Решена Нахватал вирусов из драйвер пака

[Sandor]

Прошу прощения, "слона-то я и не заметил".
Ещё один скрипт выполните.

1. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
2. Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:
   

   ;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
   ;Target OS: NTv10.0
   v400c
   OFFSGNSAVE
   
   unload %SystemDrive%\USERS\1DRIV\APPDATA\ROAMING\JAVAUPDATE\JAVAUPDATE.EXE
   
   zoo %SystemDrive%\USERS\1DRIV\APPDATA\ROAMING\JAVAUPDATE\JAVAUPDATE.EXE
   addsgn 0DC977BA156AD1F0955633337878DDBDE23441653F69A3EB3F6C1A2BE25E55F4EE9363CE01F42FE08C2F4F08D29E66655040C5EDD06EBAA42AFFA0A7C38E29F1 8 Trojan.MulDrop21.49279 [DrWeb] 7
   
   chklst
   delvir
   
   deltsk %SystemDrive%\USERS\1DRIV\APPDATA\ROAMING\JAVAUPDATE\JAVAUPDATE.EXE
   
   regt 40
   czoo
   
   restart

4. В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
5. Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Компьютер будет перезагружен.

Подробнее читайте в этом руководстве.

 

[RuMax]

Cделал, лог отправил также по почте, хотя он и маленький, потому что архивы по форме с именем zoo не отправляются. Не понятно тогда как по форме отправлять архив с именем zoo. Переименовывать в virus?

 

[Sandor]

Нет, можете почтой отправить.
Файл дата_время_log.txt после этого скрипта прикрепите тоже, пожалуйста.

 

[RuMax]

дата_время_log.txt

 

[Sandor]

Как сейчас себя ведёт система?

 

[RuMax]

Как сейчас себя ведёт система?

Все хорошо вроде стало. Работать шустрее стало все

 

[Sandor]

Хорошо. Для верности сделайте полную проверку системы с помощью KVRT.

 

[RuMax]

Хорошо. Для верности сделайте полную проверку системы с помощью KVRT.

Найдено 15 проблем

 

[RuMax]

После проверки kvrt и мой антивирь стал ругаться на зараженные файлы. Скриншот

 

[Sandor]

Соберите новые логи FRST.txt и Additilon.txt, предварительно отметив галочкой пункт "Файлы за 90 дней".

 

[RuMax]

Готово

 

[Sandor]

мой антивирь стал ругаться на зараженные файлы

Я правильно понимаю, что вы удалили антивирусом эти обнаружения?

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Edge StartupUrls: Default -> "hxxps://searchingswift.com/?path=chrome/newtab&u=1d9414af02dddad1&subid=11119&channel=1"
  Edge NewTab: Default ->  Active:"chrome-extension://fjkgfpagoibnggipaiobinjgaocpkdad/newtab.html"
  Edge DefaultSearchURL: Default -> hxxps://searcherarea.com/search?subid=11119&u=1d9414af02dddad1&channel=1&keyword={searchTerms}
  Edge DefaultSearchKeyword: Default -> internet
  C:\Users\1driv\AppData\Local\f5f1a\f5f1a9e3a6fe90f8e3a8939d5c40ba96
  CHR StartupUrls: Default -> "hxxps://searchingswift.com/?path=chrome/newtab&u=1d9414af02dddad1&subid=11119&channel=1"
  CHR DefaultSearchURL: Default -> hxxps://searcherarea.com/search?subid=11119&u=1d9414af02dddad1&channel=1&keyword={searchTerms}
  CHR DefaultSearchKeyword: Default -> google
  CHR DefaultNewTabURL: Default -> hxxps://searchingswift.com/?path=chrome/newtab&u=1d9414af02dddad1&subid=11119&channel=1
  C:\Users\1driv\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-3226477667-3922914433-729246643-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  2026-01-05 03:33 - 2026-01-05 03:33 - 000000000 ____D C:\Users\1driv\AppData\Local\s4mm-updater
  2026-01-05 03:31 - 2026-01-27 17:15 - 000000000 ____D C:\Users\1driv\AppData\Roaming\JavaUpdate
  2026-01-05 03:31 - 2026-01-05 03:31 - 000000000 ____D C:\Users\1driv\AppData\Roaming\AppUpdate
  2026-01-04 17:46 - 2026-01-04 17:53 - 000000000 ____D C:\Users\1driv\AppData\Roaming\DriverPack Cloud
  2026-01-04 17:34 - 2026-01-04 17:41 - 000000000 ____D C:\Users\1driv\AppData\Roaming\DRPSu
  2026-01-04 17:27 - 2026-01-04 17:27 - 000000000 ____D C:\Users\1driv\AppData\Local\f5f1a
  2026-01-04 17:22 - 2026-01-26 22:17 - 000000000 ____D C:\Program Files (x86)\PCAppStore
  C:\Windows\*.tmp
  StartBatch:
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
  del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Code Cache\Js\*.*"
  EndBatch:
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[RuMax]

Я правильно понимаю, что вы удалили антивирусом эти обнаружения?

Ничего не удалял. И репорт с kvrt тоже отправлял, не удаляя ничего, так как в инструкции написано, что угрозы надо пропустить и прикрепить репорт в теме лечения

 

[Sandor]

В KVRT можете удалить всё найденное. Частично и там и в 360 реакция на карантин FRST.
После удаления выполните скрипт из предыдущего сообщения.

 

[RuMax]

Скрипт сделал, но пока ничего не удалял. Придется заново Касперского включать

Или проверку не надо делать?

 

[Sandor]

Да, сделайте проверку и удалите всё найденное.

 

[RuMax]

Проверку сделал, удалил все, повторилась проверка после перезагрузки еще раз, ничего не нашлось

 

[Sandor]

Если проблема решена, завершаем:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[RuMax]

Лог сделал, там еще Chrone Browser был установлен от "istart". Удалил его.

В целом все хорошо стало.

Огромное спасибо и низкий поклон за помощь!

Хотелось бы открыть эту тему.
Тема связана с этим же компьютером, о котором идет речь в теме. Антивирь все время ругается на троянов, которые постоянно появляются на флешках.
Да, я ношу флешку на другой комп, чтобы там открывать с нее обучающие фильмы, но я загружаю фильм на флешку, смотрим, приношу обратно, а там уже вирус. А бывает, что даже со своего компа закачал только 1 фильм на отформатированную флешку, закрыл, открываю и антивирь снова ругается. Никак не могу эту проблему решить

Да, кстати, сейчас, когда FRST удалил через uninstall, остальное удалил обычным удалением, а потом прочитал, что AdwCleaner надо было удалить через настройки программы. Это ничего?

 

[Sandor]

там еще Chrone Browser был

Я об этом написал ещё здесь.

Здесь:
Подумайте о переходе на актуальную версию системы
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^

Исправьте по возможности:
360 Total Security v.11.0.0.1225 Внимание! Скачать обновления
KeePass Password Safe 2.59 v.2.59 Внимание! Скачать обновления
AMD Software v.22.6.1 Внимание! Скачать обновления
CPUID CPU-Z 2.12 v.2.12 Внимание! Скачать обновления
calibre 64bit v.8.8.0 Внимание! Скачать обновления
Oracle VirtualBox 7.1.12 v.7.1.12 Внимание! Скачать обновления
AnyDesk v.ad 9.0.10 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Яндекс.Диск v.3.2.46.5114 Внимание! Скачать обновления
Zoom Workplace v.6.6.6 (19875) Внимание! Скачать обновления
Zona Внимание! Клиент сети P2P с рекламным модулем!
µTorrent v.3.6.0.47228 Внимание! Клиент сети P2P с рекламным модулем!
AIMP v.5.40.2690 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
PotPlayer-64 bit v.26.01.14.0 Внимание! Скачать обновления
Mozilla Firefox (x64 ru) v.147.0.1 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

Читайте Рекомендации после удаления вредоносного ПО

Хотелось бы открыть эту тему.

Та тема не закрыта. Соберите там новые логи.