Все признаки заражения точь-в-точь как написано здесь: https://forum.drweb.com/index.php?showtopic=339461
Ноутбук не мой, моего знакомого. Отчёт SysInfo можно скачать отсюда: https://dropmefiles.com/2qAoV
Дополнительно заметил, что Центр обновления не работает. Средство устранения неполадок в этом Центре что-то нашло, исправило, а Центр всё равно не работает.
Угроза: DPC:PowerShell.AVKill.10
Автор
Dr.Robot
, окт 31 2025 09:10
-
Тема закрыта
21 ответов в этой теме
#1
АВаТар
-
- Posters
- 883 Сообщений:
Advanced Member
Отправлено 31 Октябрь 2025 - 09:10
#2
Dr.Robot
-
- Helpers
- 3 369 Сообщений:
Poster
Отправлено 31 Октябрь 2025 - 09:10
1. Если Вы подозреваете у себя на компьютере вирусную активность и хотите получить помощь в этом разделе,
Вам необходимо кроме описания проблемы приложить к письму логи работы двух программ - сканера Dr. Web (или CureIt!, если антивирус Dr. Web не установлен на Вашем ПК), DrWeb SysInfo. Дождитесь окончания работы сканера Dr. Web или CureIt!, прежде, чем запускать DrWeb SysInfo. Без логов помочь Вам не сможет даже самый квалифицированный специалист. Так как логи могут иметь большой объём, превышающий ограничения форума, то рекомендуем закачать их на какой-нибудь файлообменник, а на форуме указать ссылку.
2. Если у Вас зашифрованы файлы,
Внимание! Услуга по расшифровке файлов предоставляется только лицензионным пользователям продуктов Dr.Web, у которых на момент заражения была установлена актуальная коммерческая лицензия Dr.Web Security Space или Dr.Web Enterprise Security Suite.
Что НЕ нужно делать:
- лечить и удалять найденные антивирусом вирусы в автоматическом режиме или самостоятельно. Можно переместить всё найденное в карантин, а после спросить специалистов или не предпринимать никаких действий, а просто сообщить название найденных вирусов;
- переустанавливать операционную систему;
- менять расширение у зашифрованных файлов;
- очищать папки с временными файлами, а также историю браузера;
- использовать самостоятельно без консультации с вирусным аналитиком Dr. Web дешифраторы из "Аптечки сисадмина" Dr. Web;
- использовать дешифраторы рекомендуемые в других темах с аналогичной проблемой.
Что необходимо сделать:
- прислать в вирусную лабораторию Dr. Web https://support.drweb.com/new/free_unlocker/?keyno=&for_decode=1 несколько зашифрованных файлов и, если есть, их не зашифрованные копии в категорию Запрос на лечение. Дожидаться ответа на Вашу почту вирусного аналитика и далее следовать его указаниям ведя с ним переписку по почте. На форуме рекомендуется указать номер тикета вирлаба - это номер Вашего запроса, содержащий строку вида [drweb.com #3219200];
#3
Severnyj
-
- Posters
- 393 Сообщений:
Member
Отправлено 31 Октябрь 2025 - 09:42
Скачайте утилиту DrWeb FixIt! и сохраните её на Рабочем столе.
#4
АВаТар
-
- Posters
- 883 Сообщений:
Advanced Member
Отправлено 31 Октябрь 2025 - 14:06
Severnyj, Отчёт DrWeb FixIt! можно скачать отсюда: https://dropmefiles.com/2qAoV
Там адрес прежний оказался. А в "Подробнее" можно выбрать нужный файл "dwsi_desktop-moopak7_20251031_1427190753.zip", и скачать только его.
#5
Severnyj
-
- Posters
- 393 Сообщений:
Member
Отправлено 31 Октябрь 2025 - 15:37
Внимание! Это не повтор предыдущего действия, данная версия утилиты включает в себя скрипт удаления вредоносной программы.
Скачайте утилиту DrWeb FixIt! и сохраните её на Рабочем столе.
Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
- Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
#6
АВаТар
-
- Posters
- 883 Сообщений:
Advanced Member
Отправлено 31 Октябрь 2025 - 16:49
Отчёты FRST прикрепил к этому сообщению.
Отчёты FRST.7z 21,83К
10 Скачано раз
#7
Severnyj
-
- Posters
- 393 Сообщений:
Member
Отправлено 31 Октябрь 2025 - 17:52
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
Отключите до перезагрузки антивирус.
Выделите следующий код:
Spoiler
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Запакуйте его в архив и прикрепите к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
#9
Severnyj
-
- Posters
- 393 Сообщений:
Member
Отправлено 31 Октябрь 2025 - 18:34
Сообщите, что с проблемами?
#10
Severnyj
-
- Posters
- 393 Сообщений:
Member
Отправлено 31 Октябрь 2025 - 18:45
Информация для вирлаба:
[drweb.com #11653297]
#11
АВаТар
-
- Posters
- 883 Сообщений:
Advanced Member
Отправлено 31 Октябрь 2025 - 19:10
Похоже, что проблемы ушли. И Центр обновлений вроде заработал. Только скачивание обновлений из интернета у него что-то долго стоит на 0%. Всё остальное работает.
#12
Severnyj
-
- Posters
- 393 Сообщений:
Member
Отправлено 31 Октябрь 2025 - 19:30
Воспользуйтесь средством проверки системных файлов.
Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.
#13
Alexander007
-
- Posters
- 2 198 Сообщений:
Foreign Doctor
Отправлено 31 Октябрь 2025 - 19:58
Информация для вирлаба:
[drweb.com #11653297]
Интересно . Инжект . Смотрел анализы , активный интернет и его доменный сервер под названия ( случайный цифр и имена , а затем .microsoft.com ( в конце .microsoft.com - от майкрософт ) . Возможно левый хостинг с инжектом.
Сообщение было изменено Alexander007: 31 Октябрь 2025 - 20:00
Global Malware Hunting.
#14
Severnyj
-
- Posters
- 393 Сообщений:
Member
Отправлено 31 Октябрь 2025 - 20:05
Ваш запрос был проанализирован. Соответствующая запись добавлена в вирусную базу Dr.Web и будет доступна при следующем обновлении.
Угроза: BackDoor.Siggen2.5571
#15
АВаТар
-
- Posters
- 883 Сообщений:
Advanced Member
Отправлено 31 Октябрь 2025 - 20:50
Мне самому непонятно, почему установленный антивирус Dr.Web не смог распознать угрозу. А какие-то DrWeb FixIt! + FRST смогли справиться. Вроде как эти технологии должны присутствовать и работать в антивирусе. Непонятно...
#16
Alexander007
-
- Posters
- 2 198 Сообщений:
Foreign Doctor
Отправлено 31 Октябрь 2025 - 20:57
Мне самому непонятно, почему установленный антивирус Dr.Web не смог распознать угрозу. А какие-то DrWeb FixIt! + FRST смогли справиться. Вроде как эти технологии должны присутствовать и работать в антивирусе. Непонятно...
Сторонние утилиты и Fixit помогают выявить новые вирусы и так старые . Dr.Web с сигнатурным базой не задетектился бэкдор раньше . К сожалению , антивирус Dr.Web - не может ловить в первую очередь после утилиты , пока технология еще далеко , есть недостатки в защите - например поведенический анализатор на бэкдора или что-то типа похож HEUR эвристическое поведение пока нет .
Сообщение было изменено Alexander007: 31 Октябрь 2025 - 21:00
Global Malware Hunting.
#17
АВаТар
-
- Posters
- 883 Сообщений:
Advanced Member
Отправлено 01 Ноябрь 2025 - 11:02
Severnyj, Деинсталлировал Farbar Recovery Scan Tool. Всё работает уже хорошо. Обновления ОС пришли и установились. Только AVZ почему-то не хочет обновляться.
В общем, вредоносное программное обеспечениеного уже ничего нет. Так что если больше нет каких-то идей по восстановлению работоспособности, то можно тему закрывать.
#18
Severnyj
-
- Posters
- 393 Сообщений:
Member
Отправлено 01 Ноябрь 2025 - 11:39
Так что если больше нет каких-то идей по восстановлению работоспособности,
Что в системе неработоспособно?
Троян удален
Запуск служб, ответственных за обновление Windows, измененный трояном - восстановлен.
Только AVZ почему-то не хочет обновляться.
Посмотрите эту статью, возможно новые базы еще не выпускались, к тому же, в основном пополняется база чистых, как сканер AVZ - бесполезен, у него иное назначение.
#19
Severnyj
-
- Posters
- 393 Сообщений:
Member
Отправлено 01 Ноябрь 2025 - 12:22
По рекомендациям:
1) В настройках подключений имеется прокси-сервер, если не знаете зачем - удалите.
2) Ненужный, взломанный или поддельный софт:
Auslogics BoostSpeed 14.1.0.0 - оптимизатор - не имеет смысла - удалите
CCleaner 6.30.11385 - издатель LR, а не Pirifirm, Avast или Gen Digital - подделка или рекламная поделка - советую вместо использовать PrivaZer или BleachBit
Psiphon 3.186 - насколько знаю ПО портативно, устанавливаемая версия также подделка или форк.
uTorrent 1.2.3.96 - супердревняя версия. возможно уязвимая снова с издателем LR - подделка или рекламная поделка - удалите - если пользуетесь торрентами советую qbittorent или BiglyBT
3) Открытые опасные порты в брандмауэре Windows 135 и 445 - удалите правила, если не знаете зачем они установлены
#20
АВаТар
-
- Posters
- 883 Сообщений:
Advanced Member
Отправлено 01 Ноябрь 2025 - 13:45
Что в системе неработоспособно?
На 1-й взгляд, только обновление AVZ, которое заканчивается ошибкой 21. Это не критично.
По рекомендациям:
1) Прокси-сервер удалил.
2) С программами всё хорошо.
3) С открытыми портами такая ситуация:
Открытые порты.jpg 147,96К
0 Скачано раз
