15 ответов в этой теме

[nezer]

Добрый день. Недавно заметил, что начал тормозить пк. Сделал проверку с помощью CureIt, нашлись вирусы. Обезвредил их и перезагрузил пк. Заново запустил проверку и снова нашлись те же самые вирусы. Помогите, пожалуйста. https://drive.google.com/drive/folders/1uUcnQhm4gI9O9ySUc7UlFJ-wUqxKYJG_?usp=drive_link- логи

[Alexander007]

Вечером посмотрю .

[Alexander007]

Скачайте утилиту Dr.Web Fixit https://drw.sh/fetnri и сохраните её на Рабочем столе.

• Запустите скачанный файл.

• Нажмите кнопку «Начать сканирование», чтобы начать сканирование.

• По завершении работы программы в папке C:\Users\<пользователь>\Doctor Web будет создан архив с отчетом вида Имя_компьютера_Дата_Время.zip.

• Пожалуйста, выложите отчет на Яндекс-Диск

или в Облако Mail.ru ссылку укажите в своем следующем сообщении.

Сообщение было изменено Alexander007: 12 Сентябрь 2025 - 18:47

[nezer]

Скачайте утилиту Dr.Web Fixit https://drw.sh/fetnri и сохраните её на Рабочем столе.

• Запустите скачанный файл.

• Нажмите кнопку «Начать сканирование», чтобы начать сканирование.

• По завершении работы программы в папке C:\Users\<пользователь>\Doctor Web будет создан архив с отчетом вида Имя_компьютера_Дата_Время.zip.

• Пожалуйста, выложите отчет на Яндекс-Диск

или в Облако Mail.ru ссылку укажите в своем следующем сообщении.

https://drive.google.com/drive/folders/1TDnhECdWTCiMO7lpWjCsSdmItmLdTfUF?usp=drive_link

[Severnyj]

Добрый вечер. Внимание! Это не повтор предыдущего действия, данная версия утилиты содержит скрипт для удаления вредоносных файлов.

 

Скачайте утилиту Dr.Web FixIt! и сохраните её на Рабочем столе.

 

• Запустите скачанный файл.

Нажмите кнопку «Начать сканирование», чтобы начать сканирование.

По завершении работы программы в папке C:\Users\<пользователь>\Doctor Web будет создан архив с отчетом вида Имя_компьютера_Дата_Время.zip.

Пожалуйста, выложите отчет на Яндекс-Диск или в Облако Mail.ru ссылку укажите в своем следующем сообщении.

[nezer]

 

Добрый вечер. Внимание! Это не повтор предыдущего действия, данная версия утилиты содержит скрипт для удаления вредоносных файлов.

 

Скачайте утилиту Dr.Web FixIt! и сохраните её на Рабочем столе.

 

• Запустите скачанный файл.

• Нажмите кнопку «Начать сканирование», чтобы начать сканирование.

• По завершении работы программы в папке C:\Users\<пользователь>\Doctor Web будет создан архив с отчетом вида Имя_компьютера_Дата_Время.zip.

• Пожалуйста, выложите отчет на Яндекс-Диск или в Облако Mail.ru ссылку укажите в своем следующем сообщении.

 

 

https://drive.google.com/drive/folders/1TClad0bNTe5ajP3h9tzIxmHIC9HHEdXN?usp=drive_link

[nezer]

Перезагрузил ПК, сделал проверку с помощью CureIt. Вирусов не нашёл, спасибо большое за помощь!

[Severnyj]

Погодите, данный троян портит системные настройки, придется сделать еще несколько шагов.

 

Внимание! Это не повтор предыдущего действия, данная версия утилиты содержит скрипт для удаления вредоносных файлов.

 

Скачайте утилиту Dr.Web FixIt! и сохраните её на Рабочем столе.

 

• Запустите скачанный файл.

Нажмите кнопку «Начать сканирование», чтобы начать сканирование.

По завершении работы программы в папке C:\Users\<пользователь>\Doctor Web будет создан архив с отчетом вида Имя_компьютера_Дата_Время.zip.

Пожалуйста, выложите отчет на Яндекс-Диск или в Облако Mail.ru ссылку укажите в своем следующем сообщении.

 

 

+++

 

 

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.

Как узнать разрядность моей системы?

 

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.

Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).

Нажмите кнопку Scan (Сканировать).

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

[Severnyj]

Тикеты в вирлаб:

 

[drweb.com #11589818]

[drweb.com #11589828]

[nezer]

 

Погодите, данный троян портит системные настройки, придется сделать еще несколько шагов.

 

Внимание! Это не повтор предыдущего действия, данная версия утилиты содержит скрипт для удаления вредоносных файлов.

 

Скачайте утилиту Dr.Web FixIt! и сохраните её на Рабочем столе.

 

• Запустите скачанный файл.

• Нажмите кнопку «Начать сканирование», чтобы начать сканирование.

• По завершении работы программы в папке C:\Users\<пользователь>\Doctor Web будет создан архив с отчетом вида Имя_компьютера_Дата_Время.zip.

• Пожалуйста, выложите отчет на Яндекс-Диск или в Облако Mail.ru ссылку укажите в своем следующем сообщении.

 

 

 

+++

 

 

Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.

Как узнать разрядность моей системы?

 

• Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.

• Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).

• Нажмите кнопку Scan (Сканировать).

 

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.

 

 

https://drive.google.com/drive/folders/1Cj9R7820-U7CPbF0R34wGKXWzISixZLb?usp=drive_link

[Severnyj]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
 

Spoiler

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-3538336882-3688799080-62086439-1001\...\Policies\Explorer: [DisallowRun] 1
C:\Users\andre\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hlebehjapfaagahjkjegaaaeifjgpnjh
CHR HKU\S-1-5-21-3538336882-3688799080-62086439-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
R3 HWiNFO_204; C:\Users\andre\AppData\Local\Temp\HWiNFO_x64_204.sys [58024 2025-09-13] (Microsoft Windows Hardware Compatibility Publisher -> REALiX) <==== ВНИМАНИЕ
2025-09-12 16:10 - 2025-09-12 16:10 - 000000000 ___SH C:\ProgramData\tg.txt
2025-09-12 16:10 - 2025-09-12 16:10 - 000000000 ___SH C:\ProgramData\temp.txt
2025-09-11 20:42 - 2025-09-12 16:27 - 000000000 ___HD C:\Program Files\RDP Wrapper
2025-09-11 20:42 - 2025-09-11 21:54 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2025-09-11 20:42 - 2025-09-11 20:42 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2025-09-11 20:42 - 2025-09-11 20:42 - 000000000 __SHD C:\KVRT_Data
2025-09-11 20:42 - 2025-09-11 20:42 - 000000000 ____D C:\Users\andre\AppData\Roaming\RMS_settings
2025-09-11 20:42 - 2025-09-11 20:42 - 000000000 ____D C:\ProgramData\MB3Install
2025-09-11 20:41 - 2025-09-13 10:14 - 000000000 __SHD C:\ProgramData\WindowsTask
2025-09-11 20:41 - 2025-09-13 10:14 - 000000000 __SHD C:\ProgramData\Setup
2025-09-11 20:41 - 2025-09-13 10:14 - 000000000 __SHD C:\ProgramData\ReaItekHD
2025-09-11 20:41 - 2025-09-11 20:41 - 000000000 __SHD C:\ProgramData\Install
2025-09-11 20:41 - 2025-09-11 20:41 - 000000000 ____D C:\ProgramData\System32
2025-09-11 20:41 - 2025-09-11 20:41 - 000000000 ____D C:\ProgramData\RunDLL
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
CMD: bitsadmin /reset /allusers
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

[nezer]

Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
 

Spoiler

Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-3538336882-3688799080-62086439-1001\...\Policies\Explorer: [DisallowRun] 1
C:\Users\andre\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\hlebehjapfaagahjkjegaaaeifjgpnjh
CHR HKU\S-1-5-21-3538336882-3688799080-62086439-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh]
R3 HWiNFO_204; C:\Users\andre\AppData\Local\Temp\HWiNFO_x64_204.sys [58024 2025-09-13] (Microsoft Windows Hardware Compatibility Publisher -> REALiX) <==== ВНИМАНИЕ
2025-09-12 16:10 - 2025-09-12 16:10 - 000000000 ___SH C:\ProgramData\tg.txt
2025-09-12 16:10 - 2025-09-12 16:10 - 000000000 ___SH C:\ProgramData\temp.txt
2025-09-11 20:42 - 2025-09-12 16:27 - 000000000 ___HD C:\Program Files\RDP Wrapper
2025-09-11 20:42 - 2025-09-11 21:54 - 000000000 __SHD C:\ProgramData\Windows Tasks Service
2025-09-11 20:42 - 2025-09-11 20:42 - 000037376 _____ (Microsoft Corporation) C:\WINDOWS\system32\rfxvmt.dll
2025-09-11 20:42 - 2025-09-11 20:42 - 000000000 __SHD C:\KVRT_Data
2025-09-11 20:42 - 2025-09-11 20:42 - 000000000 ____D C:\Users\andre\AppData\Roaming\RMS_settings
2025-09-11 20:42 - 2025-09-11 20:42 - 000000000 ____D C:\ProgramData\MB3Install
2025-09-11 20:41 - 2025-09-13 10:14 - 000000000 __SHD C:\ProgramData\WindowsTask
2025-09-11 20:41 - 2025-09-13 10:14 - 000000000 __SHD C:\ProgramData\Setup
2025-09-11 20:41 - 2025-09-13 10:14 - 000000000 __SHD C:\ProgramData\ReaItekHD
2025-09-11 20:41 - 2025-09-11 20:41 - 000000000 __SHD C:\ProgramData\Install
2025-09-11 20:41 - 2025-09-11 20:41 - 000000000 ____D C:\ProgramData\System32
2025-09-11 20:41 - 2025-09-11 20:41 - 000000000 ____D C:\ProgramData\RunDLL
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppModule.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\audiodg.exe"
Remove-MpPreference -ExclusionPath "C:\Program Files\RDP Wrapper"
Remove-MpPreference -ExclusionPath "C:\Windows\SysWow64\unsecapp.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AMD.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\ProgramData\WindowsTask\AppHost.exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData\ReaItekHD\taskhostw.exe"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableArchiveScanning $false -Force
Set-MpPreference -DisableBehaviorMonitoring $false -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
CMD: bitsadmin /reset /allusers
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.

 

https://drive.google.com/file/d/1BdFzuqUVlBdnpiTJCrSlan-w1w2aIHI5/view?usp=drive_link

[Severnyj]

Включите защиту от подделки в Защитнике Windows.

 

Сообщите, что с проблемой?

[nezer]

 

Включите защиту от подделки в Защитнике Windows.

 

Сообщите, что с проблемой?

 

Всё ништяк, CureIt вирусов больше не находит. Спасибо большое за помощь!

[Alexander007]

nezer

 

По возможности , улучшенную продукты - используйте как надежного антивируса , Dr.Web Security Space , по желанию установить , протестировать защиту против майнера .  С этим майнером хорошо справляется .  Имею ввиду , как замена полноценного антивируса , реагирует на все тип угрозы , защитить от вымогателя .  Windows Defender - частный не полноценный антивирус .

[Severnyj]

nezer

 

По возможности , улучшенную продукты - используйте как надежного антивируса , Dr.Web Security Space , по желанию установить , протестировать защиту против майнера .  С этим майнером хорошо справляется .  Имею ввиду , как замена полноценного антивируса , реагирует на все тип угрозы , защитить от вымогателя .  Windows Defender - частный не полноценный антивирус .

 

Не вводите людей в заблуждение - данного майнера еще нет в базах АВ.

 

 

 

 

Включите защиту от подделки в Защитнике Windows.

 

Сообщите, что с проблемой?

 

Всё ништяк, CureIt вирусов больше не находит. Спасибо большое за помощь!

 

 

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.

Компьютер будет перезагружен автоматически.

 

Обновите до последней версии WinRAR - у вас установлена уязвимая версия.

 

Ну, и удачи!