В работе Нахватал вирусов из драйвер пака

[Sandor]

Прошу прощения, "слона-то я и не заметил".
Ещё один скрипт выполните.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   OFFSGNSAVE
   
   unload %SystemDrive%\USERS\1DRIV\APPDATA\ROAMING\JAVAUPDATE\JAVAUPDATE.EXE
   
   zoo %SystemDrive%\USERS\1DRIV\APPDATA\ROAMING\JAVAUPDATE\JAVAUPDATE.EXE
   addsgn 0DC977BA156AD1F0955633337878DDBDE23441653F69A3EB3F6C1A2BE25E55F4EE9363CE01F42FE08C2F4F08D29E66655040C5EDD06EBAA42AFFA0A7C38E29F1 8 Trojan.MulDrop21.49279 [DrWeb] 7
   
   chklst
   delvir
   
   deltsk %SystemDrive%\USERS\1DRIV\APPDATA\ROAMING\JAVAUPDATE\JAVAUPDATE.EXE
   
   regt 40
   czoo
   
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

[RuMax]

Cделал, лог отправил также по почте, хотя он и маленький, потому что архивы по форме с именем zoo не отправляются. Не понятно тогда как по форме отправлять архив с именем zoo. Переименовывать в virus?

 

[Sandor]

Нет, можете почтой отправить.
Файл дата_время_log.txt после этого скрипта прикрепите тоже, пожалуйста.

 

[RuMax]

дата_время_log.txt

 

[Sandor]

Как сейчас себя ведёт система?

 

[RuMax]

Как сейчас себя ведёт система?

Все хорошо вроде стало. Работать шустрее стало все

 

[Sandor]

Хорошо. Для верности сделайте полную проверку системы с помощью KVRT.

 

[RuMax]

Хорошо. Для верности сделайте полную проверку системы с помощью KVRT.

Найдено 15 проблем

 

[RuMax]

После проверки kvrt и мой антивирь стал ругаться на зараженные файлы. Скриншот

 

[Sandor]

Соберите новые логи FRST.txt и Additilon.txt, предварительно отметив галочкой пункт "Файлы за 90 дней".

 

[RuMax]

Готово

 

[Sandor]

мой антивирь стал ругаться на зараженные файлы

Я правильно понимаю, что вы удалили антивирусом эти обнаружения?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Edge StartupUrls: Default -> "hxxps://searchingswift.com/?path=chrome/newtab&u=1d9414af02dddad1&subid=11119&channel=1"
  Edge NewTab: Default ->  Active:"chrome-extension://fjkgfpagoibnggipaiobinjgaocpkdad/newtab.html"
  Edge DefaultSearchURL: Default -> hxxps://searcherarea.com/search?subid=11119&u=1d9414af02dddad1&channel=1&keyword={searchTerms}
  Edge DefaultSearchKeyword: Default -> internet
  C:\Users\1driv\AppData\Local\f5f1a\f5f1a9e3a6fe90f8e3a8939d5c40ba96
  CHR StartupUrls: Default -> "hxxps://searchingswift.com/?path=chrome/newtab&u=1d9414af02dddad1&subid=11119&channel=1"
  CHR DefaultSearchURL: Default -> hxxps://searcherarea.com/search?subid=11119&u=1d9414af02dddad1&channel=1&keyword={searchTerms}
  CHR DefaultSearchKeyword: Default -> google
  CHR DefaultNewTabURL: Default -> hxxps://searchingswift.com/?path=chrome/newtab&u=1d9414af02dddad1&subid=11119&channel=1
  C:\Users\1driv\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-3226477667-3922914433-729246643-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  2026-01-05 03:33 - 2026-01-05 03:33 - 000000000 ____D C:\Users\1driv\AppData\Local\s4mm-updater
  2026-01-05 03:31 - 2026-01-27 17:15 - 000000000 ____D C:\Users\1driv\AppData\Roaming\JavaUpdate
  2026-01-05 03:31 - 2026-01-05 03:31 - 000000000 ____D C:\Users\1driv\AppData\Roaming\AppUpdate
  2026-01-04 17:46 - 2026-01-04 17:53 - 000000000 ____D C:\Users\1driv\AppData\Roaming\DriverPack Cloud
  2026-01-04 17:34 - 2026-01-04 17:41 - 000000000 ____D C:\Users\1driv\AppData\Roaming\DRPSu
  2026-01-04 17:27 - 2026-01-04 17:27 - 000000000 ____D C:\Users\1driv\AppData\Local\f5f1a
  2026-01-04 17:22 - 2026-01-26 22:17 - 000000000 ____D C:\Program Files (x86)\PCAppStore
  C:\Windows\*.tmp
  StartBatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Code Cache\Js\*.*"
  EndBatch:
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[RuMax]

Я правильно понимаю, что вы удалили антивирусом эти обнаружения?

Ничего не удалял. И репорт с kvrt тоже отправлял, не удаляя ничего, так как в инструкции написано, что угрозы надо пропустить и прикрепить репорт в теме лечения

 

[Sandor]

В KVRT можете удалить всё найденное. Частично и там и в 360 реакция на карантин FRST.
После удаления выполните скрипт из предыдущего сообщения.

 

[RuMax]

Скрипт сделал, но пока ничего не удалял. Придется заново Касперского включать

Или проверку не надо делать?

 

[Sandor]

Да, сделайте проверку и удалите всё найденное.