURL: Profile 2 -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Profile 2 -> cdn
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\mdfkmfkijfdcljfnmbgbdmmklodcnacm
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR DefaultSearchURL: Profile 4 -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Profile 4 -> cdn
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\oikgcnjambfooaigmdljblbaeelmekem
C:\Users\User\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\mdfkmfkijfdcljfnmbgbdmmklodcnacm
CHR HomePage: System Profile -> hxxps://find-it.pro/?utm_source=distr_m
CHR StartupUrls: System Profile -> "hxxps://find-it.pro/?utm_source=distr_m"
C:\Users\User\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR HKU\S-1-5-21-2888823299-297187694-1750285164-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh]
CHR HKU\S-1-5-21-2888823299-297187694-1750285164-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
CHR HKU\S-1-5-21-2888823299-297187694-1750285164-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mdfkmfkijfdcljfnmbgbdmmklodcnacm]
CHR HKLM-x32\...\Chrome\Extension: [dljdacfojgikogldjffnkdcielnklkce]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
S2 AdskLicensingService; "C:\Program Files (x86)\Common Files\Autodesk Shared\AdskLicensing\Current\AdskLicensingService\AdskLicensingService.exe" [X]
S2 Autodesk Access Service Host; "C:\Program Files\Autodesk\AdODIS\V1\Setup\AdskAccessServiceHost.exe" [X]
S2 QMEmulatorService; "R:\Program Files\TxGameAssistant\AppMarket\QMEmulatorService.exe" [X]
S3 VSStandardCollectorService150; "C:\Program Files (x86)\Microsoft Visual Studio\Shared\Common\DiagnosticsHub.Collection.Service\StandardCollector.Service.exe" [X]
S3 HWiNFO_205; \??\C:\Users\User\AppData\Local\Temp\HWiNFO_x64_205.sys [X] <==== ВНИМАНИЕ
2025-11-30 15:26 - 2025-11-30 15:28 - 000000000 ____D C:\DNB_Quarantine
2025-11-02 18:57 - 2025-11-02 18:58 - 000000000 __SHD C:\ProgramData\CreativityStudio-075992da-43bd-4f1f-85af-659ac9c32907
2025-10-02 18:32 - 2025-10-02 18:33 - 000000000 __SHD C:\ProgramData\SpeedyRescue-4a942065-eb39-46cc-8f85-dde54f37fa27
2025-09-23 02:13 - 2025-09-23 02:13 - 000000000 __SHD C:\ProgramData\WebBuilderSpace-9051f50d-d5db-49f8-86c8-94970e25adcc
2025-11-30 15:28 - 2025-01-15 02:28 - 000000000 ____D C:\WINDOWS\system32\be946c93-875d-494f-ae7d-bd272b3481cc-70036284
2025-11-30 15:28 - 2025-01-15 01:28 - 000000000 ____D C:\WINDOWS\system32\73f87f03-89a0-45ed-b99d-209f7d60fae5-34002722
2025-11-30 15:28 - 2025-01-14 04:28 - 000000000 ____D C:\WINDOWS\system32\c7547c3d-5f3f-41a9-81c3-51bee009b8eb-34882880
2025-11-30 15:28 - 2025-01-14 03:28 - 000000000 ____D C:\WINDOWS\system32\c825ef26-54a2-4f11-9d90-f4a50f524a8a-44032958
2025-11-30 15:28 - 2025-01-14 02:28 - 000000000 ____D C:\WINDOWS\system32\bf42db76-8957-47a3-907d-bb6c46251aeb-70212505
2025-11-30 15:28 - 2025-01-14 01:28 - 000000000 ____D C:\WINDOWS\system32\91434310-6f71-494d-93e2-f8fe38b5cfc5-48982656
2025-11-30 15:28 - 2025-01-14 00:28 - 000000000 ____D C:\WINDOWS\system32\3df76c68-e6e1-46c4-8dc9-53c6571b7496-64803506
2025-11-30 15:28 - 2025-01-13 23:28 - 000000000 ____D C:\WINDOWS\system32\fd4037f2-4bfe-498a-ad46-9b9bfae5233b-47607070
2025-11-30 15:28 - 2025-01-13 23:26 - 000000000 ____D C:\WINDOWS\system32\894d5d9f-7e63-48c1-9887-8e452868284b-50045130
2025-11-30 15:28 - 2025-01-13 04:28 - 000000000 ____D C:\WINDOWS\system32\011b879f-d80c-420b-a572-e841971ed343-73103940
2025-11-30 15:28 - 2025-01-13 03:28 - 000000000 ____D C:\WINDOWS\system32\671a8963-98a0-40de-9da9-e7a3d52b4a55-95884490
2025-11-30 15:28 - 2025-01-13 02:28 - 000000000 ____D C:\WINDOWS\system32\09115ef8-aec5-476d-aefa-26e487ad7d60-95435188
2025-11-30 15:28 - 2025-01-13 01:28 - 000000000 ____D C:\WINDOWS\system32\8fe8defe-e3f3-47ae-beb1-f45e7fdb2208-85613496
2025-11-30 15:28 - 2025-01-13 00:28 - 000000000 ____D C:\WINDOWS\system32\d5dd45cd-ccca-4ba1-8473-9bc881f15a75-17847683
2025-11-30 15:28 - 2025-01-12 23:28 - 000000000 ____D C:\WINDOWS\system32\a7c1d642-bcb3-49c7-9d1d-4d9ae766b610-63613864
2025-11-30 15:28 - 2025-01-12 05:28 - 000000000 ____D C:\WINDOWS\system32\7363546d-3553-4dcd-bce7-b0db7edc4f41-71739761
2025-11-30 15:28 - 2025-01-12 04:28 - 000000000 ____D C:\WINDOWS\system32\80feac96-573a-40bd-a023-cdfac2500b47-15938840
2025-11-30 15:28 - 2025-01-12 03:28 - 000000000 ____D C:\WINDOWS\system32\32f0cd85-8dcc-4cf0-acdb-47018e7bb2fb-33381988
2025-11-30 15:28 - 2025-01-12 02:28 - 000000000 ____D C:\WINDOWS\system32\4c9c695e-42b4-4aae-8725-631d41fb7178-99073966
2025-11-30 15:28 - 2025-01-12 01:28 - 000000000 ____D C:\WINDOWS\system32\50bd0244-016a-47c5-be78-3283537a6da1-89036385
2025-11-30 15:28 - 2025-01-12 00:28 - 000000000 ____D C:\WINDOWS\system32\0197f5da-cdc5-4801-a0da-ce1e26063d05-31603681
2025-11-30 15:28 - 2025-01-11 23:28 - 000000000 ____D C:\WINDOWS\system32\99f6e19c-5c7b-409c-b12b-9b76fcc9ec20-21768756
2025-11-30 14:15 - 2025-01-16 17:21 - 000000000 ____D C:\WINDOWS\system32\9e5e71a8-d546-478e-bb3d-014297628fa0-11478278
2025-11-30 14:15 - 2025-01-15 03:28 - 000000000 ____D C:\WINDOWS\system32\afdb5d53-ec5a-4720-9bd1-db62b24d8b70-64115162
2025-11-30 14:15 - 2025-01-11 23:22 - 000000000 ____D C:\WINDOWS\system32\4f1a2f4d-b3e9-442f-9f54-a6d48b928d96-68387959
2024-02-15 00:05 C:\AdwCleaner
method compromise 2.5.23.813 (HKLM-x32\...\{9d2641af-38d8-4a23-af25-660418716964}) (Version: 2.5.23.813 - Zemlak Group Group) Hidden
ReedEcoz 1.0.1.657 (HKLM-x32\...\{11f51c62-e9d8-47df-a7d6-8eea8d920db2}) (Version: 1.0.1.657 - Guardado de Palomo e Hijo) Hidden
Workiro 1.0.0.0 (HKU\S-1-5-21-2888823299-297187694-1750285164-1000\...\{d5c94891-bc08-4ced-8eee-5a1973c3c9fb}) (Version: 1.0.0.0 - Workiro) Hidden
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> R:\Program\3ds Max 2021\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{1108FD1C-492F-4251-B9DB-77F0274267B2}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.187.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{11C9DD7B-CCF5-4502-90A1-FEE8889976D5}\InprocServer32 -> C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{18224999-F24B-43ee-B697-9427587FDC9C}\InprocServer32 -> C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{1C67DF85-7959-43C0-92F8-2CAD0314C31C}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.201.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{2ABD6384-2E18-40E8-8439-F06D21E0B03D}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{2B49DB21-41C5-44C0-8358-CA4C76205AE1}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.209.9\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{2FDB3305-19B8-4FE2-972B-ED5E97CBBD6E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{41B09861-5409-4D44-8CA4-D49FBFAA2E6F}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{4FFB4BD8-A109-4F25-A4DB-313678B19417}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.187.41\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{608D599A-DCA6-4A7C-BED7-AFCD8465345A}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.175.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{63ADB0D1-6DA0-46A2-89D0-E0CE44536E32}\InprocServer32 -> C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{6A49690B-7DB6-424B-81CE-F51078F2A58D}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.203.13\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.187.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.183.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{75EF3512-D401-4172-BA0F-00E000DCBCE4}\InprocServer32 -> C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{78CE3579-0D34-413C-88C7-FE2855271688}\localserver32 -> "C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk2.exe" -silent => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{79F05C14-E714-4C12-9924-93C812894CB0}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.57\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{7EFB4924-4B93-4C43-9832-9C3D05E85214}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.59\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{847202AE-CDE0-469A-AF10-8798E02DED83}\InprocServer32 -> C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> R:\Program\3ds Max 2021\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{8EEE3CD5-1F70-4B63-B19D-A5F1457761DB}\InprocServer32 -> C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{9CE04609-A360-4266-9937-9D799E8D2D5A}\InprocServer32 -> C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{A087E49F-1F8E-4603-A200-55537B737421}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.25\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{A78355B5-2A4D-486B-B97A-43448FC8C34D}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.207.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{AE1542A7-3989-481B-93A9-1500C5F56B14}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.185.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{BB04C6F8-598E-4733-ABB4-07489C863436}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.205.9\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{BC4C72EF-3055-4A6D-86E1-AE4D24DB63CA}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{C5F6CDD1-FB7B-4971-A53F-4B00757F756B}\InprocServer32 -> C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{C88B3957-621C-415B-8EE5-B688FC7EF924}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{CAE1760A-CB07-481B-8F9A-BC65510AF5D5}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.185.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{CB965DF1-B8EA-49C7-BDAD-5457FDC1BF92}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\TeamsMeetingAddin\1.0.20244.4\x64\Microsoft.Teams.AddinLoader.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{D2188EEC-2B0F-488C-8ECA-5285E8ECD87D}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.69\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{D8599F80-3D26-46D2-8CF1-0AD21B0ECF31}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.65\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.185.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> R:\Program\Autocad\AutoCAD 2022\ru-RU\acadficn.dll (Autodesk Asia Pte. Ltd. -> Autodesk, Inc.)
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> R:\Program\3ds Max 2021\Inventor Server\Bin\TestServer.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.185.17\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{eb1fdd5b-8f70-4b5a-b230-998a2dc19303}\localserver32 -> C:\Users\User\AppData\Local\Programs\Guilded\resources\app.asar.unpacked\node_modules\node-notifier\vendor\snoreToast\snoretoast-x64.exe => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{ECCE2756-C45D-4E13-BC2D-EC9F138997E6}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.199.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{F1658933-2997-4DDB-869C-061D53A9718E}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-2888823299-297187694-1750285164-1000_Classes\CLSID\{F46A78BD-06FC-442C-88DF-0500F08F2379}\InprocServer32 -> C:\Users\User\AppData\Local\Microsoft\EdgeUpdate\1.3.195.45\psuser_64.dll => Нет файла
ShellIconOverlayIdentifiers: [    YandexDisk1 SyncDone] -> {C5F6CDD1-FB7B-4971-A53F-4B00757F756B} => C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll -> Нет файла
ShellIconOverlayIdentifiers: [    YandexDisk2 SyncProgress] -> {75EF3512-D401-4172-BA0F-00E000DCBCE4} => C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll -> Нет файла
ShellIconOverlayIdentifiers: [    YandexDisk3 SyncDisabled] -> {8EEE3CD5-1F70-4B63-B19D-A5F1457761DB} => C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll -> Нет файла
ShellIconOverlayIdentifiers: [    YandexDisk4 SyncError] -> {9CE04609-A360-4266-9937-9D799E8D2D5A} => C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll -> Нет файла
ShellIconOverlayIdentifiers: [    YandexDisk5 SyncPart] -> {63ADB0D1-6DA0-46A2-89D0-E0CE44536E32} => C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll -> Нет файла
ContextMenuHandlers6: [UnLockerMenu] -> {410BF280-86EF-4E0F-8279-EC5848546AD3} => R:\Program\Unlocker\IObit Unlocker\IObitUnlockerExtension.dll -> Нет файла
ContextMenuHandlers1_S-1-5-21-2888823299-297187694-1750285164-1000: [Yandex.Disk.3] -> {847202AE-CDE0-469A-AF10-8798E02DED83} => C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll -> Нет файла
ContextMenuHandlers4_S-1-5-21-2888823299-297187694-1750285164-1000: [Yandex.Disk.3] -> {847202AE-CDE0-469A-AF10-8798E02DED83} => C:\Users\User\AppData\Roaming\Yandex\YandexDisk2\3.2.6.4175\YandexDisk3ShellExt-1511.dll -> Нет файла
HKU\S-1-5-21-2888823299-297187694-1750285164-1000\Software\Classes\.scr: scrfile =>  <==== ВНИМАНИЕ
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Users\User\AppData\Local\Pupdbrowser"
Remove-MpPreference -ExclusionPath "R:\SteamLibrary\steamapps\common\ForzaHorizon5"
Remove-MpPreference -ExclusionPath "1551360"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\Cortana"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\OneDrive"
Remove-MpPreference -ExclusionPath "C:\ProgramData\Microsoft\Windows\Tools\AI"
Remove-MpPreference -ExclusionPath "C:\ProgramData\Microsoft\Windows\Tools\OfficeAI"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\Copilot"
Remove-MpPreference -ExclusionPath "C:\Program Files\Microsoft OneDrive"
Remove-MpPreference -ExclusionPath "C:\Users\User\AppData\Local\ModOrganizer"
Remove-MpPreference -ExclusionPath "C:\Program Files (x86)\Service"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\TEMP"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\AccountHealth"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\Multimedia"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32"
Remove-MpPreference -ExclusionPath "C:\WINDOWS\SyncCenter"
Remove-MpPreference -ExclusionProcess "ModOrganizer.exe"
Remove-MpPreference -ExclusionProcess "usvfs_proxy_x86.exe"
Remove-MpPreference -ExclusionProcess "usvfs_proxy_x64.exe"
Remove-MpPreference -ExclusionProcess "nxmhandler.exe"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
CMD: ipconfig /flushdns
CMD: netsh winsock reset
CMD: netsh int ip reset
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall set allprofiles state on
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

De8BaiT · Вчера в 15:22

Вотс

Severnyj · Вчера в 15:39

1) Деинсталлируйте следующие программы:

method compromise 2.5.23.813
ReedEcoz 1.0.1.657
Workiro 1.0.0.0

Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).

2) Файл вида C:\Users\User\Desktop\30.11.2025_16.13.26.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru (если сайт сообщает о вирусе в архиве, упакуйте архив в архив с паролем virus), ссылку пришлите на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля в теле письма.

3) В системе с лета было комплексное заражение Backdoor и Spyware, советую:

а) Просканировать систему сторонними сканерами Kaspersky Virus Removal Tool и Dr.Web CureIt! (в этой статье есть ссылки на другие антивирусные сканеры).

б) Сбросить настройки браузеров, переустановить расширения браузера из магазинов расширений. Для блокировки нежелательного контента советую установить расширения браузеров uBO Lite и Browser guard.

в) Сменить пароли - банк-клиенты, соц.сети, криптокошельки, игровые клиенты, почта.

4) Включите защиту от подделки в Защитнике Windows. (Статья на форуме)

Сообщите, что с проблемой?

De8BaiT · Вчера в 15:55

Файл отправил ссылкой на Облако Маил на почту, проблема решилась (вообще конкретно тот armchair с иконкой черепа не появлялся уже после первого скрипта и перезагрузки, как и утилиты памяти), никакой проблемы не наблюдаю, благодарю за помощь!

Severnyj · Вчера в 16:01

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.

Решена Вирус запускает утилиты памяти (svchost?), нагружая видеокарту и в целом тормозя систему

Переводчик Google

De8BaiT

Новый пользователь

De8BaiT

Новый пользователь

Вложения

Sandor

De8BaiT

Новый пользователь

Вложения

Severnyj

De8BaiT

Новый пользователь

Вложения

Severnyj

De8BaiT

Новый пользователь

Severnyj

De8BaiT

Новый пользователь

Вложения

Severnyj

De8BaiT

Новый пользователь

Вложения

Severnyj

De8BaiT

Новый пользователь

Вложения

Severnyj

De8BaiT

Новый пользователь

Severnyj