Решена Здравствуйте! Вирус trojan.multi.lockedfolder.a (?), не получается удалить + не детектят антивирусы

kres. · Вторник в 20:35

Вирус в System Memory. ЦП очень сильно нагружается при запуске любых процессов + сами по себе системные процессы нагружают его слишком сильно.
Изначально сканировал ПК с помощью KVRT и он смог найти вирус, указанный в названии, но после перезагрузки системы ничего не изменилось – симптомы майнера остались, но зато больше KVRT ничего подозрительного не находил.
Вероятно, я ошибаюсь, но очень напрягают работающие вентиляторы при нулевой нагрузке + очень странную нагрузку на ядра ЦП, и то, что система будто стала тупить.
PS: до этого был 100% вирус, но его смог удалить с помощью DrWeb, теперь как-будто в системе есть лишь его остатки, которые не выходит удалить с помощью антивирусов.

akok · Вторник в 20:36

Доброго времени суток. Давайте смотреть

Тема 'Правила оформления запроса о помощи'

13 Окт 2008

FAQ

Как оформить запрос о помощи в разделе лечения?

Внимание!

Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте...

kres. · Среда в 13:04

akok написал(а):
Доброго времени суток. Давайте смотреть

Тема 'Правила оформления запроса о помощи'

13 Окт 2008

FAQ

Как оформить запрос о помощи в разделе лечения?

Внимание!

Инструкции, подготовленные нашими специалистами, пишутся (составляются) индивидуально для каждого пользователя.
Не производите самостоятельного лечения на основании инструкций, которые подготовлены для другого пользователя, так как это может навредить Вашей операционной системе.
Не принимайте и игнорируйте во время лечения любые рекомендации, полученные вне раздела лечения, а также в личных сообщениях. Если же вы получили такое предложение, отправьте...

akok

Ответы: 0

Форум: Помощь в удалении вредоносного ПО

Добрый день! Прикрепляю логи, надеюсь, что всё правильно сделано.

akok · Среда в 13:44

Видны хвосты, да.
Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ.
Запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины).
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке с AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_auto_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: Яндекс.Диск, My-Files.SU, MediaFire, Files.FM, Pixeldrain или karelia.ru - этот последний не желательно, он урезает скорость) и укажите ссылку на скачивание в своём следующем сообщении.

- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O2 - HKLM\..\BHO: GBHO.BHO - {45d30484-7ded-43d9-957a-d2fd1f046511} - (no file)
O3 - HKLM\..\Toolbar: Smart Backup - {1d09c093-f71e-43c3-b948-19316cbd695e} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{334AB250-85B1-43CA-A2BF-11F5B18716B6} - \Microsoft\Windows\WindowsBackup\OfficeCheck (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88E0516B-F609-4415-B59C-3FDA448392D4} - \Microsoft\Windows\WindowsBackup\OnlogonCheck (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A82E6A74-9062-44FB-9477-E59F18B8EB53} - \Microsoft\Windows\WindowsBackup\CleanCash (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB2DD399-1312-47C6-ADDE-38CA0BA53938} - \Microsoft\Windows\Wininet\winsers (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C5C75B25-F4FF-48CE-93B9-4EE9D9BDFAD6} - \Microsoft\Windows\Wininet\winser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FBDC4160-7A2B-448E-8584-DABCD38015F9} - \Microsoft\Windows\WindowsBackup\WinlogonCheck (no xml)
O22 - Tasks: \Microsoft\Windows\FilesystemT\RecoveryHosts - C:\ProgramData\Microsoft\DRM\7HYvS2EE\FilesystemT.bat (file missing)

Скачайте, распакуйте (в подпапку) и запустите в безопасном режиме с поддержкой сети AV block remover или с зеркала
По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

Если не запускается, то переименуйте ее (например в AV_b_r.exe) или воспользуйтесь версией с случайным именем файла или с зеркала

kres. · Среда в 14:15

akok написал(а):

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O2 - HKLM\..\BHO: GBHO.BHO - {45d30484-7ded-43d9-957a-d2fd1f046511} - (no file)
O3 - HKLM\..\Toolbar: Smart Backup - {1d09c093-f71e-43c3-b948-19316cbd695e} - (no file)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{334AB250-85B1-43CA-A2BF-11F5B18716B6} - \Microsoft\Windows\WindowsBackup\OfficeCheck (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88E0516B-F609-4415-B59C-3FDA448392D4} - \Microsoft\Windows\WindowsBackup\OnlogonCheck (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A82E6A74-9062-44FB-9477-E59F18B8EB53} - \Microsoft\Windows\WindowsBackup\CleanCash (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BB2DD399-1312-47C6-ADDE-38CA0BA53938} - \Microsoft\Windows\Wininet\winsers (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C5C75B25-F4FF-48CE-93B9-4EE9D9BDFAD6} - \Microsoft\Windows\Wininet\winser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FBDC4160-7A2B-448E-8584-DABCD38015F9} - \Microsoft\Windows\WindowsBackup\WinlogonCheck (no xml)
O22 - Tasks: \Microsoft\Windows\FilesystemT\RecoveryHosts - C:\ProgramData\Microsoft\DRM\7HYvS2EE\FilesystemT.bat (file missing)

Уточняю, на всякий случай, указанные строки из кода нужно поставить под галочку и пофиксить, верно?

akok · Среда в 14:21

верно

kres. · Среда в 14:46

akok написал(а):
- Перетащите лог Check_Browsers_LNK.log на утилиту ClearLNK. Отчёт о работе прикрепите.

По окончании всех процедур произойдет перезагрузка системы. Прикрепите созданный утилитой лог AV_block_remove.log к следующему сообщению.

akok · Среда в 15:50

Как ведет себя система?
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

kres. · Среда в 15:59

С одной стороны нормально, а с другой сомнительно. На данный момент нагрузка на процессор от 1 до 3% (запущены проводник с файрфоксом и процесс хакером), но до этого были интересные скачки как на скрине (не только от этого процесса, но и от MsMpEng.exe, но тут до 20% скакало, до чистки этот же файл мог нагрузить ЦП на все 90%) не уверен, может быть считается нормой такие странные штучки... В процессах иногда вылетают "критические" программы по мнению процессхакера и сразу пропадают, но допустим. Сейчас конкретно таких больших поднятий нет.

логи

akok · Среда в 17:07

MsMpEng.exe - это защитник Windows, что-то ищет
Не забудьте

Тема 'Как включить/отключить защиту от подделки в Windows Defender: пошаговое руководство'

14 Апр 2023

Защита от подделки или TamperProtection (внедрено с Windows 10 Версия 1903)- это дополнительная функция в приложении "Microsoft Defender", которая предназначена для повышения уровня защиты компьютера. Когда эта функция включена, изменение ключевых функций безопасности невозможно, благодаря механизмам ограничения изменений. Некоторые из дополнительных мер защиты, которые активируются при включении "Защиты от подделки", включают:

Включение защиты от вирусов и угроз;
Включение реального времени защиты;
Включение мониторинга поведения;
Включение антивирусной защиты...

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код:

Start::
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-3036063724-403005376-3790838866-1002\...\Policies\Explorer: [DissalowRun] 1
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Task: {03910EE9-CB6D-49EB-87CD-44FA2D868A6D} - System32\Tasks\GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem134.0.6985.0{F8E951BC-684A-4D0C-95BE-33E4BEC55C2D} => "C:\Program Files (x86)\Google\GoogleUpdater\134.0.6985.0\updater.exe"  --wake --system (Нет файла)
CHR HKU\S-1-5-21-3036063724-403005376-3790838866-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
S3 458B112214339514; \??\C:\Users\Mila\AppData\Local\Temp\6E30A1-4CD47EF1-F0B16575-B2EF9C78\345db09d8.sys [X] <==== ВНИМАНИЕ
S3 HWiNFO_174; \??\C:\Users\Mila\AppData\Local\Temp\HWiNFO64A_174.SYS [X] <==== ВНИМАНИЕ
S3 HWiNFO_180; \??\C:\Users\Mila\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ВНИМАНИЕ
S3 HWiNFO_190; \??\C:\Users\Mila\AppData\Local\Temp\HWiNFO64A_190.SYS [X] <==== ВНИМАНИЕ
FCheck: C:\WINDOWS\SysWOW64\wfs.exe [2025-11-26] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
FCheck: C:\WINDOWS\SysWOW64\WFSR.dll [2025-11-26] <==== ВНИМАНИЕ (нулевой байт Файл/Папка)
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{1108FD1C-492F-4251-B9DB-77F0274267B2}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.187.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{1C67DF85-7959-43C0-92F8-2CAD0314C31C}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.201.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{2ABD6384-2E18-40E8-8439-F06D21E0B03D}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.43\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{2EF7E390-2F7C-4F9A-9B7D-4A87B56B711D}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.173.51\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{2FDB3305-19B8-4FE2-972B-ED5E97CBBD6E}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{38971E90-14FD-44F6-AA45-1447B653F873}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.173.45\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{41B09861-5409-4D44-8CA4-D49FBFAA2E6F}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{4FFB4BD8-A109-4F25-A4DB-313678B19417}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{5FC44EBC-3A1F-4FBB-85E5-34405788C8D7}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.187.41\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{64C6EFB9-8F79-4106-B975-067448DC768F}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.177.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{6A49690B-7DB6-424B-81CE-F51078F2A58D}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.203.13\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{6DD6748E-7DAE-47EF-B4D5-03AA1B06D697}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.187.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{72726D01-426C-4B35-8266-B4496CAA889E}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.183.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{78C1ADF4-6DAE-4164-AEFA-4E3EAD9E750A}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{79F05C14-E714-4C12-9924-93C812894CB0}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.57\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{7C9A348D-C321-47AC-904F-150312A5430F}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.175.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{7EFB4924-4B93-4C43-9832-9C3D05E85214}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.59\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{83F21C4B-8643-4A08-A29A-822AFD835037}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.193.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{88B20FC8-EBD6-4181-B5F6-50F45BFF722E}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.167.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{997809F3-33FD-4FD6-A2ED-CEF50F3263B1}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.169.31\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{A087E49F-1F8E-4603-A200-55537B737421}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.25\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{A78355B5-2A4D-486B-B97A-43448FC8C34D}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.207.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{ABF66F82-B04C-4FE4-8272-661539463FE1}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.171.37\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{AE1542A7-3989-481B-93A9-1500C5F56B14}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.185.27\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{B258532D-3529-4BEB-BF38-F08F98B3968C}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.15\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{B29F5F83-90DF-479A-BDE7-8A9F4412E394}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.171.39\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{BB04C6F8-598E-4733-ABB4-07489C863436}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.205.9\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{BC4C72EF-3055-4A6D-86E1-AE4D24DB63CA}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.35\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{BFBE0943-74C5-40E0-9E80-0B808109E95D}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.163.19\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{C88B3957-621C-415B-8EE5-B688FC7EF924}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.61\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{CAE1760A-CB07-481B-8F9A-BC65510AF5D5}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.185.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{D1CE12B0-2529-4B24-BE8E-189735EA0DC1}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.165.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{D2188EEC-2B0F-488C-8ECA-5285E8ECD87D}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.69\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{D8599F80-3D26-46D2-8CF1-0AD21B0ECF31}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.65\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{DAA7499A-B3AC-4419-A89B-124318504051}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.185.29\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{E3D57E77-FE71-4D06-BD34-D48820074909}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.181.5\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{E76F97B1-1AE9-497C-9FA4-F57BBABAD54A}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.185.17\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{E8791438-3525-48BF-A600-C577AD1674C2}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.173.49\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{ECCE2756-C45D-4E13-BC2D-EC9F138997E6}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.199.11\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{F1658933-2997-4DDB-869C-061D53A9718E}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.21\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{F1CBF5EB-347F-4E4C-90AC-E43339FC34EC}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.173.55\psuser_64.dll => Нет файла
CustomCLSID: HKU\S-1-5-21-3036063724-403005376-3790838866-1002_Classes\CLSID\{F46A78BD-06FC-442C-88DF-0500F08F2379}\InprocServer32 -> C:\Users\Mila\AppData\Local\Microsoft\EdgeUpdate\1.3.195.45\psuser_64.dll => Нет файла
AlternateDataStreams: C:\Mount:$WIMMOUNTDATA [802]
AlternateDataStreams: C:\WINDOWS\tracing:? [16]
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [376]
AlternateDataStreams: C:\Users\Mila\Application Data:48e63d4de0a63256000858a7c61c87df [394]
AlternateDataStreams: C:\Users\Mila\AppData\Roaming:48e63d4de0a63256000858a7c61c87df [394]
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
Remove-MpPreference -ExclusionPath "C:\tmp"
EndPowershell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
cmd: netsh advfirewall reset
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

kres. · Пятница в 10:15

akok написал(а):
Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Добрый день! Прикрепляю лог.

akok · Пятница в 10:47

Подчистили следы успешно. Ест ли аномалии в поведении пк?

kres. · Пятница в 13:58

akok написал(а):
Подчистили следы успешно. Ест ли аномалии в поведении пк?

Вроде как, всё более, чем чудесно: ПК не шумит просто так, вместе с этим вернулся к своей адекватной производительности. Надеюсь, что теперь точно нет никакого мусора в виде вредосонов...

Огромная вам благодарность за помощь!

Дополняю, произошло что-то интересное: хотел завершить работу ПК, а система никак не реагирует на мои клики...
Решил подождать, но ничего. После хотел запустить скан системы на наличие ошибок, но от админа запустить не дало: вообще не реагирует на клики в панели задач...
По итогу, через минуты 2, ПК выдал что-то из разряда: «Открыто слишком много файлов с 16разрядными приложениями...» и вырубился.
Что-то интересное, но думаю, ничего, что касалось бы вируса здесь нет

akok · Пятница в 17:01

по ошибкам нужно понаблюдать, но уже можно финализировать

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

Ознакомьтесь: Рекомендации после лечения

kres. · Вчера в 09:27

akok написал(а):
Подготовьте лог лог SecurityCheck by glax24

Лог, если нужен... Проблема с завершением работы ещё сохранилась, но вместе с этим неожиданно вернулась такая вот вещь(прикреп.фото), ПК снова будто просто так шумит...
Изменяю: нагрузка, вроде как пропала, так что допустим, что всё в порядке

akok · Вчера в 10:54

Тогда пойдем по шагам.

Исправьте по возможности
-------------------------- [ SecurityUtilities ] --------------------------
Process Hacker 2.39 (r124) v.2.39.0.124 Данная программа больше не поддерживается разработчиком. Деинсталлируйте ее, скачайте и установите System Informer.
--------------------------- [ OtherUtilities ] ----------------------------
AMD Software v.25.8.1 Внимание! Скачать обновления
CPUID CPU-Z 2.05 v.2.05 Внимание! Скачать обновления
Microsoft Office стандартный 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Silverlight v.5.1.50918.0 Данная программа больше не поддерживается разработчиком.
Microsoft Office Standard 2016 v.16.0.4266.1001 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Ghostscript GPL 8.64 (Msi Setup) v.8.64 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
------------------------------- [ Backup ] --------------------------------
Microsoft OneDrive v.25.206.1021.0003 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander v.8.51 Внимание! Скачать обновления
WinRAR 5.91 v.5.91 Внимание! Скачать обновления
------------------------------- [ Imaging ] -------------------------------
Krita (x64) 5.1.5 v.5.1.5.100 Внимание! Скачать обновления
---------------------------- [ CodeTextEdit ] -----------------------------
Notepad++ (64-bit x64) v.8.7.7 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9028 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
Proton VPN v.3.2.7 Внимание! Скачать обновления
AmneziaWG v.1.0.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.4.5.2 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^
Java 8 Update 381 (64-bit) v.8.0.3810.9 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u471-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
AIMP v.v5.02.2366, 02.03.2022 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
GOM Player v.2.3.74.5338 Внимание! Скачать обновления
^Внимание! Данный установщик устанавливает сторонние программы. Снимайте галочки или нажимайте Отмена в соответствующих окнах установщика.^
K-Lite Mega Codec Pack 17.6.8 v.17.6.8 Внимание! Скачать обновления

И просканируйте систему таким способом

Тема 'Как провести сканирование Miner Search'

6 Мар 2025

Miner Search — это специализированная утилита, разработанная для поиска и уничтожения скрытых майнеров на компьютерах. Программа помогает обнаруживать подозрительные файлы, каталоги, процессы и другие элементы, связанные с несанкционированным майнингом, и устранять их, выступая в качестве вспомогательного инструмента для повышения безопасности системы, хотя и не заменяет полноценный антивирус.

Как провести сканирование и лечение

1. Скачайте (зеркало) и распакуйте утилиту в удобное место (не забываем, архив защищен паролем)
2. Запустите исполняемый файл и примите...

kres. · Вчера в 12:06

Какие-то программы из списка выше обновил, а какие-то ненужные для себя удалил. Благодарю.
Сама программа ничего не нашла (кроме "подозрительного" K lite codec pack, но оно нормальное, уже давно стоит.
Наверное просто уже слишком обостряю нагрузку некоторых процессов, но на деле никаких майнеров/иных вирусов на ПК больше нет. Но всё равно смущает нагрузка, которая бывает от Microsoft Telemetry (и, конечно, антивируса винды, но на него забить можно), этот процесс как-то важен для системы вообще? Просто, если нет, то скорее хотелось бы его отключить, чтобы не беспокоил своими скачками нагрузки на ЦП.

akok · Вчера в 13:40

Телеметрия? Нет, это MS собирает информацию как использует компьютер, можно отключить. Хотя сильную нагрузку она не должа вызывать

Win11PrivacyFix 2025 – бесплатная лицензия (пожизненная)

Получите бесплатную лицензию Win11PrivacyFix 2025. Инструмент для улучшения конфиденциальности в Windows 11. Отключает телеметрию, управляет обновлениями, настраивает параметры конфиденциальности, отключает рекламу, оптимизирует систему и блокирует отслеживание

www.comss.ru

kres. · Вчера в 17:52

Телеметрия, что интересно, только после заражения ПК вирусом начала давать мне нагрузку. Ранее от неё ни слуху ни духу было. ПК запускается – через несколько минут появляется она и нагружает мне процессор буквально до сотни, а после снова пропадает, снова появляется...
Она меня поэтому так сильно и смущает, хотя сейчас, после чистки ПК, вроде как больше не нагружает ПК на такие значения (кроме того, что произошло сегодня, после запуска ПК, когда она мне процессор на все 100 грузила ещё несколько минут)
Думаю, что вирус может как-то систему поранил, но звучит странно будто, не знаю тут уж.

Телеметрию тогда отключу и посмотрю что будет дальше, а эту тему, думаю, уже можно точно завершать, так как вирусы были удалены, если уж что-то совсем смутит снова – вернусь как-нибудь, но уже в новой теме. А так, снова благодарю за помощь в удалении вируса и ответе на последующие вопросы.

akok · Вчера в 17:56

kres. написал(а):
Телеметрию тогда отключу и посмотрю что будет дальше, а эту тему, думаю, уже можно точно завершать, так как вирусы были удалены, если уж что-то совсем смутит снова – вернусь как-нибудь, но уже в новой теме. А так, снова благодарю за помощь в удалении вируса и ответе на последующие вопросы.

Да стоит понаблюдать за работой системы, если что, свежие логи посмотрим.

Решена Здравствуйте! Вирус trojan.multi.lockedfolder.a (?), не получается удалить + не детектят антивирусы

Переводчик Google

Новый пользователь

Как оформить запрос о помощи в разделе лечения?​

Новый пользователь

Как оформить запрос о помощи в разделе лечения?​

Вложения

Новый пользователь

Новый пользователь

Вложения

Новый пользователь

Вложения

Новый пользователь

Вложения

Новый пользователь

Новый пользователь

Вложения

Как провести сканирование и лечение​

Новый пользователь

Вложения

Новый пользователь

Как оформить запрос о помощи в разделе лечения?

Как оформить запрос о помощи в разделе лечения?

Как провести сканирование и лечение