Решена Подозрение на трояны
- Автор темы vovka2000
- Дата начала
Переводчик Google
- Сообщения
- 9,116
- Решения
- 3
- Реакции
- 6,070
Троянов заражающих флешки пока не видно, но аж 2 майнера у вас сидит.
Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):
Компьютер перезагрузится.
После перезагрузки, выполните такой скрипт:
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ (..\AutoLogger\AV) отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
К сообщению на форуме прикреплять файл quarantine.zip не нужно!
После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.
Загрузитесь в безопасном режиме Windows <===ВАЖНО!!!
Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):
Код:
begin
QuarantineFile('C:\Users\Сергей\AppData\Roaming\utorrent\pro\uTorrentClient.exe', '');
QuarantineFile('C:\ProgramData\wfmobeqndbdo\jenbjskncwca.exe', '');
QuarantineFile('C:\ProgramData\evqyqtyfjddz\dhchbzzequtt.exe', '');
DeleteFile('C:\ProgramData\evqyqtyfjddz\dhchbzzequtt.exe', '64');
DeleteFile('C:\ProgramData\wfmobeqndbdo\jenbjskncwca.exe', '64');
DeleteFile('C:\Program Files (x86)\IObit\Driver Booster\Pub\anniml.exe', '64');
DeleteFile('C:\Users\Сергей\AppData\Roaming\utorrent\pro\uTorrentClient.exe', '64');
DeleteService('WXIVWATY');
DeleteService('EBENMLUQ');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA', 'RestrictAnonymous', 2);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
DeleteSchedulerTask('EdgeUpdate');
DeleteSchedulerTask('IObit ANNI2025Sale (One-time)');
DeleteSchedulerTask('UpdateTorrent');
ExecuteSysClean;
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.После перезагрузки, выполните такой скрипт:
Код:
begin
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.К сообщению на форуме прикреплять файл quarantine.zip не нужно!
После перезагрузки системы соберите новый CollectionLog Автологгером в обычном режиме загрузки.
- Сообщения
- 9,116
- Решения
- 3
- Реакции
- 6,070
Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
_
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?
- Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
- Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
- Нажмите кнопку Scan (Сканировать).
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
_
- Сообщения
- 9,116
- Решения
- 3
- Реакции
- 6,070
На этом этапе становится понятно - Защитник на этом компьютере вырезан сборщиком - хотите, чтобы был детект - ставьте оригинальную Windows (можно попробовать установить в режиме обновления без полной переустановки) или используйте сторонний антивирус.
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Код:
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (Нет файла)
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:cortana;privacy-automaticfiledownloads;privacy-feedback;windowsdefender
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
C:\Users\Сергей\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\cllkplbkcdclpepobdfjbiiggfdgddjd
C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\aggiieklbmballkjgjmmamilihpdjcpg
C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\cffkbehnmhnjfoghjepbfgfhgbbonddc
C:\Users\Сергей\AppData\Local\Google\Chrome\User Data\Default\Extensions\goggpdfcapmgogohehfibfipbbmojfcp
CHR HKU\S-1-5-21-4203774137-759760566-1144694853-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fhkbfkkohcdgpckffakhbllifkakihmh]
C:\Users\Сергей\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\mnppjpnnlgciccnlncflgcjjdbedpfhd
C:\Users\Сергей\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\cniobjcnppegdkkmbbgoflfjafncmjbm
S3 klupd_2c79f0c0a_arkmon_9D1E837E; \??\C:\KVRT2020_Data\Temp\9D1E837EF5042B5C69675454988207E7\klupd_2c79f0c0a_arkmon.sys [X]
2025-10-06 20:45 - 2025-11-16 08:24 - 000000000 ____D C:\Users\Сергей\AppData\Roaming\uTorrentClient
2025-10-06 20:45 - 2025-10-31 07:33 - 000000970 _____ C:\Users\Сергей\uTorrentClient.dat
2025-10-06 20:45 - 2025-10-06 20:45 - 000002176 _____ C:\ProgramData\Microsoft\Windows\Start Menu\Programs\uTorrentClient.lnk
2025-10-06 20:45 - 2025-10-06 20:45 - 000000000 ____D C:\Users\Сергей\AppData\Local\utorrentclient-updater
2025-10-06 20:39 - 2025-11-16 08:26 - 000000000 ____D C:\Users\Сергей\AppData\Roaming\utorrent
2025-10-06 20:39 - 2025-10-06 20:39 - 000000621 _____ C:\Users\Сергей\setup.dat
2025-10-06 20:27 - 2025-10-06 20:45 - 000000000 ____D C:\Users\Сергей\AppData\Roaming\setup
2025-11-16 08:59 - 2025-04-06 19:42 - 000000000 ____D C:\ProgramData\wfmobeqndbdo
2025-11-16 08:59 - 2025-04-06 19:42 - 000000000 ____D C:\ProgramData\evqyqtyfjddz
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
- Сообщения
- 9,116
- Решения
- 3
- Реакции
- 6,070
Деинсталлируйте следующие программы:
Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).
Установите антивирус на выбор:
Dr.Web
Скачать триал-версию Dr.Web Security Space
Приобрести лицензию
Kaspersky
Скачать бесплатную версию Kaspersky Free
Выбрать и скачать триал-версию Kaspersky
Приобрести лицензию
PRO32
Выбрать и скачать триал-версию PRO32
Приобрести лицензию
Сообщите, что с проблемой?
Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).
Установите антивирус на выбор:
Dr.Web
Скачать триал-версию Dr.Web Security Space
Приобрести лицензию
Kaspersky
Скачать бесплатную версию Kaspersky Free
Выбрать и скачать триал-версию Kaspersky
Приобрести лицензию
PRO32
Выбрать и скачать триал-версию PRO32
Приобрести лицензию
Сообщите, что с проблемой?
- Сообщения
- 9,116
- Решения
- 3
- Реакции
- 6,070
Проведите процедуру проверки системных файлов
Файл вида C:\Users\Сергей\Desktop\16.11.2025_13.13.29.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru (если сайт сообщает о вирусе в архиве, упакуйте архив в архив с паролем virus), ссылку пришлите на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля в теле письма.
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.
Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
Файл вида C:\Users\Сергей\Desktop\16.11.2025_13.13.29.zip со своего Рабочего стола выложите на Яндекс-Диск или в Облако Mail.ru (если сайт сообщает о вирусе в архиве, упакуйте архив в архив с паролем virus), ссылку пришлите на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля в теле письма.
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.
Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
- Сообщения
- 9,116
- Решения
- 3
- Реакции
- 6,070
Windows 10 - поддержка завершена, задумайтесь о переходе на Windows 11
Обновите ПО:
AMD Software v.25.8.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.7 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
qBittorrent v.5.0.1 Внимание! Скачать обновления
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^
Yandex v.25.10.0.2474 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Brave v.142.1.84.132 Внимание! Скачать обновления
+++
Обновите ПО:
AMD Software v.25.8.1 Внимание! Скачать обновления
Notepad++ (64-bit x64) v.8.7 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.36.32532 v.14.36.32532.0 Внимание! Скачать обновления
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
qBittorrent v.5.0.1 Внимание! Скачать обновления
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^
Yandex v.25.10.0.2474 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Brave v.142.1.84.132 Внимание! Скачать обновления
+++
