В работе Выскакивают сообщения одного типа.

[Александр-l]

Через некоторое время после установки системы стали появляться окна одного типа:

Можно ли выявить, какие вредоносные файлы присутствуют в системе, но не определяются антивирусом?

 

[akok]

ваше?
C:\Users\Adm\AppData\Roaming\startup_183.bat
C:\Users\Adm\AppData\Roaming\startup_621.bat

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\Users\Adm\AppData\Roaming\waKXhjNHbShdzPJ.vbs','');
 QuarantineFile('C:\Users\Adm\AppData\Roaming\ohINAAIbwCzHVOP.vbs','');
 QuarantineFile('C:\Users\Adm\AppData\Roaming\GMVigNANuiJqnHm.vbs','');
 DeleteFile('C:\Users\Adm\AppData\Roaming\GMVigNANuiJqnHm.vbs','64');
 DeleteFile('C:\Users\Adm\AppData\Roaming\ohINAAIbwCzHVOP.vbs','64');
 DeleteSchedulerTask('ohINAAIbwCzHVOP');
 DeleteFile('C:\Users\Adm\AppData\Roaming\waKXhjNHbShdzPJ.vbs','64');
 DeleteSchedulerTask('waKXhjNHbShdzPJ');
  BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Doctor Web (empty)
O22 - Tasks: GMVigNANuiJqnHm - C:\Users\Adm\AppData\Roaming\GMVigNANuiJqnHm.vbs (file missing)
O22 - Tasks: ohINAAIbwCzHVOP - C:\Users\Adm\AppData\Roaming\ohINAAIbwCzHVOP.vbs (file missing)
O22 - Tasks: waKXhjNHbShdzPJ - C:\Users\Adm\AppData\Roaming\waKXhjNHbShdzPJ.vbs (file missing)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Александр-l]

ваше?
C:\Users\Adm\AppData\Roaming\startup_183.bat
C:\Users\Adm\AppData\Roaming\startup_621.bat

Эти файлы не знакомы. Почему-то карантин после двух скриптов получился пустым. Прикладываю оставшиеся файлы.

 

[akok]

Откройте их блокнотом и скопируйте содержимое.

 

[akok]

Windows сборка, чья?

Удаленное управление сами ставили?
ScreenConnect Client - ConnectWise ScreenConnect - Wikipedia
C:\ProgramData\SchedulerChannel_net45\DigitalBeaco.exe

И эти батники проверить бы
2025-11-23 20:20 - 2025-11-23 21:01 - 000212890 _____ () C:\Users\Adm\aoc.bat
2025-11-17 21:40 - 2025-11-16 20:01 - 000305277 _____ () C:\ProgramData\wing.bat
2025-11-23 20:26 - 2025-11-23 20:35 - 000166226 _____ () C:\Users\Public\PotatoMarket.bat
2025-11-23 20:52 - 2025-11-23 20:59 - 000889133 _____ () C:\Users\Public\RanchResource.bat
2025-11-23 20:29 - 2025-11-23 20:29 - 000179174 _____ () C:\Users\Public\RyeRegion.bat
2025-11-23 20:53 - 2025-11-19 20:08 - 008869258 ____H () C:\Users\Adm\AppData\Roaming\startup_183.bat
2025-11-23 20:24 - 2025-11-19 20:08 - 008869258 ____H () C:\Users\Adm\AppData\Roaming\startup_621.bat
2025-11-23 20:58 - 2025-11-23 20:58 - 000108635 ____H () C:\Users\Adm\AppData\Roaming\Microsoft\UserService_7977.bat

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Virusscan:C:\ProgramData\SchedulerChannel_net45\DigitalBeaco.exe
  Task: {990F326D-59E2-468B-90D1-A809E38FD2E5} - System32\Tasks\$dstny-RuntimeBroker_startup_183 => C:\Users\Adm\AppData\Roaming\startup_183.bat [8869258 2025-11-19] () [Файл не подписан] <==== ВНИМАНИЕ
  Task: {956F535E-5C7F-49B9-B0EF-D042E1225BFF} - System32\Tasks\$dstny-RuntimeBroker_startup_621 => C:\Users\Adm\AppData\Roaming\startup_621.bat [8869258 2025-11-19] () [Файл не подписан] <==== ВНИМАНИЕ
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

проведем сканирование KVRT

 

[Александр-l]

Откройте их блокнотом и скопируйте содержимое.

Файлы от FRST или батники?

Windows сборка, чья?

Не знаю, было написано при загрузке, что это оригинальный образ.

Удаленное управление сами ставили?

Нет.

 

[Sandor]

или батники?

Да, батники.

 

[Александр-l]

Да, батники.

Не могу выложить, зависает форма спойлера.

 

[akok]

скопировать содержимое в блокнот или собрать в архив сами батники?

 

[Александр-l]

Отправил в ЛС.

 

[Александр-l]

C:\ProgramData\SchedulerChannel_net45\DigitalBeaco.exe

Это относится к клиенту удалённого управления? Он не детектится.

 

[akok]

Нет, не похоже. Случаем капчу через win+к не проходили? Сканирование cvrt закончили?

 

[Александр-l]

Случаем капчу через win+к не проходили?

Такого не было.

Сканирование cvrt закончили?

Вообще-то даже не начинал.

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  SystemRestore: On
  CreateRestorePoint:
  ScreenConnect Client (822435edf9db3eb5) (HKLM-x32\...\{01DD325F-98FB-D4FF-0C00-0F186599B846}) (Version: 25.2.3.9216 - ScreenConnect Software) Hidden
  Lsa: [Authentication Packages] msv1_0 C:\Program Files (x86)\ScreenConnect Client (822435edf9db3eb5)\ScreenConnect.WindowsAuthenticationPackage.dll
  C:\Users\Adm\AppData\Roaming\startup_183.bat
  C:\Users\Adm\AppData\Roaming\startup_621.bat
  HKLM\Software\...\Authentication\Credential Providers: [{5de81d42-ce2b-4a7e-b1b7-1312fa11c82b}] -> C:\Windows\system32\GoToResolveUnlock64.dll [2025-11-23] (GoTo Technologies USA, LLC -> )
  Task: {87160917-3034-420D-83D4-6D6ACB4BFE1F} - System32\Tasks\GoToResolve_5558976209448898077 starter => C:\Windows\System32\sc.exe [72192 2019-12-07] (Microsoft Windows -> Microsoft Corporation) -> start GoToResolve_5558976209448898077
  C:\Program Files (x86)\GoTo Resolve Unattended\
  Task: {1696809D-FAF6-407C-9879-935CF68BC3A7} - System32\Tasks\win_repository_relay_v2_0com_net_storage_i686 => C:\ProgramData\SchedulerChannel_net45\DigitalBeaco.exe [593128 2025-11-13] (Wondershare Technology Group Co.,Ltd -> Wondershare) <==== ВНИМАНИЕ
  C:\ProgramData\SchedulerChannel_net45\
  2025-11-23 20:58 - 2025-11-23 20:58 - 000108635 ____H C:\Users\Adm\AppData\Roaming\Microsoft\UserService_7977.bat
  2025-11-23 20:53 - 2025-11-19 20:08 - 008869258 ____H C:\Users\Adm\AppData\Roaming\startup_183.bat
  2025-11-23 20:52 - 2025-11-23 20:59 - 000889133 _____ C:\Users\Public\RanchResource.bat
  2025-11-23 20:51 - 2025-11-23 20:51 - 000715360 _____ C:\Windows\system32\GoToResolveUnlock64.dll
  2025-11-23 20:51 - 2025-11-23 20:51 - 000003300 _____ C:\Windows\system32\Tasks\GoToResolve_5558976209448898077 starter
  2025-11-23 20:51 - 2025-11-23 20:51 - 000000000 ____D C:\Users\Adm\AppData\Local\GoTo Resolve Installer
  2025-11-23 20:51 - 2025-11-23 20:51 - 000000000 ____D C:\Program Files (x86)\GoTo Resolve Unattended
  2025-11-23 20:46 - 2025-11-23 21:05 - 000000000 _____ C:\Users\Adm\AppData\Roaming\Kapningernes.ret
  2025-11-23 20:30 - 2025-12-13 03:25 - 000000004 ____H C:\ProgramData\SN17111rc57.dat
  2025-11-23 20:30 - 2025-11-23 20:58 - 000005451 _____ C:\Users\Adm\AppData\Roaming\Isogambut62
  2025-11-23 20:29 - 2025-11-23 20:29 - 000179174 _____ C:\Users\Public\RyeRegion.bat
  2025-11-23 20:28 - 2025-12-12 23:48 - 000000128 ____H C:\ProgramData\SN17111resa.dat
  2025-11-23 20:28 - 2025-11-23 20:28 - 000000045 _____ C:\Users\Adm\AppData\Local\FMxzytIOkseIg.keu
  2025-11-23 20:28 - 2025-11-23 20:28 - 000000008 ____H C:\ProgramData\SN17111it57.dat
  2025-11-23 20:26 - 2025-11-23 20:35 - 000166226 _____ C:\Users\Public\PotatoMarket.bat
  2025-11-23 20:20 - 2025-11-23 21:01 - 000212890 _____ C:\Users\Adm\aoc.bat
  2025-11-23 20:30 - 2025-12-13 03:25 - 000000004 ____H C:\ProgramData\SN17111rc57.dat
  2025-11-23 20:30 - 2025-11-23 20:58 - 000005451 _____ C:\Users\Adm\AppData\Roaming\Isogambut62
  2025-11-23 20:29 - 2025-11-23 20:29 - 000179174 _____ C:\Users\Public\RyeRegion.bat
  2025-11-23 20:28 - 2025-12-12 23:48 - 000000128 ____H C:\ProgramData\SN17111resa.dat
  2025-11-23 20:28 - 2025-11-23 20:28 - 000000045 _____ C:\Users\Adm\AppData\Local\FMxzytIOkseIg.keu
  2025-11-17 21:40 - 2025-11-16 20:01 - 000305277 _____ C:\ProgramData\wing.bat
  2025-11-23 20:20 - 2025-11-23 21:01 - 000212890 _____ () C:\Users\Adm\aoc.bat
  2025-11-23 20:28 - 2025-11-23 20:28 - 000000008 ____H () C:\ProgramData\SN17111it57.dat
  2025-11-23 20:30 - 2025-12-13 03:25 - 000000004 ____H () C:\ProgramData\SN17111rc57.dat
  2025-11-23 20:28 - 2025-12-12 23:48 - 000000128 ____H () C:\ProgramData\SN17111resa.dat
  2025-11-17 21:40 - 2025-11-16 20:01 - 000305277 _____ () C:\ProgramData\wing.bat
  2025-11-23 20:26 - 2025-11-23 20:35 - 000166226 _____ () C:\Users\Public\PotatoMarket.bat
  2025-11-23 20:52 - 2025-11-23 20:59 - 000889133 _____ () C:\Users\Public\RanchResource.bat
  2025-11-23 20:29 - 2025-11-23 20:29 - 000179174 _____ () C:\Users\Public\RyeRegion.bat
  2025-11-23 21:00 - 2025-11-23 21:00 - 000005087 _____ () C:\Users\Adm\AppData\Roaming\Colloida
  2025-11-23 20:30 - 2025-11-23 20:58 - 000005451 _____ () C:\Users\Adm\AppData\Roaming\Isogambut62
  2025-11-23 20:46 - 2025-11-23 21:05 - 000000000 _____ () C:\Users\Adm\AppData\Roaming\Kapningernes.ret
  2025-11-23 20:53 - 2025-11-19 20:08 - 008869258 ____H () C:\Users\Adm\AppData\Roaming\startup_183.bat
  2025-11-23 20:24 - 2025-11-19 20:08 - 008869258 ____H () C:\Users\Adm\AppData\Roaming\startup_621.bat
  2025-11-23 20:58 - 2025-11-23 20:58 - 000108635 ____H () C:\Users\Adm\AppData\Roaming\Microsoft\UserService_7977.bat
  2025-11-23 20:26 - 2025-11-23 20:26 - 000288368 _____ (John Paul Chacha's Lab) C:\Users\Adm\AppData\Local\BeaFramework.exe
  2025-11-16 20:50 - 2025-11-16 20:50 - 105923584 _____ (Dravion Crestfall 197398 Inc.) C:\Users\Adm\AppData\Local\cD#GvR7eKp$3.exe
  2025-11-17 21:39 - 2025-11-17 21:39 - 000222264 _____ (360.cn) C:\Users\Adm\AppData\Local\DynamicDynami.exe
  2025-11-23 20:28 - 2025-11-23 20:28 - 000000045 _____ () C:\Users\Adm\AppData\Local\FMxzytIOkseIg.keu
  2025-11-23 20:52 - 2025-11-23 20:52 - 000036864 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Configuration.Abstractions.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000077824 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Configuration.Binder.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000032768 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Configuration.CommandLine.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000081920 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Configuration.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000028672 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Configuration.EnvironmentVariables.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000040960 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Configuration.FileExtensions.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000040960 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Configuration.Json.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000131072 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.DependencyInjection.Abstractions.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000204800 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.DependencyInjection.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000036864 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Diagnostics.Abstractions.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000057344 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Diagnostics.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000028672 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.FileProviders.Abstractions.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000081920 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.FileProviders.Physical.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000069632 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Hosting.Abstractions.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000143360 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Hosting.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000180224 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Http.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000053248 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Http.Polly.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000135168 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Logging.Abstractions.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000036864 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Logging.Configuration.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000143360 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Logging.Console.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000024576 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Logging.Debug.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000086016 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Logging.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000036864 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Logging.EventLog.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000053248 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Logging.EventSource.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000028672 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Options.ConfigurationExtensions.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000126976 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Options.dll
  2025-11-23 20:53 - 2025-11-23 20:53 - 000073728 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Primitives.dll
  2025-11-23 20:53 - 2025-11-23 20:53 - 000086016 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Win32.SystemEvents.dll
  2025-11-23 20:53 - 2025-11-23 20:53 - 000376832 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\System.Diagnostics.EventLog.dll
  2025-11-23 20:53 - 2025-11-23 20:53 - 000258048 _____ (Microsoft Corporation) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\System.Diagnostics.PerformanceCounter.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000274432 _____ (Microsoft) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.AI.DependencyCollector.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000069632 _____ (Microsoft) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.AI.EventCounterCollector.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000499712 _____ (Microsoft) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.AI.PerfCounterCollector.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000245760 _____ (Microsoft) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.AI.ServerTelemetryChannel.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000122880 _____ (Microsoft) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.AI.WindowsServer.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000929792 _____ (Microsoft) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.ApplicationInsights.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000073728 _____ (Microsoft) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.ApplicationInsights.WorkerService.dll
  2025-11-23 20:52 - 2025-11-23 20:52 - 000036864 _____ (Microsoft) [Файл не подписан] [Файл уже используется] C:\Program Files (x86)\GoTo Resolve Unattended\5558976209448898077\externalmodules\RemoteExecutionModule\1.2025.0827.1\Microsoft.Extensions.Logging.ApplicationInsights.dll
  AlternateDataStreams: C:\ProgramData\TEMP:6DAA43DB [236]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После перезагрузки деинсталлируйте штатно ScreenConnect Client

А вообще такого давно не видел.

 

[Александр-l]

Будут ли выявлены ещё какие-нибудь вредоносные файлы?

 

[Severnyj]

Пожалуйста соберите новый CollectionLog Автологгером

 

[Александр-l]

Готово.

 

[Severnyj]

Media Station 0.3.5.4259

Известна программа?

А то сработок на нее тоже много:

VirusTotal

VirusTotal

www.virustotal.com

ScreenConnect Client (822435edf9db3eb5)

так и не деинсталлировали.

 

[Александр-l]

Известна программа?

Удалил. Не была известна.

так и не деинсталлировали.

Да, забыл, выполнил удаление.

 

[Severnyj]

Деинсталлируйте также следующие программы:

Sylvine
Syncro
Verse_Loader

Если не удаляются стандартным способом, используйте Geek Uninstaller (в том числе "Принудительным удалением" по правой кнопке мыши в списке установленных программ).

Пофиксите в HJT (некоторые строки могут отсутствовать):

O4 - HKCU\..\Run: [MDStation] = C:\ProgramData\MediaStation\MediaStation.exe (not signed - no company - 8A1E8643706C142BA4DE3166D7CE9B8281254541)
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [ConsentPromptBehaviorAdmin] = 0
O7 - Policy: (UAC) HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System: [PromptOnSecureDesktop] = 0

O23 - Service R2: ScreenConnect Client (822435edf9db3eb5) - C:\Program Files (x86)\ScreenConnect Client (822435edf9db3eb5)\ScreenConnect.ClientService.exe "?e=Access&y=Guest&h=dsspanel.top&p=8041&s=0dd7fa9d-f463-479f-a962-62119b53e0ea&k=BgIAAACkAABSU0ExAAgAAAEAAQClsLBfGHlGciu1kedfo%2bAejy8%2bORBW1iiDSdJ5HzIyp7lMcFNnFGNxCq2Db6h4%2bxqhJ5YL%2fTXsab6oGW4VZlfnhY5avKuDpyj2coamzY0PEDjJ31qpTWsIfNEUB3m%2bku1YIPc5qRWDk7DMs4gB30JFAWyWoR7YvOyw%2fjew6oNi3Wrtfcv9aEX%2f4PwM0YMATrqyS74oQV6o%2fg4R%2fUg%2fQISN8NL%2bkN%2f1suvxFD1787tCAaiOr66QovuAhal%2b2CJJTMHJLEyyvTNHjLYJC3G%2fKzNTfbya1LDuh3AxsQuTrr2hVTD6v4v2J56n2s%2fzu2QhhINZXAxN5GgrvMuYQQ4eVyOh&v=AQAAANCMnd8BFdERjHoAwE%2fCl%2bsBAAAAJ3rbo0sBKEWbLkfzRJHKyQAAAAACAAAAAAAQZgAAAAEAACAAAADuE%2foE2RfZP%2bc7EBZANCZPlY%2fbNTgHVd5bArGrJOqKKgAAAAAOgAAAAAIAACAAAADG%2fOuq8md1%2fXxg9KG1psGMDh3w%2bF8R%2b9DINM%2fnSd9VRaAEAACIM219TuOAVsxDHCl%2f9QK4G2UFwLIjDtksaCa%2blX0shwUfJc3tOkuYr8ABL6idF78qU9d2w89NPeFFuKilmE0UD8MsXy%2f6JCKhK6R10AjjveJaUXD8YHBhPR%2fm6S%2f6Z1F2P94k4oIlXsHkCFS0n7LrVkGMZ9elgAN7v1c958a7V8Os7%2f6zQwrurM%2fpknXPS1sykcSGaZ18L%2bVYqH4n5twdNORZQrmC0yP9mzraWc1OimLJBFPlFeRWt7vCTWcyODwhtM0OW7ttMXfl5ast0LWCfOFIYaOUV930UeMFEZY8e7eaMX68P1RVKgx5xfBQK3PU3ntFx4yUmHTHiQTPXQQZKoLYiDgm%2b4RQ8G65uj7srRIKZ3BbziGYBO9ZmY9b2If38yFlHLvESCjwQ2xO0LER77cnGHRHv1xto3Atf7%2bBNxUYcpToBT4GaAsfLMK51K%2fTkrrkV3LSRCk%2bM%2fSX6tKTrfAFJ1NJwJQn9qmvP0JvGyPB%2fYcEpHTyliIevV6QLMkLPbI4gYo%2fVA0yxcbuwX8CJsv3bh%2fOk1NjyCXOE9sojmxw5pqqrZ3zpbaC3F5y79x7KzmKYP%2fUKo9Zyc%2f%2bz11EOiWTiLh0HrSJbfBPemGQNot2QYbvXRJKOHugnS2M5lfB23iG%2bRvtUJdc%2fgbdUoVblx6h1Ixa%2fMjYrLjLxECvXje%2fR0RlSIg1hP0FM59FiVUW2suSeFYVEygZQNhePSvX%2fH30UOU3sCVFMIcY%2fxXY3Gc%2bZVc%2f%2fmNUmhr417SMcntkwB%2b98r4WDrMn1e4wGb6KTBMfAy8XK%2bwJnb30Tte4YwcyrzASpuMKYNE4OTmQDdy%2f09bmUFelw5V0kkERJU%2fuuyiKB2CD9B0KADBHp7%2fXSETfkvBW0TExuWUzE6ajZDIRvCTH0s9eff1%2fgxLP%2bxGPeGplBkaULpwJ25wpuxHRSdx9gRNorm1iprISpM1Z11jSkY5swsMuapI%2f9Dy24sX7JO3K8p17UD26aHsW95SrUxHY3LrRbl81aEStVmf0cecrlvHpZwps0ar04QU8fFYTEombFk1Oj%2b9XRmw5B2N%2fpS0DKHJPniOCNfJWE4X6AaH95%2f4T5oTys9bkCjHy90ObEVgaJVy%2fGPAhhy4js0e%2bkMH%2fAzBZTbLXxNbrQCPG4YlwPlkuEoS6mqF56H24Vj6gqzU1oyzIgP3Kf9mmxbiGkWtrhnjq25pCkXW3EKYn9y4ypHbukP%2fa0NGsw97LwVm41Gw%2fr9CYrjnOoK0843EOYVfub5LMoam4EKZvGjRHUpsUSnawECSKswWX%2fg5civCemDirF5LkogegWEbRvG6KFqprJeS2TR9a6UVnTC8f4YO8nBhKl0foFqlzfmuzUb%2flgsQ9%2flbT4x1uTLcUL09YNaotaPalmEByrFSJVOM0gbUvdWts7Oedxx95yHhEWxSFXhqvO54Fp811XdT5CnSMVxpW5y63ZvTrY0WrLnJXRBoXKC3g45%2bxgDzHguISVdg83l2JsJDkiarvEIemm2Kkha2gGFBrz%2b2TwQGsw7xCMRbd2YlttnznHKsX1REnVjSprccXAuc3459vhXRkM2C%2bGUAAAADo9POtNnoZdVhQCAMgrxX45%2fmS4Pv2NwFWoYsHu6vG2hVhMMMQhI1GdxVQXkWHjc%2bh4BSt44DYAa1UJ4mCBVps" (sign: 'Connectwise, LLC') (+safe mode)
O23 - Service R2: Syncro - C:\Program Files\RepairTech\Syncro\Syncro.Service.Runner.exe (sign: 'Servably Inc.')
O23 - Service R2: SyncroLive - C:\Program Files\RepairTech\LiveAgent\SyncroLive.Service.Runner.exe (sign: 'Servably Inc.')
O23 - Service R2: SyncroRecovery - (SyncroOvermind) - C:\ProgramData\Syncro\bin\Syncro.Overmind.Service.exe -displayname "SyncroRecovery" -servicename "SyncroOvermind" (sign: 'Servably Inc.')
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.